Cisco Secure Desktop (CSD) - Forum Aux Questions

Introduction

Ce document fournit des informations sur les questions fréquemment posées (FAQ) liées au Cisco Secure Desktop (CSD).

Le Cisco Secure Desktop recherche à réduire les risques posés en employant des périphériques distants afin d'établir un VPN SSL de Cisco ou une session de client sans client d'AnyConnect.

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Q. Quels composants comportent le Cisco Secure Desktop ?

A. Le CSD comporte plusieurs composants :

• Estimation/stratégies de PreLogin

• Balayage d'hôte (de base et avancé avec des capacités de correction)

• Décapant de cache

• Chambre forte sécurisée

• Enregistreur de touche

• Détection d'émulation d'hôte

Référez-vous le pour en savoir plus de guide de configuration de toCSD.

Q. Où peux-je trouver une matrice de compability d'OSes, des navigateurs, des versions ASA, des composants de VPN SSL pris en charge par CSD ?

A. Référez-vous au pour en savoir plus de référence de compatibilité de la gamme VPN de Cisco ASA 5500.

Q. Où est le CSD configuration enregistrée ?

A. La configuration CSD est enregistrée sur l'éclair sous le fichier sdesktop/data.xml.

Q. Le CSD interopère-il avec le client vpn d'IPsec ?

A. Non Le CSD interopère seulement avec le VPN SSL sans client et l'Anyconnect 2.x.

Q. Les contrôles de Certificats CSD PreLogin s'appliquent-ils à l'ordinateur et aux certificats utilisateurs ?

A. Oui. PreLogin vérifie des Certificats d'ordinateur a été mis en application dans CSD 3.2.1 (CSCsj35249).

Q. Si la chambre forte sécurisée est utilisée, comment l'interaction se produit-elle entre elle et le vrai appareil de bureau ? Par exemple, les fichiers peuvent-ils être déplacés entre les deux ou est-il seulement dans la chambre forte ?

A. Le système de fichiers est virtualisé. À l'intérieur de la chambre forte vous pouvez voir les fichiers locaux essentiels tels que des fichiers et des fenêtres de programme, mais des fichiers dans la chambre forte ne peuvent pas être déplacés dehors.

Q. Y a-t-il une limite au nombre d'emplacements CSD qui peuvent être définis ?

A. No.

Q. Les fichiers que sont créé dans la chambre forte CSD peuvent-ils être enregistré sur le PC d'invité ?

A. No.

Remarque: Une exception à ceci est l'utilisation de certaines applications de messagerie électronique telles qu'Outlook, Outlook Express, Eudora et Lotus Notes qui fonctionnent comme ils font sur le PC client. Ces applications ne sont pas généralement trouvées dans le domaine public.

Q. Les fichiers peuvent-ils être enregistrés sur un support externe tel qu'un gousset USB, un CD, ou le disque ?

A. Oui, mais les données est chiffré et est retiré une fois que la chambre forte est désinstallée et n'est pas visible si la clé est retirée.

Q. Les fichiers peuvent-ils être enregistrés sur les répertoires partagés de réseau ?

A. Oui. Si les répertoires partagés de réseau existent en tant qu'élément du voisinage réseau sur le PC client, alors ils apparaissent également sur le voisinage réseau de Secure Desktop.

Q. Quand un fichier est créé ou modifié dans l'espace de Secure Desktop, peut-il être enregistré à un voisinage réseau si une connexion réseau par le VPN SSL ou l'IPsec existe ?

A. Oui.

Q. Comment les emplacements sont-ils appariés au client ?

A. Conformément à la documentation, des emplacements sont identifiés quand les critères des endroits différents sont vérifiés avec l'utilisation de la priorité de haut en bas comme présenté dans le volet d'emplacement de fenêtres. Le premier emplacement qui répond aux critères est utilisé comme emplacement de connexion. Cisco suggère l'utilisation d'un emplacement sans des critères comme dernier emplacement de sorte que ce devienne le par défaut si aucun autre emplacement avec des critères n'est apparié.

Q. Même si ActiveX et Javas sont désactivés, est-ce que je peux exécuter l'installation CSD par le navigateur ?

A. Oui, vous pouvez encore installer le CSD même si les deux X et Javas actifs ne sont pas détectés sur le PC client.

Q. Y a-t-il des restrictions du Sun JVM ?

A. Non, il n'y a pas aucune restriction pour le Cisco Secure Desktop ou le client de VPN SSL.

Q. Le Cisco Security Agent (CSA) V4.5 interopère-t-il avec le CSD et le SVC ?

A. Oui. CSA V4.5 maintenant le prend en charge et est entièrement compatible avec le CSD et le SVC.

Q. Combien grand d'une partition sur le disque dur le CSD crée-t-il ?

A. Quand un environnement de Secure Desktop est créé, un espace de fichier crypté (la chambre forte) est généré, qui commence comme petit espace de fichier et devient un maximum de 2 Go, qui dépend de quelles applications sont chargées de leurs emplacements par défaut tout en fonctionnant dans la chambre forte.

Q. Comment le CSD décide-t-il quelles applications aux prendre en charge ? Est-ce juste toutes les applications qui sont disponibles sur l'appareil de bureau normal ? Est-ce que ceci peut être commandé ?

A. Ceci est détaillé dans les notes de mise à jour et ne peut pas être commandé. Il ne permet pas des applications à installer tandis que dans la chambre forte/espace écart-type, mais utilise les applications par défaut sous les fichiers de programme qui sont déjà installés sur le PC client. Applications de supports de Secure Desktop seulement installées dans l'emplacement par défaut. Pour des applications accrues de Sécurité seulement installées sous Windows et des répertoires de fichiers de programme soyez accessible sous le Secure Desktop. Le Secure Desktop ne prend en charge pas ou permet l'accès aux applications non trouvées dans ces emplacements d'installation par défaut.

Q. L'utilisation de l'impression écran peut-elle être empêchée dans le CSD ?

A. C'est une option de configuration dans la configuration de gestion de Secure Desktop. La mémoire tampon de copie/pâte (presse-papier) est effacée une fois que vous commutez de nouveau au PC client, si activé dans la configuration.

Limitez l'impression sur le Secure Desktop — Vérifiez pour empêcher l'utilisateur de l'impression tandis que l'espace de Secure Desktop est utilisé. Pour la sécurité maximale des données sensibles, vérifiez cette option.

Q. Le Secure Desktop fonctionne-t-il sur les PC activés département (KO 875352 de MS) et les PC de tablette ?

A. Ceci n'a pas été pris en charge dans les versions antérieures (plus tôt que 3.1.0.29) et a été détaillé dans CSCsc12461. Le contournement était à ce moment-là de désactiver le département dans le BIOS comme mentionné dans le DDTS. En date de la version 3.1.0.29, ceci a été maintenant résolu.

Q. Y a-t-il une manière de préinstaller le CSD sur un PC ?

A. Non, parce que le composant CSD que vous voulez installer dépend du résultat de la stratégie de prelogin.

Q. Quel décapant de cache de support de navigateurs sur les plates-formes Windows et le MAC OS ?

A. CSD v3.3 prend en charge la caractéristique de CSD-chambre forte (bac à sable) sur les Plateformes de 32 bits de vista.

Voir le VPN_Compatibility pour plus de détails.

Q. Ce qui se produit si un client distant est connecté au Secure Desktop au-dessus du webvpn et elles terminent la session comme débrancher le câble de réseau à partir de l'ordinateur. Le Secure Desktop retirera-t-il toujours des suivis du fichier ? Je crois qu'un scénario semblable serait si l'ordinateur est mis hors tension au milieu de la session, est le fichier accessible alors ?

A. Les données demeurent chiffrées/inaccessibles et puis sont effacées la prochaine fois que le Cisco Secure Desktop est lancé. Si vous utilisez un décapant de cache, les données sont éliminées la prochaine fois que vous ouvrez une session.

Q. Les nouvelles versions de CSD 3.2.x, qui se sont transportées avec la version 8.0.2.x ASA, sont-elles vers l'arrière-compatibles avec la version 7.1.x/7.2.x ASA ?

A. La nouvelle version du Cisco Secure Desktop 3.2.x n'est pas vers l'arrière compatible avec une ASA plus ancienne 7.1.x/7.2.x.

Q. Est-ce que CSD v3.2 prend en charge le Secure Desktop/chambre forte et cache le décapant ?

A. CSD 3.2 pour des supports ASA 8.0.2.x cachent SEULEMENT le décapant sur le vista, les ordinateurs de 32 bits. Le support sécurisé de chambre forte sur le vista est pour la future considération (CSD v3.3).

Mise à jour — CSD v3.3 prend en charge la caractéristique de CSD-chambre forte (bac à sable) sur les Plateformes de 32 bits de vista.

Q. Peuvent-elles les plusieurs versions de remediate d'estimation de point final avancées par 3.2.x CSD du poids du commerce, as, FW ?

A. L'estimation avancée de point final CSD 3.2 ne permet pas vérifier des plusieurs versions d'un programme d'antivirus, de pare-feu personnel ou d'AntiSpyware. CSD 3.2.1 a la capacité de vérifier de plusieurs programmes d'antivirus, de pare-feu personnel ou d'AntiSpyware avec l'utilisation de la stratégie d'accès dynamique avec la configuration d'estimation de point final.

Remarque: CSD 3.2.1, ASDM6.0.3/ASA 8.0.3, que FCSed en novembre 2007, inclut cette capacité (CSCsk71239).

Q. CSD 3.2 peut-il contrôler des supports CD-R de contrôle ?

A. La conception en cours ne tient pas compte pour que le CSD contrôle des lecteurs de cd-rom.

Q. Combien susceptible est la chambre forte sécurisée CSD aux menaces du système d'exploitation d'hôte tout en exécutant le CSD ? Est-ce qu'est-ce il un cas de la chambre forte en vigueur qui garde toutes les mauvaises choses à la baie, ou est l'utilisation de l'appareil de bureau normal sur l'hôte juste comme vulnérable ? On compte au moment le contrôle de posture afin d'atténuer contre certaines de ces questions.

A. Le concept CSD est de ne pas laisser quelque chose derrière. La chambre forte CSD est pour la mémoire des données de session telles que les pages Web cachées créées pendant la session de vpn. La chambre forte est chiffrée pour la protection. On ne le cense pas être un type de périphérique de protection antivirus.

Q. Comment est-ce que je place l'appliance du CCA NAC contre estimation de point final CSD + d'Adv dans ASA 8.0 ? Il semble comme la fonctionnalité de contrôle de posture est semblable. Le CCA offre-t-il des avantages importants par rapport à 8.0 pour des utilisateurs VPN ?

A. Le CSD fournit le contrôle de posture et la correction limitée, alors que le CCA peut réellement prendre en charge un procédé plus sophistiqué et plus complet de correction. C'est clé si l'utilisateur VPN est un télétravailleur à plein temps, par exemple, qui n'est pas ce tech savy et a besoin de l'instruction sur les étapes suivantes qui sont nécessaires sans s'embourber le service de support technique interne. Cela peut également mener à une réduction des coûts de support et de l'augmentation de la productivité si vous voulez extrapoler les possibilités.

Q. Le CSD peut-il être activé sur une par-groupe-stratégie, authentification de courrier ?

A. Pas actuellement en date de v8.0.3. Le CSD est globably activé sur l'ASA pour toutes les stratégies de groupe avant que l'authentification/autorisation ait lieu. La principale raison pourquoi le Cisco Secure Desktop était pré-procédure de connexion chargée est d'offrir la protection au-dessus du processus de procédure de connexion elle-même, particulièrement quand les qualifications statiques sont en service.

Q. Comment le CSD est-il désinstallé du PC client ?

A. Quand le Secure Desktop est installé, il peut être désinstallé manuellement ou automatiquement quand une session est fermée. Une option est disponible dans le général de gestionnaire > de Secure Desktop CSD afin de faire ceci automatiquement.

Q. Comment est-ce que je trouve une liste de quels Produits sont pris en charge par balayage d'hôte du Cisco Secure Desktop (CSD) ?

A. Les dernières informations sont toujours intérieur visible d'ASDM. Vous pouvez également extraire secinsp_<VERSION>_av.xml, secinsp_<VERSION>_as.xml et secinsp_<VERSION>_fw.xml du courant CSD empaquetez (comme ZIP) et recherchez l'attribut de Product_ID.

Ces contrôles sont mis à jour avec chaque release et en tant que, il est impossibles pour que la documentation suive la liste.

Q. Comment est-ce que je trouve le sous-ensemble de Produits qui sont pris en charge avec l'estimation avancée de point final ?

A. Valeur recherchez d'Allow_port et de Block_port attribut pour chaque produit.

v= implemented 
x= not implemented 

Q. Quelles exécutions CSD exigent des privilèges d'administrateur ?

A. L'installation CSD avec Javas déjà installées et la plupart des opérations de balayage de base d'hôte n'exigent pas des privilèges d'administrateur. Les exécutions telles qu'activer un processus FW, ne fonctionnent pas sans privilège d'administrateur, naturellement. Ne l'attendez pas à balayer pour des fichiers qu'il n'a pas le privilège pour que lequel balaye ; par exemple, si vous êtes utilisateur limité, vous ne pouvez pas détecter /users/administrator/mydocuments/file.txt. L'enregistreur principal de rappe a besoin des privilèges d'administrateur.

Q. Est-ce que caractéristiques l'unes des CSD telles que le balayage d'hôte, cachent-elles le décapant, et la chambre forte sont prises en charge sur les Plateformes 64-bit ?

A. Non Le CSD prend en charge seulement les Plateformes de 32 bits.

Q. Les contrôles CSD PreLogin (stratégie d'emplacement) peuvent-ils être configurés si CSD dans non activé ?

A. Non Les contrôles de stratégie de Prelogin se fondent sur le CSD étant activé.

Q. Quels sont les contrôles pris en charge CSD Prelogin ?

A. Les contrôles sont adresse IP (chaîne de source ip), certificat, registre, fichier et SYSTÈME D'EXPLOITATION.

Q. Pouvez-vous supprimer toutes les stratégies de PreLogin dans une tirée au lieu d'individuellement ?

A. Dans l'ASDM il n'y a actuellement aucun bouton/molette pour supprimer toutes les stratégies de Prelogin. Vous pouvez seulement les supprimer indidually. Il y a une demande d'amélioration CSCsq91629 afin de pouvoir faire ceci.

Sur l'ASA CLI, vous pouvez se terminer ces étapes afin d'effacer toutes les stratégies de Prelogin et configuration du positionnement CSD pour se transférer.

1. #delete sdesktop/data.xml
2. Alors vous devez quitter et redémarrer l'ASDM pour que la modification prenne l'affect.

Q. Les contrôles de certificat CSD Prelogin PKI-sont-ils validés ou vérifie-il seulement la présence des Certificats sur l'hôte de point final ?

A. Les contrôles de certificat vérifie seulement que le certificat est présent sur l'hôte de point final, et pas si le certificat PKI-est validé.

Q. Les contrôles de Prelogin de registre et de certificat s'appliquent à quel OSes ?

A. Seulement Windows.

Q. Les configurations CSD peuvent-elles être poussées de Radius/LDAP ?

A. Non Des stratégies spécifiques CSD ne peuvent pas être placées par Radius/LDAP.

Q. Le CSD peut-il détecter des ports en mode écoute de TCP sur le PC de point final ?

A. Les supports CSD 3.2.1 maintenant mettent en communication la lecture sur le PC de point final (Windows, MAC, Linux) et ont été mis en application dans CSCsj44999. Dynamic Access Policies (DAP) peut imposer l'attribut endpoint.device.port dans la stratégie.

Q. Quel est le les attributs du point final CSD et DAP qui peuvent être imposés sur une stratégie de VPN SSL ?

A. Voici une liste de catégories d'attribut de sélection de point final DAP en date de 8.0.3.x :

• Anti-spyware

• Antivirus

• Application

• Fichier

• NAC

• Système d'exploitation

• Pare-feu personnel

• Stratégie (emplacement)

• Process

• Registre

• Périphérique tel que l'adresse Internet, le MAC address, le numéro de port, et la protection de la vie privée

Q. Ce qui est ce jeton CSD vu dans le DAP débogue (DAP_TRACE : DAP_add_CSD : csd_token = [71F16BEE51C8B569360F9BF0]) ?

A. L'ASA crée de seuls nombres aléatoires et les assigne à HostScans ainsi elle peut distinguer un HostScan des autres. HostScan se produit avant la procédure de connexion quand aucune session de VPN SSL n'existe. HostScan n'envoie pas le jeton CSD dans le fichier de balayage. Le jeton est utilisé pour relier les données de balayage à la session de VPN SSL ASA.

Q. Quelle capacité CSD est disponible avec AnyConnect dans le début avant mode de la procédure de connexion (SBL) ?

A. Quand Anyconnect est lancé en mode SBL, seulement hostscan est exécuté par CSD indépendamment de quelle stratégie de prelogin dicte, à moins qu'il n'y ait aucune correspondance d'emplacement, dans ce cas le lancement CSD échoue.

Q. Que la mise à jour recommandée de manière est-elle le fichier CSD sans suppression de la configuration de stratégie de PreLogin (emplacements) ?

A. Upgrate une nouvelle image CSD, qui maintient toutes les configurations intactes, excepté des mises à jour de CSD 3.1.1 à 3.2 ou plus tard.

Q. Je fais face à des questions quand j'accède au client de Citrix AIC utilisant les versions Java 1.6.10,1.6.11,and 1.6.12. Pourquoi fait-il l'échouer de connexion dès que le client se connectera au bureau distant de Citrix tout en utilisant le CSD ?

A. Dans la mise à jour 10 JRE6 et plus tard, débuts de Javas différemment de la technique normalisée. Référez-vous à introduire la mise à jour 10 expert en logiciel 6 de Javas pour plus d'informations sur la mise à jour 10 de Javas.

Le programme de lecture de chambre forte de Secure Desktop gèle si vous ouvrez un site Web qui contient un Java applet, et la mise à jour 10 JRE ou plus tard est installé sur l'ordinateur. Ce problème se pose seulement si vous avez vérifié l'utilisation d'application de limiter à l'option de navigateur Web seulement actuelle dans des configurations de gestionnaire > de <policy_name> > de Secure Desktop de Secure Desktop. La valeur par défaut est décochée. Vous pouvez faire une de ces options afin de rendre des applet Java fonctionnels sur le Secure Desktop :

1. Ajoutez ces lignes à la zone de texte sous l'attribut coché limitent l'utilisation d'application au navigateur Web seulement :

   • c:\program\java.exe

   • c:\program\jp2launcher.exe

2. Décochez limitent l'utilisation d'application à la case à cocher de navigateur Web seulement. Ceci résout le problème.

Informations connexes

• Dispositifs de sécurité de la gamme Cisco ASA 5500
• Référence de compatibilité de la gamme VPN de Cisco ASA 5500
• Client VPN AnyConnect - Forum Aux Questions
• PIX/ASA : Foire aux questions de dispositifs de sécurité
• Cisco Secure Desktop
• Configurer le Cisco Secure Desktop
• Support et documentation techniques - Cisco Systems