Avez-vous un compte?
Ce document fournit des informations sur les questions fréquemment posées (FAQ) liées au Cisco Secure Desktop (CSD).
Le Cisco Secure Desktop recherche à réduire les risques posés en employant des périphériques distants afin d'établir un VPN SSL de Cisco ou une session de client sans client d'AnyConnect.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
A. Le CSD comporte plusieurs composants :
Estimation/stratégies de PreLogin
Balayage d'hôte (de base et avancé avec des capacités de correction)
Décapant de cache
Chambre forte sécurisée
Enregistreur de touche
Détection d'émulation d'hôte
Référez-vous le pour en savoir plus de guide de configuration de toCSD.
A. Référez-vous au pour en savoir plus de référence de compatibilité de la gamme VPN de Cisco ASA 5500.
A. La configuration CSD est enregistrée sur l'éclair sous le fichier sdesktop/data.xml.
A. Non Le CSD interopère seulement avec le VPN SSL sans client et l'Anyconnect 2.x.
A. Oui. PreLogin vérifie des Certificats d'ordinateur a été mis en application dans CSD 3.2.1 (CSCsj35249).
A. Le système de fichiers est virtualisé. À l'intérieur de la chambre forte vous pouvez voir les fichiers locaux essentiels tels que des fichiers et des fenêtres de programme, mais des fichiers dans la chambre forte ne peuvent pas être déplacés dehors.
A. No.
A. No.
Remarque: Une exception à ceci est l'utilisation de certaines applications de messagerie électronique telles qu'Outlook, Outlook Express, Eudora et Lotus Notes qui fonctionnent comme ils font sur le PC client. Ces applications ne sont pas généralement trouvées dans le domaine public.
A. Oui, mais les données est chiffré et est retiré une fois que la chambre forte est désinstallée et n'est pas visible si la clé est retirée.
A. Oui. Si les répertoires partagés de réseau existent en tant qu'élément du voisinage réseau sur le PC client, alors ils apparaissent également sur le voisinage réseau de Secure Desktop.
A. Oui.
A. Conformément à la documentation, des emplacements sont identifiés quand les critères des endroits différents sont vérifiés avec l'utilisation de la priorité de haut en bas comme présenté dans le volet d'emplacement de fenêtres. Le premier emplacement qui répond aux critères est utilisé comme emplacement de connexion. Cisco suggère l'utilisation d'un emplacement sans des critères comme dernier emplacement de sorte que ce devienne le par défaut si aucun autre emplacement avec des critères n'est apparié.
A. Oui, vous pouvez encore installer le CSD même si les deux X et Javas actifs ne sont pas détectés sur le PC client.
A. Non, il n'y a pas aucune restriction pour le Cisco Secure Desktop ou le client de VPN SSL.
A. Oui. CSA V4.5 maintenant le prend en charge et est entièrement compatible avec le CSD et le SVC.
A. Quand un environnement de Secure Desktop est créé, un espace de fichier crypté (la chambre forte) est généré, qui commence comme petit espace de fichier et devient un maximum de 2 Go, qui dépend de quelles applications sont chargées de leurs emplacements par défaut tout en fonctionnant dans la chambre forte.
A. Ceci est détaillé dans les notes de mise à jour et ne peut pas être commandé. Il ne permet pas des applications à installer tandis que dans la chambre forte/espace écart-type, mais utilise les applications par défaut sous les fichiers de programme qui sont déjà installés sur le PC client. Applications de supports de Secure Desktop seulement installées dans l'emplacement par défaut. Pour des applications accrues de Sécurité seulement installées sous Windows et des répertoires de fichiers de programme soyez accessible sous le Secure Desktop. Le Secure Desktop ne prend en charge pas ou permet l'accès aux applications non trouvées dans ces emplacements d'installation par défaut.
A. C'est une option de configuration dans la configuration de gestion de Secure Desktop. La mémoire tampon de copie/pâte (presse-papier) est effacée une fois que vous commutez de nouveau au PC client, si activé dans la configuration.
Limitez l'impression sur le Secure Desktop — Vérifiez pour empêcher l'utilisateur de l'impression tandis que l'espace de Secure Desktop est utilisé. Pour la sécurité maximale des données sensibles, vérifiez cette option.
A. Ceci n'a pas été pris en charge dans les versions antérieures (plus tôt que 3.1.0.29) et a été détaillé dans CSCsc12461. Le contournement était à ce moment-là de désactiver le département dans le BIOS comme mentionné dans le DDTS. En date de la version 3.1.0.29, ceci a été maintenant résolu.
A. Non, parce que le composant CSD que vous voulez installer dépend du résultat de la stratégie de prelogin.
A. CSD v3.3 prend en charge la caractéristique de CSD-chambre forte (bac à sable) sur les Plateformes de 32 bits de vista.
Voir le VPN_Compatibility pour plus de détails.
A. Les données demeurent chiffrées/inaccessibles et puis sont effacées la prochaine fois que le Cisco Secure Desktop est lancé. Si vous utilisez un décapant de cache, les données sont éliminées la prochaine fois que vous ouvrez une session.
A. La nouvelle version du Cisco Secure Desktop 3.2.x n'est pas vers l'arrière compatible avec une ASA plus ancienne 7.1.x/7.2.x.
A. CSD 3.2 pour des supports ASA 8.0.2.x cachent SEULEMENT le décapant sur le vista, les ordinateurs de 32 bits. Le support sécurisé de chambre forte sur le vista est pour la future considération (CSD v3.3).
Mise à jour — CSD v3.3 prend en charge la caractéristique de CSD-chambre forte (bac à sable) sur les Plateformes de 32 bits de vista.
A. L'estimation avancée de point final CSD 3.2 ne permet pas vérifier des plusieurs versions d'un programme d'antivirus, de pare-feu personnel ou d'AntiSpyware. CSD 3.2.1 a la capacité de vérifier de plusieurs programmes d'antivirus, de pare-feu personnel ou d'AntiSpyware avec l'utilisation de la stratégie d'accès dynamique avec la configuration d'estimation de point final.
Remarque: CSD 3.2.1, ASDM6.0.3/ASA 8.0.3, que FCSed en novembre 2007, inclut cette capacité (CSCsk71239).
A. La conception en cours ne tient pas compte pour que le CSD contrôle des lecteurs de cd-rom.
A. Le concept CSD est de ne pas laisser quelque chose derrière. La chambre forte CSD est pour la mémoire des données de session telles que les pages Web cachées créées pendant la session de vpn. La chambre forte est chiffrée pour la protection. On ne le cense pas être un type de périphérique de protection antivirus.
A. Le CSD fournit le contrôle de posture et la correction limitée, alors que le CCA peut réellement prendre en charge un procédé plus sophistiqué et plus complet de correction. C'est clé si l'utilisateur VPN est un télétravailleur à plein temps, par exemple, qui n'est pas ce tech savy et a besoin de l'instruction sur les étapes suivantes qui sont nécessaires sans s'embourber le service de support technique interne. Cela peut également mener à une réduction des coûts de support et de l'augmentation de la productivité si vous voulez extrapoler les possibilités.
A. Pas actuellement en date de v8.0.3. Le CSD est globably activé sur l'ASA pour toutes les stratégies de groupe avant que l'authentification/autorisation ait lieu. La principale raison pourquoi le Cisco Secure Desktop était pré-procédure de connexion chargée est d'offrir la protection au-dessus du processus de procédure de connexion elle-même, particulièrement quand les qualifications statiques sont en service.
A. Quand le Secure Desktop est installé, il peut être désinstallé manuellement ou automatiquement quand une session est fermée. Une option est disponible dans le général de gestionnaire > de Secure Desktop CSD afin de faire ceci automatiquement.
A. Les dernières informations sont toujours intérieur visible d'ASDM. Vous pouvez également extraire secinsp_<VERSION>_av.xml, secinsp_<VERSION>_as.xml et secinsp_<VERSION>_fw.xml du courant CSD empaquetez (comme ZIP) et recherchez l'attribut de Product_ID.
Ces contrôles sont mis à jour avec chaque release et en tant que, il est impossibles pour que la documentation suive la liste.
A. Valeur recherchez d'Allow_port et de Block_port attribut pour chaque produit.
v= implemented x= not implemented
A. L'installation CSD avec Javas déjà installées et la plupart des opérations de balayage de base d'hôte n'exigent pas des privilèges d'administrateur. Les exécutions telles qu'activer un processus FW, ne fonctionnent pas sans privilège d'administrateur, naturellement. Ne l'attendez pas à balayer pour des fichiers qu'il n'a pas le privilège pour que lequel balaye ; par exemple, si vous êtes utilisateur limité, vous ne pouvez pas détecter /users/administrator/mydocuments/file.txt. L'enregistreur principal de rappe a besoin des privilèges d'administrateur.
A. Non Le CSD prend en charge seulement les Plateformes de 32 bits.
A. Non Les contrôles de stratégie de Prelogin se fondent sur le CSD étant activé.
A. Les contrôles sont adresse IP (chaîne de source ip), certificat, registre, fichier et SYSTÈME D'EXPLOITATION.
A. Dans l'ASDM il n'y a actuellement aucun bouton/molette pour supprimer toutes les stratégies de Prelogin. Vous pouvez seulement les supprimer indidually. Il y a une demande d'amélioration CSCsq91629 afin de pouvoir faire ceci.
Sur l'ASA CLI, vous pouvez se terminer ces étapes afin d'effacer toutes les stratégies de Prelogin et configuration du positionnement CSD pour se transférer.
- #delete sdesktop/data.xml
- Alors vous devez quitter et redémarrer l'ASDM pour que la modification prenne l'affect.
A. Les contrôles de certificat vérifie seulement que le certificat est présent sur l'hôte de point final, et pas si le certificat PKI-est validé.
A. Seulement Windows.
A. Non Des stratégies spécifiques CSD ne peuvent pas être placées par Radius/LDAP.
A. Les supports CSD 3.2.1 maintenant mettent en communication la lecture sur le PC de point final (Windows, MAC, Linux) et ont été mis en application dans CSCsj44999. Dynamic Access Policies (DAP) peut imposer l'attribut endpoint.device.port dans la stratégie.
A. Voici une liste de catégories d'attribut de sélection de point final DAP en date de 8.0.3.x :
Anti-spyware
Antivirus
Application
Fichier
NAC
Pare-feu personnel
Stratégie (emplacement)
Process
Registre
Périphérique tel que l'adresse Internet, le MAC address, le numéro de port, et la protection de la vie privée
A. L'ASA crée de seuls nombres aléatoires et les assigne à HostScans ainsi elle peut distinguer un HostScan des autres. HostScan se produit avant la procédure de connexion quand aucune session de VPN SSL n'existe. HostScan n'envoie pas le jeton CSD dans le fichier de balayage. Le jeton est utilisé pour relier les données de balayage à la session de VPN SSL ASA.
A. Quand Anyconnect est lancé en mode SBL, seulement hostscan est exécuté par CSD indépendamment de quelle stratégie de prelogin dicte, à moins qu'il n'y ait aucune correspondance d'emplacement, dans ce cas le lancement CSD échoue.
A. Upgrate une nouvelle image CSD, qui maintient toutes les configurations intactes, excepté des mises à jour de CSD 3.1.1 à 3.2 ou plus tard.
A. Dans la mise à jour 10 JRE6 et plus tard, débuts de Javas différemment de la technique normalisée. Référez-vous à introduire la mise à jour 10 expert en logiciel 6 de Javas
pour plus d'informations sur la mise à jour 10 de Javas.
Le programme de lecture de chambre forte de Secure Desktop gèle si vous ouvrez un site Web qui contient un Java applet, et la mise à jour 10 JRE ou plus tard est installé sur l'ordinateur. Ce problème se pose seulement si vous avez vérifié l'utilisation d'application de limiter à l'option de navigateur Web seulement actuelle dans des configurations de gestionnaire > de <policy_name> > de Secure Desktop de Secure Desktop. La valeur par défaut est décochée. Vous pouvez faire une de ces options afin de rendre des applet Java fonctionnels sur le Secure Desktop :
Ajoutez ces lignes à la zone de texte sous l'attribut coché limitent l'utilisation d'application au navigateur Web seulement :
c:\program\java.exe
c:\program\jp2launcher.exe
Décochez limitent l'utilisation d'application à la case à cocher de navigateur Web seulement. Ceci résout le problème.