Comprendere i requisiti per il modulo roaming AnyConnect per le versioni precedenti alla 4.8 MR2 e il connettore AD

Introduzione

Questo documento descrive i requisiti per usare il modulo di roaming AnyConnect prima della versione 4.8 MR2 e AD Connector.

Premesse

A partire dal 27 gennaio 2021, tutti i client devono utilizzare TLS 1.2+ per connettersi al cloud Umbrella per la sincronizzazione, la registrazione e gli aggiornamenti. I client con versioni precedenti devono eseguire regolazioni manuali per poter continuare a utilizzare i client Umbrella senza aggiornarli.

AnyConnect Roaming Module

Windows Roaming Client o modulo AnyConnect

Versione agente endpoint: I client di roaming Umbrella autonomi supportano solo la versione corrente. Le versioni precedenti non sono supportate. Questa versione supporta TLS 1.2 nativamente con .NET 4.6.2+.

Devono essere soddisfatti entrambi i requisiti:

1. A: Versione client
   • Cisco AnyConnect con modulo di roaming Umbrella: Versione 4.8.02042+ (link)
     o
   • Cisco AnyConnect 4.3 MR4+ più la configurazione di TLS 1.2 da utilizzare con le modifiche al Registro di sistema di Windows per espandere il supporto TLS e includere TLS 1.2:
2. B: Versione di .NET Framework
   • Versione di Microsoft .NET Framework: .NET 4.6.2
     o
   • versioni .NET precedenti conformi ai requisiti delle chiavi del Registro di sistema

Versione di Windows: 7, 8, 8,1, 10

Nota: Per MacOS Roaming Client o AnyConnect Module, non sono previste modifiche ai requisiti di sistema per il supporto di TLS 1.2.

Per coloro che non soddisfano questi requisiti, continuare a leggere.

Dettagli tecnici

Verificare se sono installate versioni precedenti di .NET e applicare le chiavi del Registro di sistema come indicato nell'articolo di Microsoft.

Passaggi richiesti per versioni client precedenti a AnyConnect 4.8 (MR2 da 2):

Opzione A. schusestrongcrypto

Questa soluzione imposta in modo esplicito i protocolli sicuri supportati sul set di TLS 1.0, TLS 1.1 e TLS 1.2 anziché basarsi sui valori predefiniti delle chiamate .NET.

Di seguito è riportata una guida dettagliata:

1. Verificare quale .NET Framework versione è installato nel computer Windows.
2. Se è installato solo .NET versione 4.6.2 (o successiva), la versione più recente di .NET Framework richiede di attivare o disattivare la cifratura avanzata. Utilizzare le seguenti chiavi del Registro di sistema:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001

Uno script di PowerShell viene fornito come esempio per apportare queste modifiche tramite SCCM/CLI. Questo script viene fornito così com'è.

# set strong cryptography on 64 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -Type DWord


# set strong cryptography on 32 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord 
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -Type DWord

Opzione B. VersioniTLSPredefinite

Per le versioni .NET meno recenti, questa opzione è necessaria per i client meno recenti. Per .NET 4.6.2+, si tratta di un'alternativa equivalente a schusestrongcrypto; sono necessarie entrambe le soluzioni.

Questa soluzione rinvia la scelta della versione TLS al sistema operativo anziché determinarla in .NET. Consente alle chiamate legacy di utilizzare le versioni supportate dal sistema. Nella maggior parte dei casi, questo include TLS 1.2.

1. .NET 4.5.1, 4.5.2: Richiede https://support.microsoft.com/kb/3156421
2. .NET 3.5 SP1 su Windows 7: Richiede https://support.microsoft.com/kb/3154518
3. .NET 3.5 SP1 su Windows 8.1: Richiede https://support.microsoft.com/kb/3154520
4. .NET 4.6.2+: Nessun requisito aggiuntivo

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001

Active Directory Connector

Piattaforme supportate: Windows Server 2012 e versioni successive.

Se il Connettore viene eseguito su Windows Server 2012 o versione successiva e viene eseguito .NET versione 4.x, per impostazione predefinita deve utilizzare TLS 1.2 per le comunicazioni con Umbrella.

Nota: Il supporto per i connettori che eseguono Windows Server 2008 e 2008 R2 è stato interrotto, poiché Microsoft ha annunciato la fine del supporto per queste versioni nel gennaio 2020. Per continuare a utilizzare Connector, è necessario eseguire l'aggiornamento a una versione di Windows Server supportata. Se non è possibile aggiornare la versione di Windows Server, assicurarsi di installare .NET versione 4.5 nel sistema per consentire al connettore di utilizzare TLS 1.2 per comunicare con Umbrella.