Abilitazione o disabilitazione dell'agente SWG AnyConnect e del modulo di sicurezza in roaming su macOS
Introduzione
In questo documento viene descritto come abilitare o disabilitare AnyConnect SWG Agent e Roaming Security Module su macOS.
Problema
Dopo aver installato AnyConnect 4.8.x con il modulo Umbrella Roaming Security, i clienti con Umbrella SIG Essentials, SIG add-on o ELA con SIG, gli endpoint iniziano a inoltrare il traffico DNS e il traffico Web al modulo Umbrella Roaming Security e allo SWG senza un metodo chiaro per disabilitare questo comportamento.
AnyConnect 4.8 MR1 è stata la prima release a supportare Umbrella SWG dall'endpoint, ma poiché l'agente SWG aveva un proprio binario da cui eseguire l'installazione, era dotato dello stesso binario che installa Umbrella Roaming Security Agent. Attualmente l'agente SWG può essere controllato dal dashboard Umbrella, ma questa è un'impostazione globale che influisce su tutte le installazioni di endpoint. La sincronizzazione selettiva SWG può ora essere completata nel dashboard, 100 alla volta.
Soluzione
Poiché macOS non è in grado di controllare localmente lo stato di Roaming Security Module e SWG Agent, è necessario gestirlo utilizzando un metodo basato su script. Il team Cisco Umbrella ha sviluppato pochi script per disabilitare l'agente SWG e uno per abilitare l'agente SWG e disabilitare il modulo di sicurezza roaming e abilitare il modulo di sicurezza roaming, che rendono lo stato persistente.
Gli script devono essere eseguiti come root, ma non è necessario riavviare il sistema. L'aggiornamento o la reinstallazione di AnyConnect consente di abilitare nuovamente il modulo Roaming Security e l'agente SWG. Lo script deve essere eseguito di nuovo. Gli script sono disponibili nella parte inferiore di questo articolo.
Controllo dello stato dell'agente RSM AnyConnect
Per verificare che lo stato dell'agente RSM AnyConnect sia corretto:
- Aprire Cisco AnyConnect Secure Mobility Client
- Fare clic su Statistiche
360054989191 - Scorri verso il basso fino a "Stato protezione DNS"
4403216788116
4403216786708
Nota: Quando si disattiva Umbrella Roaming Security Module, viene disattivato anche l'agente SWG, in quanto l'agente SWG dipende da Umbrella Roaming Security Module.
Controllo dello stato dell'agente SWG di AnyConnect
Per verificare che lo stato dell'agente SWG AnyConnect sia corretto:
- Aprire Cisco AnyConnect Secure Mobility Client
- Fare clic su Statistiche
360054989191 - Scorri verso il basso fino a "Stato protezione Web"
360054865132
360054865112
Uso script
Per eseguire gli script in macOS:
1. Assicurarsi che gli script dispongano di privilegi sufficienti, in particolare il privilegio di scrittura.
È possibile modificare il privilegio di script dal terminale MAC utilizzando questo esempio di comando:
chmod 777 umbrella_swg_disable.sh
2. Per eseguire lo script, è possibile utilizzare il comando di esempio:
sudo ./umbrella_swg_disable.sh
Output di esempio riuscito:
4403216844180
4403216851604
Nota: Aggiunta di script aggiuntivi per MAC OS 13+ con Secure Client versione 5.1.X.XXX e successive e di script per macOS versione precedente a 13 con Secure Client 5.0.x
EFT per API impostazioni dispositivo SWG
Utilizzo di un ricciolo per una singola macchina:
curl --location 'https://api.umbrella.com/deployments/v2/deviceSettings/SWGEnabled/set' \--header 'Content-Type: application/json' \--header 'Accept: application/json' \--header 'Authorization: Bearer ' \--data '{ "value": "0", "originIds": [ 123456789 ]}' Utilizzo di un file con più computer:
curl --location 'https://api.umbrella.com/deployments/v2/deviceSettings/SWGEnabled/set' \--header 'Content-Type: application/json' \--header 'Accept: application/json' \--header 'Authorization: Bearer ' \--data 'your-path/swg-stat.json' Ulteriori informazioni sono disponibili qui nella documentazione ufficiale per gli sviluppatori.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
07-Oct-2025
|
Versione iniziale |
Feedback