목차
소개
이 문서에서는 Windows 시스템의 Add/Remove 프로그램 목록에서 AnyConnect Lockdown 및 Hide AnyConnect를 활성화하는 데 필요한 단계에 대해 설명합니다.
기고자: Christian G. Hernandez R, Cisco TAC 엔지니어
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
사용되는 구성 요소
이 문서의 정보는 아래 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco ASA 버전 9.14.2.13
- Cisco ASDM(Adaptive Security Device Manager) 버전 7.14.1
- Cisco AnyConnect 버전 4.9.04053 및 4.9.06037
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
배경 정보
Windows용 AnyConnect 잠금:Cisco는 최종 사용자에게 Cisco AnyConnect Secure Mobility Client 제공합니다최종 사용자가 추가 권한을 보증하는 경우 설치 관리자는 사용자와 로컬 관리자가 AnyConnect 서비스를 끄거나 중지할 수 없도록 잠금 기능을 제공할 수 있습니다.
AnyConnect 잠금 기능을 활성화하는 세 가지 옵션이 있습니다.
1. Windows 명령 프롬프트 터미널의 MSI 설치 프로그램
2. AnyConnect 배포 전 패키지 설치 마법사에서 잠금 옵션
3. ASDM - 샘플 설치 프로그램 잠금 변환 파일을 ASA로 가져옵니다.
Windows용 프로그램 추가/제거 목록에서 AnyConnect 숨기기: Windows 제어판의 프로그램 제거 프로그램 추가/제거 목록에서 설치된 AnyConnect 모듈을 숨길 수 있습니다.
프로그램 추가/제거 목록 기능에서 Hide AnyConnect(AnyConnect 숨기기)를 활성화하는 두 가지 옵션이 있습니다.
1. Windows 명령 프롬프트 터미널의 MSI 설치 프로그램
2. ASDM - 샘플 설치 프로그램 hide-addermove 변형 파일을 ASA로 가져옵니다.
구성
네트워크 다이어그램
AnyConnect 잠금 구성
Windows 명령 프롬프트 터미널에서 MSI 설치 프로그램
구성 단계
1단계. Windows용 AnyConnect 사전 배포 패키지 파일을 다운로드합니다.
1단계 Cisco 소프트웨어 다운로드 페이지로 이동하여 Windows 시스템에 설치할 AnyConnect 버전을 다운로드합니다.
이 예에서는 개별 MSI를 포함하는 Windows AnyConnect 사전 배포 패키지를 다운로드합니다. 버전 4.9.04053용 파일(anyconnect-win-4.9.04053-predeploy-k9.zip)
2단계. Windows용 AnyConnect 설치 프로그램 변형 파일을 다운로드합니다.
2.1단계 Cisco 소프트웨어 다운로드 페이지로 이동하여 Windows 시스템에 설치할 AnyConnect 버전과 일치하는 Windows용 AnyConnect Installer 변형 파일을 다운로드합니다.
이 예에서는 AnyConnect 버전 4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)용 변형 파일을 다운로드합니다.
3단계. 다운로드한 AnyConnect 파일의 압축을 풀어 다른 폴더에 저장합니다.
3.1단계 anyconnect-win-4.9.04053-predeploy-k9.zip 파일의 압축이 다음 폴더 경로(C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9)에서 풀립니다.
3.2단계 tools-anyconnect-win-4.9.04053-transforms.zip다음 폴더 경로에서 파일의 압축이 풀립니다. C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms
4단계. AnyConnect 잠금 변환 파일을 복사하여 AnyConnect MSI 설치 프로그램 파일과 동일한 폴더에 붙여넣습니다.
4.1단계 tools-anyconnect-win-4.9.04053-transforms 폴더에서 _anyconnect-win-lockdown.mst lockdown을 복사하여 다음과 같이 anyconnect-win-4.9.04053-predeploy-k9 폴더에 붙여넣습니다.
5단계. MSI AnyConnect 설치 파일이 있는 폴더 경로에 CD를 넣습니다.
5.1단계 Windows 명령 프롬프트 터미널을 열고 MSI AnyConnect 설치 파일이 있는 폴더 경로로 cd를 열고 _anyconnect-win-lockdown.mst lockdown은 위 단계에서 복사/붙여넣은 파일을 변환합니다.
이 예제 cd는 다음 폴더 경로 C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9에 있습니다.
6단계. 잠금 변환 파일을 사용하여 AnyConnect 모듈을 설치합니다.
6.1단계 I
AnyConnect .msi 모듈 파일 및 _anyconnect-win-lockdown.mst lockdown 변형 파일을 가리키는 다음 MSI installer 명령과 함께 필요한 각 AnyConnect 모듈을 설치합니다.
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
참고:LOCKDOWN 값 설정을 "1"으로 지정하면 AnyConnect 모듈이 설치할 수 있는 잠금 기능이 활성화됩니다.
참고:Cisco는 제공된 샘플 변형 파일을 사용하여 이 속성을 설정하고, 잠글 각 모듈에 대해 변형을 각 MSI 설치 프로그램에 적용할 것을 권장합니다. 샘플 변환은 Cisco AnyConnect Secure Mobility Client 소프트웨어 다운로드 페이지에서 다운로드할 수 있습니다.
참고:코어 클라이언트와 하나 이상의 선택적 모듈을 구축하는 경우 각 설치 프로그램에 LOCKDOWN 속성을 적용해야 합니다.이 작업은 한 가지 방법이며 제품을 다시 설치하지 않으면 제거할 수 없습니다.
6단계 6.2 이 예에서는 AnyConnect CORE & VPN 모듈과 _anyconnect-win-lockdown.mst lockdown 변형 파일을 설치합니다. 이 두 파일은 모두 AnyConnect 버전 4.9.04053의 파일과 일치합니다.
msiexec -i anyconnect-win-4.9.04053-core-vpn-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
6.3단계 이 예에서는 AnyConnect Umbrella Roaming Security 모듈과 _anyconnect-win-lockdown.mst lockdown 변형 파일을 설치합니다. 둘 다 AnyConnect 버전 4.9.04053의 파일과 일치합니다.
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
AnyConnect에서 잠금 옵션 배포 전 패키지 설치 마법사.
구성 단계
1단계. Windows용 Anyconnect 사전 배포 패키지 파일을 다운로드합니다.
1단계 Cisco 소프트웨어 다운로드 페이지로 이동하여 Windows 시스템에 설치할 AnyConnect 버전을 다운로드합니다.
이 예에서는 버전 4.9.04053의 개별 MSI 파일을 포함하는 Windows AnyConnect 사전 배포 패키지를 다운로드합니다(anyconnect-win-4.9.04053-predeploy-k9.zip).
2단계. AnyConnect 설정 파일을 엽니다.
2.1단계 anyconnect-win-4.9.04053-pre-deploy-k9.zip 파일의 압축을 풀고 엽니다.
2.2단계 그런 다음 AnyConnect 설정 파일을 두 번 클릭합니다.
3단계. AnyConnect 설치 마법사로 작업합니다.
3.1단계 표시되는 옵션에서 설치할 AnyConnect 모듈을 선택합니다.
이 예에서는 AnyConnect CORE & VPN 및 Umbrella Roaming Security 모듈을 선택합니다.
4단계. AnyConnect 잠금 기능을 활성화합니다.
4.1단계 CORE & VPN 및 Umbrella Roaming Security 모듈에 대해 잠금 기능을 활성화하려면 Lock Down Component Services 옵션을 선택하고 설치를 계속합니다.
5단계. AnyConnect 모듈의 설치를 확인합니다.
5.1단계 다음 메시지가 표시되면 AnyConnect 모듈 설치가 100%로 완료됩니다.
프로그램 추가/제거 목록에서 AnyConnect 숨기기 구성
Windows 명령 프롬프트 터미널에서 MSI 설치 프로그램
구성 단계
1단계. Windows용 AnyConnect 사전 배포 패키지 파일을 다운로드합니다.
1단계 Cisco 소프트웨어 다운로드 페이지로 이동하여 Windows 시스템에 설치할 AnyConnect 버전을 다운로드합니다.
이 예에서는 개별 MSI를 포함하는 Windows AnyConnect 사전 배포 패키지를 다운로드합니다. 버전 4.9.04053용 파일(anyconnect-win-4.9.04053-predeploy-k9.zip)
2단계. Windows용 AnyConnect 설치 프로그램 변형 파일을 다운로드합니다.
2.1단계 Cisco 소프트웨어 다운로드 페이지로 이동하여 Windows 시스템에 설치할 동일한 AnyConnect 버전과 일치하는 Windows용 AnyConnect Installer 변형 파일을 다운로드합니다.
이 예에서는 AnyConnect 버전 4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)용 변형 파일을 다운로드합니다.
3단계. 다운로드한 AnyConnect 파일의 압축을 풀어 다른 폴더에 저장합니다.
3.1단계 anyconnect-win-4.9.04053-predeploy-k9.zip 파일의 압축이 다음 폴더 경로(C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9)에서 풀립니다.
3.2단계 tools-anyconnect-win-4.9.04053-transforms.zip다음 폴더 경로에서 파일의 압축이 풀립니다. C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms
4단계. AnyConnect hide-addermove 변형 파일을 복사하여 AnyConnect MSI 설치 프로그램 파일과 같은 폴더에 붙여넣습니다.
4.1단계 tools-anyconnect-win-4.9.04053-transforms 폴더에서 _anyconnect-win-hide-addremove-display.mst를 복사하여 anyconnect-win-4.9.04053-predeploy-k9 폴더에 붙여넣습니다.
5단계. MSI AnyConnect 설치 파일이 있는 폴더 경로에 CD를 넣습니다.
5.1단계 Windows 명령 프롬프트 터미널을 열고 MSI AnyConnect 설치 파일과 _anyconnect-win-hide-addremove-display.mst가 있는 폴더 경로로 cd를 열면 위 단계에서 복사/붙여넣은 파일을 변형합니다.
이 예제 cd는 다음 폴더 경로 C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9에 있습니다.
6단계. hide-addremove 변환 파일을 사용하여 AnyConnect 모듈을 설치합니다.
6.1단계 I
AnyConnect .msi 모듈 파일 및_anyconnect-win-hide-addremove-display.mst 변환 파일을 가리키는 다음 MSI installer 명령과 함께 필요한 각 AnyConnect 모듈을 설치합니다.
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
참고: ARPSYSTEMCOMPONENT 값 설정을 "1"으로 지정하면 AnyConnect 모듈을 설치할 프로그램 목록 추가/제거 기능에서 Hide AnyConnect를 활성화합니다.
참고:Cisco는 제공된 샘플 변형 파일을 사용하여 이 속성을 설정하고, 숨기려는 각 모듈의 각 MSI 설치 프로그램에 변형을 적용할 것을 권장합니다. 샘플 변환은 Cisco AnyConnect Secure Mobility Client 소프트웨어 다운로드 페이지에서 다운로드할 수 있습니다.
참고:코어 클라이언트와 하나 이상의 선택적 모듈을 구축하는 경우 각 설치 관리자에 HIDE-AnyConnect 속성을 적용해야 합니다.이 작업은 한 가지 방법이며 제품을 다시 설치하지 않으면 제거할 수 없습니다.
6단계 6.2 이 예에서는 AnyConnect CORE & VPN 모듈과 AnyConnect 버전 4.9.04053의 파일과 일치하는_anyconnect-win-hide-addremove-display.mst 변환 파일을 설치합니다.
6.3단계 이 예에서는 AnyConnect Umbrella Roaming Security 모듈과 _anyconnect-win-hide-addremove-display.mst 변환 파일을 설치합니다. 이 파일은 모두 AnyConnect 버전 4.9.04053의 파일과 일치합니다.
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
ASDM을 사용하여 프로그램 추가/제거 목록에서 AnyConnect 잠금 및 Hide AnyConnect를 구성합니다.
이 절차는 AnyConnect 웹 배포 업데이트에만 적용됩니다.이 예에서는 AnyConnect 웹 구축 업데이트를 버전 4.9.04053에서 4.9.0.6037으로 간주합니다.
구성 단계
1단계. Windows 시스템에서 실행되는 AnyConnect 버전을 확인합니다.
1.1단계 이 예의 Windows 시스템에는 Core & VPN 및 Umbrella Roaming Security 모듈 모두에 대해 AnyConnect 버전 4.9.04053이 이미 설치되어 있습니다.
2단계. Windows용 AnyConnect 헤드엔드 구축 패키지 파일을 다운로드합니다.
2.1단계 Cisco 소프트웨어 다운로드 페이지로 이동하여 웹 배포 업데이트를 위해 Windows 컴퓨터에 설치할 AnyConnect 헤드엔드 구축 패키지 파일 버전을 다운로드합니다.
이 예에서는 Windows AnyConnect 헤드엔드 배포 패키지를 다운로드합니다. 버전 4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg).
3단계. Windows용 AnyConnect 설치 프로그램 변형 파일을 다운로드합니다.
3.1단계 Cisco 소프트웨어 다운로드 페이지로 이동하여 Windows 시스템에 설치할 동일한 AnyConnect 버전과 일치하는 Windows용 AnyConnect Installer 변형 파일을 다운로드합니다.
이 예에서는 AnyConnect 버전 4.9.06037(tools-anyconnect-win-4.9.06037-transforms.zip)용 변형 파일을 다운로드합니다.
4단계. 다운로드한 AnyConnect 변형 파일의 압축을 해제합니다.
4.1단계
tools-anyconnect-win-4.9.06037-transforms.zip다음 폴더 경로에서 파일의 압축이 풀립니다. C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms
5단계. ASDM을 열고 자격 증명을 사용하여 ASA에 연결합니다.
6단계. PC에서 ASA 플래시 메모리로 AnyConnect 헤드엔드 구축 패키지를 전송합니다.
6.1단계 Tools(툴) > File Management(파일 관리) > File Transfer(파일 전송) > Between Local PC and Flash(로컬 PC 및 플래시 간)로 이동하고 AnyConnect 헤드엔드 구축 패키지 버전 4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg)를 ASA 플래시 메모리로 전송합니다.
7단계. 웹 배포 업데이트에 대해 전송된 AnyConnect 헤드엔드 구축 패키지 버전을 구성합니다.
7단계 7.1 ASDM Configuration(ASDM 컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Anyconnect Client Software(Anyconnect 클라이언트 소프트웨어)로 이동하고 설치된 AnyConnect 헤드엔드 구축 패키지 버전 4.9.04053을 선택합니다.
7.2단계 그런 다음 Replace and Browse Flash(플래시 교체 및 찾아보기)를 선택하여 기존 AnyConnect 헤드엔드 구축 패키지 버전 4.9.04053을 이전에 플래시 메모리로 전송된 4.9.06037으로 바꿉니다.
7.3단계 컨피그레이션 변경 사항을 적용하고 ASA에 전송합니다.
8단계. AnyConnect 샘플 변형 파일을 가져옵니다.
8.1단계 ASDM Configuration(ASDM 컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Customized Installer Transforms(사용자 정의 설치 프로그램 변형) > Import(가져오기)로 이동하여 필요한 샘플 변형 파일을 가져옵니다.
8단계 8.2 AnyConnect 버전 4.9.06037 _anyconnect-win-lockdown.mst 샘플 변형 파일을 가져와 CORE & VPN 및 Umbrella Roaming Security 모듈 모두에 대한 잠금을 활성화합니다.
다음과 같이 값을 입력합니다.
이름:_AnyConnect 잠금
플랫폼:성공
파일 선택 - 로컬 컴퓨터: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-lockdown.mst
참고: AnyConnect _anyconnect-win-lockdown.mst 샘플 변형 파일은 필요한 AnyConnect 모듈에 대해 작동합니다.
8단계 8.3 AnyConnect 버전 4.9.06037 _anyconnect-win-hide-addremove-display.mst 샘플 변형 파일을 가져와 CORE & VPN 및 Umbrella Roaming Security 모듈의 추가/제거 프로그램 목록에서 숨기기를 활성화합니다.
다음과 같이 값을 입력합니다.
이름:_Anyconnect-haddeaddremove
플랫폼:성공
파일 선택: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-hide-addremove-display.mst
참고: _anyconnect-win-hide-addremove-display.mstsample 변환 파일은 필요한 AnyConnect 모듈에 대해 작동합니다.
8.4단계 컨피그레이션 변경 사항을 저장하고 ASA에 전송합니다.
참고:이 문서가 작성될 때까지 샘플 변형 파일을 가져오는 데 사용되는 이름에는 이름의 시작 부분에 밑줄 "_"이 있어야 합니다. 이렇게 하면 가져온 샘플 변환은 어떤 AnyConnect 모듈에서도 작동하게 됩니다.이름의 시작 부분에 밑줄이 없는 다른 이름을 사용하는 경우 가져온 샘플 변환은 CORE 및 VPN Anyconnect 모듈(CSCvy38427)에만 작동합니다.
9단계. AnyConnect 웹 구축 자동 업데이트
9단계 9.1AnyConnect 웹 구축 자동 업데이트가 CORE & VPN 및 Umbrella Roaming Security 모듈에 대해 강제로 수행됩니다.
여기서 CORE & VPN 및 Umbrella Roaming Security 모듈을 자동 업데이트하도록 ASA AnyConnect 컨피그레이션을 적용합니다.
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.9.06037-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy ANYCONNECT_GP1 internal
group-policy ANYCONNECT_GP1 attributes
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL1
webvpn
anyconnect modules value umbrella
tunnel-group MY_TUNNEL1 type remote-access
tunnel-group MY_TUNNEL1 general-attributes
address-pool VPN_POOL1
default-group-policy ANYCONNECT_GP1
tunnel-group MY_TUNNEL1 webvpn-attributes
group-alias SSL_TUNNEL1 enable
9.2단계 Windows 시스템에서 버전 4.9.04053을 실행하는 AnyConnect 클라이언트에서 ASA 헤드엔드에 대한 연결을 시작합니다.
9.3단계 이후 AnyConnect Core & VPN 및 Umbrella Roaming Security 모듈은 잠금 및 프로그램 목록 추가/제거 기능의 숨기기 기능을 활성화하여 버전 4.9.06037으로 업데이트됩니다.
다음을 확인합니다.
설치된 AnyConnect 모듈에 대해 잠금 기능이 활성화되었는지 확인합니다.
1단계. 다음과 같이 Windows 서비스(services.msc)를 엽니다.
2단계.CORE & VPN 및 Umbrella Roaming Security 서비스를 마우스 오른쪽 버튼으로 클릭합니다.
이러한 AnyConnect 모듈에 대한 서비스를 시작, 중지, 일시 중지, 재시작 또는 재시작할 수 없으므로 잠금 기능이 활성화되었는지 확인할 수 있습니다.
확인 프로그램 추가/제거 목록에서 숨기기 설치된 AnyConnect 모듈에 대해 기능이 활성화됩니다.
1단계. 다음과 같이 AnyConnect 클라이언트를 엽니다.
2단계. 설치된 AnyConnect 버전을 확인합니다.
이렇게 하려면 AnyConnect 클라이언트 아래에서 INFO 아이콘을 다음과 같이 선택합니다.
2.1단계 AnyConnect 버전 4.9.04053:
2.2단계 AnyConnect 버전 4.9.06037:
3단계. AnyConnect CORE & VPN 및 Umbrella Roaming Security 모듈이 모두 Windows 프로그램 추가/제거 목록에서 숨겨져 있는지 확인합니다.
이렇게 하려면 Windows 제어판 > 프로그램 제거로 이동합니다.
문제 해결
이 문서에 대해 따라야 할 트러블슈팅 절차가 없습니다.
관련 버그
CSCvy38427 ASDM:여러 AC 모듈에 적용하려면 변형 파일 이름을 "_" 밑줄로 시작해야 합니다.
관련 정보
기술 지원 및 문서 − Cisco Systems
Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0
피드백