번들 Umbrella 프로필을 사용한 자동 배포 이해(Windows)

소개

이 문서에서는 Cisco Secure Client(Windows)의 번들 Umbrella 프로필이 포함된 자동화된 구축 자습서에 대해 설명합니다.

개요

Umbrella 모듈로 Cisco Secure Client(CSC)(이전의 AnyConnect)를 구축하려면 다음 구성 요소가 필요합니다.

• CSC Core VPN 모듈 설치 
• Umbrella Roaming Security Module 설치
• Umbrella 프로파일 설치(OrgInfo.json)
• DART(Diagnostic and Reporting Tool) 모듈 설치(옵션)

이 문서에서는 이러한 구성 요소를 프로그래밍 방식으로 설치하는 방법(Windows)에 대한 자습서를 제공합니다.  Umbrella 프로필은 공유 폴더의 설치에 적합한 설치 패키지 내에 포함됩니다.

배포 전 패키지 만들기

다음 단계에서는 Umbrella 모듈을 구축합니다. Cisco VPN 기능은 완전히 비활성화되어 있습니다. 그러나 코어 VPN 모듈은 DNS 트래픽의 기본 가로채기에 사용되므로 여전히 설치해야 합니다.

배포 패키지 작성

1. 1. Umbrella Dashboard(Umbrella 대시보드)에서 Umbrella 로밍 보안 모듈 프로필을 다운로드합니다. Deployments(구축) > Roaming Computers(로밍 컴퓨터) > Roaming Clients(로밍 클라이언트).
      • 모듈 프로필의 다운로드된 파일 이름은 Orginfo.json입니다
   2. 다음 위치 중 하나에서 Windows용 Umbrella Roaming Security Module "사전 구축" 패키지를 다운로드하십시오.
      • :software.cisco.com
      • Umbrella 릴리스 정보
   3. 다운로드한 AnyConnect 클라이언트의 압축을 풀고 버전 번호를 찾습니다.  추출된 패키지의 파일 이름 및 버전 번호를 기록해 둡니다
      
      27073502800788
      
      
   4. 설치 프로그램과 같은 디렉터리에 있는 "Profiles\Umbrella"* 폴더 내에 OrgInfo.json 파일을 추가합니다.  이 단계는 Cisco Umbrella 모듈이 설치 후 자동으로 등록되는 데 중요합니다. 폴더 구조는 다음과 같아야 합니다.

      cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msicisco-secure-client-win-win-X.X.XXXXX-umbrella-predeploy-k9.msicisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi\Profiles\umbrella\OrgInfo.json         

MSI 파일이 없는 경우 MSI 파일 옆에 \Profiles\Umbrella 하위 폴더를 만듭니다.

패키지 호스팅

패키지는 'Profiles\Umbrella' 하위 폴더를 사용하여 최종 사용자에게 배포되어야 합니다.  다음과 같은 방법으로 이를 달성할 수 있습니다.

• 공유 네트워크 폴더
• 다중 파일 설치 패키지의 작성을 지원하는 엔드포인트 관리 소프트웨어

패키지 배포

이제 MSI 파일은 엔드포인트 관리 소프트웨어를 사용하거나 'msiexec'을 사용하여 간단하게 배포할 수 있습니다.

MSI 명령

msiexec /package cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* vpninstall.log 
msiexec /package cisco-secure-client-win-X.X.XXXXX-umbrella-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* umbrellainstall.log
msiexec /package cisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi /norestart /passive /lvx* dartinstall.log

중요:  X.X.XXXXX를 MSI 파일 이름과 일치하는 올바른 버전 번호로 바꿉니다.

VPN 기능을 사용하지 않도록 설정하려면 PRE_DEPLOY_DISABLE_VPN=1 옵션이 설치 인수에 추가되었는지 확인하십시오. 또는 VPN 기능을 사용하도록 설정하려면 이 인수를 생략하십시오.

설치 중 추가 MSI 속성

Cisco 설치 패키지는 설치 중에 변경할 수 있는 몇 가지 MSI 속성을 지원합니다.  Cisco Umbrella에 일반적으로 사용되는 속성은 다음과 같습니다.

• LOCKDOWN = 설명한 대로 서비스를 수동으로 비활성화할 수 없습니다.
• ARPSYSTEMCOMPONENT = Windows "프로그램 및 기능" 목록에서 프로그램을 숨깁니다.
  

설치하는 동안 이러한 설정을 하려면 동일한 설치 단계를 사용하되 msiexec 명령에 추가 속성을 전달합니다.

잠금 사용

msiexec /package <MSI> /passive LOCKDOWN=1 /lvx* 

프로그램 및 기능에서 숨기기

msiexec /package <MSI> /passive ARPSYSTEMCOMPONENT=1 /lvx* 

또는 사용자 지정된 설치 프로그램 변환 파일(.mst 파일)을 제공하여 이러한 MSI 설정을 구성할 수 있습니다. 자세한 내용은 AnyConnect 잠금 구성을 참조하십시오.

Umbrella 프로파일 구축(설치 후)

일반적인 오류 "Profile is missing"은 Cisco Umbrella 모듈이 설치되었지만 프로파일(OrgInfo.json)이 설치되지 않았음을 나타냅니다. 즉, Cisco Umbrella 모듈은 Cisco Umbrella에 등록하거나 보호를 활성화할 수 없습니다.

프로파일이 설치 패키지에 올바르게 포함된 경우에는 이 문제가 발생하지 않습니다.

4435402655892

설치 패키지에 프로파일을 포함할 수 없는 경우 설치 작업 또는 스크립트를 사용하여 엔드포인트에 개별적으로 복사할 수 있습니다.  이 위치에 프로파일을 구축해야 합니다.

%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json

PowerShell 스크립트는 설치 후 작업으로 OrgInfo.json을 프로그래밍 방식으로 만드는 방법의 예를 보여줍니다.  ORG_ID, FINGERPRINT 및 USER_ID 자리 표시자를 프로필의 관련 값으로 바꿉니다.

$org_file = "%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json" 
$data=@" 
{ 
    "organizationId" : "ORG_ID", 
    "fingerprint" : "FINGERPRINT", 
    "userId" : "USER_ID" 
} 
"@ 

if(-not(Test-Path -Path $org_file)) 
{ 

$data > $org_file 
} 

VPN 기능 비활성화(설치 후)

구축 중에 VPN 기능이 비활성화되지 않은 경우, 나중에 디바이스에 특수 VPN 프로파일을 구축하여 비활성화할 수 있습니다.  참조: https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows

Cisco 루트 CA 구축

오류 없는 블록 페이지 및 HTTPS 브라우징의 경우 모든 엔드포인트에 Cisco Umbrella Root CA를 신뢰해야 합니다.  중앙에서 인증 기관을 구축하는 방법에 대한 자세한 내용은 엔드포인트 관리 소프트웨어를 참조하십시오.