Configure O AnyConnect Lockdown E Oculte O AnyConnect Da Lista Adicionar/Remover Programas Para Windows

Opções de download

  • PDF     (9.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (10.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (5.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de Junho de 2021
ID do documento:217157

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Table Of Contents 

    Introduction

    Este documento descreve as etapas necessárias para ativar o AnyConnect Lockdown e o Ocultar AnyConnect da lista de programas Adicionar/Remover para máquinas Windows.

    Contribuído por Christian G. Hernandez R, engenheiro do TAC da Cisco.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Configuração do Cisco Adaptive Security Appliance (ASA)

    • Configuração do Cisco AnyConnect
    • conhecimento básico do Windows

    Componentes Utilizados

    As informações neste documento são baseadas nas versões de software e hardware abaixo:

    • Cisco ASA versão 9.14.2.13
    • Cisco Adaptive Security Device Manager (ASDM) versão 7.14.1
    • Cisco AnyConnect versões 4.9.04053 e 4.9.06037

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Bloqueio do AnyConnect para Windows: A Cisco recomenda que os usuários finais tenham direitos limitados para Cisco AnyConnect Secure Mobility Client no dispositivo. Se o usuário final garantir direitos adicionais, os instaladores podem fornecer um recurso de bloqueio que impede que usuários e administradores locais desliguem ou interrompam os serviços do AnyConnect.

    Você tem três opções diferentes para ativar o recurso AnyConnect Lockdown:

        1. Instaladores MSI do terminal do prompt de comando do Windows.

        2. Opção de bloqueio do assistente de instalação do pacote de pré-implantação do AnyConnect.

        3. ASDM - importe um exemplo de bloqueio do instalador transforma o arquivo no ASA.

    Ocultar o AnyConnect da lista de programas Add/Remove para Windows: Você pode ocultar os módulos do AnyConnect instalados da lista Adicionar/remover programas no Painel de controle do Windows Desinstalar um programa.  

    Você tem duas opções para ativar o recurso Ocultar AnyConnect da lista de programas Adicionar/Remover:

         1. Instaladores MSI do terminal do prompt de comando do Windows.

         2. ASDM - importe um exemplo de instalação de ocultar-adicionar transforma o arquivo para o ASA.

    Configurar

    Diagrama de Rede

    Configurar o bloqueio do AnyConnect

        Instaladores MSI do terminal do prompt de comando do Windows.

    Configuration Steps

    Etapa 1. Baixe o arquivo do pacote de pré-implantação do AnyConnect para Windows.

    Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows.

    Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui o MSI individual arquivos para a versão 4.9.04053 (anyconnect-win-4.9.04053-preDeployment-k9.zip).

    Etapa 2. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.

    Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download do arquivo AnyConnect Installer Transforms para Windows que corresponde à mesma versão do AnyConnect a ser instalada na máquina Windows.

    Para este exemplo, faça o download do arquivo de transformação para a versão 4.9.04053 do AnyConnect (tools-anyconnect-win-4.9.04053-transforms.zip).

    Etapa 3. Descompacte os arquivos do AnyConnect baixados em diferentes pastas.

    Etapa 3.1 O arquivo anyconnect-win-4.9.04053-preDeployment-k9.zip é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

    Etapa 3.2 As ferramentas-anyconnect-win-4.9.04053-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms.

    Etapa 4. Copie e cole o bloqueio do AnyConnect transforma o arquivo na mesma pasta dos arquivos do instalador do AnyConnect MSI. 

    Etapa 4.1 Na pasta tools-anyconnect-win-4.9.04053-transforms, copie o _anyconnect-win-lockdown.mst lockdown transforma arquivos e os cola na pasta anyconnect-win-4.9.04053-preDeployment-k9 da seguinte maneira.

    Etapa 5. CD no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect.

    Etapa 5.1 Abra um terminal e um cd de prompt de comando do Windows no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect e o anyconnect-win-lockdown.mst lockdown transforma o arquivo copiado/colado na etapa acima.

    Este cd de exemplo no próximo caminho da pasta C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

    Etapa 6. Instale os módulos do AnyConnect com o arquivo de transformação do bloqueio. 

    Etapa 6.1 I Instale cada um dos módulos do AnyConnect necessários com o próximo comando do instalador do MSI que aponte para o arquivo do módulo .msi do AnyConnect e o anyconnect-win-lockdown.mst lockdown transforma o arquivo. 

    msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log

    Note:O valor de LOCKDOWN configurado como "1" ativa o recurso de bloqueio para a instalação do módulo AnyConnect. 

    Note: A Cisco recomenda que você use o arquivo de transformação de exemplo fornecido para definir esta propriedade, aplique a transformação a cada instalador MSI para cada módulo que você deseja bloquear. Você pode fazer o download das transformações de exemplo na página de download do software Cisco AnyConnect Secure Mobility Client.

    Note:Se você implantar o cliente central mais um ou mais módulos opcionais, deverá aplicar a propriedade LOCKDOWN a cada um dos instaladores. Esta operação é apenas unidirecional e não pode ser removida a menos que você reinstale o produto.

    Etapa 6.2 Este exemplo instala o módulo CORE e VPN do AnyConnect e o _anyconnect-win-lock.mst lockdown transforma o arquivo, ambos correspondem aos arquivos da versão 4.9.04053 do AnyConnect. 

    msiexec -i anyconnect-win-4.9.04053-core-vpn-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log

    Etapa 6.3 Este exemplo instala o módulo Umbrella Roaming Security do AnyConnect e o arquivo _anyconnect-win-lock.mst lockdown transforma os arquivos da versão 4.9.04053 do AnyConnect. 

    msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log

        Opção de bloqueio do AnyConnect pacote de pré-implantação assistente de instalação.

    Configuration Steps

    Etapa 1. Baixe o arquivo do pacote de pré-implantação do Anyconnect para Windows.

    Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows.

    Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui os arquivos MSI individuais para a versão 4.9.04053 (anyconnect-win-4.9.04053-preDeployment-k9.zip).

    Etapa 2. Abra o arquivo de configuração do AnyConnect.

    Etapa 2.1 Descompacte o arquivo anyconnect-win-4.9.04053-pre-Deployment-k9.zip baixado e abra-o.

    Etapa 2.2 Em seguida, clique duas vezes no arquivo de configuração do AnyConnect.

      

    Etapa 3. Trabalhe com o assistente de instalação do AnyConnect.

    Etapa 3.1 Selecione os módulos do AnyConnect que deseja instalar a partir das opções exibidas.

    Para este exemplo, selecione o AnyConnect CORE & VPN e os módulos Umbrella Roaming Security.

    Etapa 4. Ative o recurso de bloqueio do AnyConnect.

    Etapa 4.1 Para habilitar o recurso de bloqueio para o CORE e VPN e para os módulos Umbrella Roaming Security, selecione a opção Lock Down Component Services e continue com a instalação.

    Etapa 5. Confirme a instalação dos módulos do AnyConnect.

    Etapa 5.1 A instalação dos módulos do AnyConnect é concluída em 100% quando a próxima mensagem é exibida.

    Configurar o AnyConnect a partir da lista Adicionar/remover programas

         Instaladores MSI do terminal do prompt de comando do Windows.

    Configuration Steps

    Etapa 1. Baixe o arquivo do pacote de pré-implantação do AnyConnect para Windows.

    Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows.

    Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui o MSI individual arquivos para a versão 4.9.04053 (anyconnect-win-4.9.04053-preDeployment-k9.zip).

    Etapa 2. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.

    Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download do arquivo AnyConnect Installer Transforms para Windows que corresponde à mesma versão do AnyConnect a ser instalada na máquina Windows.

    Para este exemplo, faça o download do arquivo de transformação para a versão 4.9.04053 do AnyConnect (tools-anyconnect-win-4.9.04053-transforms.zip).

    Etapa 3. Descompacte os arquivos do AnyConnect baixados em diferentes pastas.

    Etapa 3.1 O arquivo anyconnect-win-4.9.04053-preDeployment-k9.zip é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

    Etapa 3.2 As ferramentas-anyconnect-win-4.9.04053-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms.

    Etapa 4. Copie e cole o arquivo de transformação de ocultar-adicionar do AnyConnect na mesma pasta dos arquivos do instalador do AnyConnect MSI.

    Etapa 4.1 Na pasta tools-anyconnect-win-4.9.04053-transforms, copie a _anyconnect-win-hide-addremove-display.mst transforma o arquivo e o cola na pasta anyconnect-win-4.9.04053-preDeployment-k9 da seguinte maneira.

    Etapa 5. CD no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect.

    Etapa 5.1 Abra um terminal e um cd de prompt de comando do Windows no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect e o anyconnect-win-hide-addremove-display.mst transforma o arquivo copiado/colado na etapa acima.

    Este cd de exemplo no próximo caminho da pasta C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

    Etapa 6. Instale os módulos do AnyConnect com o arquivo de transformações de texto oculto.

    Etapa 6.1 I Instale cada um dos módulos do AnyConnect necessários com o próximo comando do instalador do MSI que aponta para o arquivo do módulo .msi do AnyConnect e o anyconnect-win-hide-addremove-display.mst transforma o arquivo. 

    msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log

    Observação: o valor de ARPSYSTEMCOMPONENT configurado como "1" permite que o recurso Ocultar AnyConnect da lista de programas Add/Remove para que o módulo AnyConnect seja instalado. 

    Note: A Cisco recomenda que você use o arquivo de transformação de exemplo fornecido para definir esta propriedade, aplique a transformação a cada instalador MSI para cada módulo que deseja ocultar. Você pode fazer o download das transformações de exemplo na página de download do software Cisco AnyConnect Secure Mobility Client.

    Note: Se você implantar o cliente principal mais um ou mais módulos opcionais, deverá aplicar a propriedade HIDE-AnyConnect a cada um dos instaladores. Esta operação é apenas unidirecional e não pode ser removida a menos que você reinstale o produto.

    Etapa 6.2 Este exemplo instala o módulo CORE e VPN do AnyConnect e o _anyconnect-win-hide-addremove-display.mst transforma o arquivo, ambos correspondentes aos arquivos da versão 4.9.04053 do AnyConnect.

    Etapa 6.3 Este exemplo instala o módulo Umbrella Roaming Security do AnyConnect e o _anyconnect-win-hide-addremove-display.mst transforma o arquivo, ambos correspondentes aos arquivos da versão 4.9.04053 do AnyConnect. 

    msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log

    Configure o AnyConnect Lockdown e oculte o AnyConnect da lista Adicionar/remover programas com o ASDM

    Este procedimento se aplica somente às atualizações de implantação da Web do AnyConnect. Este exemplo considera uma atualização da implantação da Web do AnyConnect da versão 4.9.04053 para 4.9.0.6037. 

    Configuration Steps

    Etapa 1. Confirme a versão do AnyConnect executada na máquina Windows.

    Etapa 1.1 A máquina Windows neste exemplo tem a versão 4.9.04053 do AnyConnect já instalada para os módulos Core e VPN e Umbrella Roaming Security.

    Etapa 2. Baixe o arquivo do pacote de implantação do headend do AnyConnect para Windows.

    Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download da versão do arquivo do pacote de implantação do headend do AnyConnect para instalar na máquina Windows para a atualização da implantação da Web.

    Para este exemplo, faça o download do pacote de implantação de headend do Windows AnyConnect versão 4.9.06037 (anyconnect-win-4.9.06037-webDeployment-k9.pkg).

    Etapa 3. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.

    Etapa 3.1 Navegue até a página de download de software da Cisco e baixe o AnyConnect Installer transforma o arquivo para Windows que corresponde à mesma versão do AnyConnect para instalar na máquina Windows.

    Para este exemplo, faça o download do arquivo de transformação para a versão 4.9.06037 do AnyConnect (tools-anyconnect-win-4.9.06037-transforms.zip).

    Etapa 4. Descompacte o AnyConnect transforma o arquivo baixado.

    Etapa 4.1 T The tools-anyconnect-win-4.9.06037-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms.

    Etapa 5. Abra o ASDM e conecte-se ao ASA com suas credenciais.

    Etapa 6. Transfira o pacote de implantação de headend do AnyConnect do seu PC para a memória flash do ASA.

    Etapa 6.1 Navegue para Ferramentas > Gerenciamento de arquivos > Transferência de arquivos > Entre PCs locais e Flash e transfira o pacote de implantação headend do AnyConnect versão 4.9.06037 (anyconnect-win-4.9.06037-webDeployment-k9.pkg) para a memória flash do ASA.

    Passo 7. Configure a versão do pacote de implantação do headend do AnyConnect transferido para a atualização da implantação da Web.

    Etapa 7.1 Navegue até ASDM Configuration > Remote Access VPN > Anyconnect Client Software e selecione o pacote de implantação do headend do AnyConnect versão 4.9.04053 instalado.

    Etapa 7.2 Em seguida, selecione Substituir e Procurar Flash para substituir o antigo pacote de implantação de headend do AnyConnect versão 4.9.04053 pelo 4.9.06037 previamente transferido para a memória flash.

    Etapa 7.3 Aplicar as alterações de configuração e Enviá-las para o ASA.

    Etapa 8. Importar a amostra do AnyConnect transforma arquivos.

    Etapa 8.1 Navegue até ASDM Configuration > Remote Access VPN > Customized Installer Transforms > Import e import a amostra transforma os arquivos necessários.

    Etapa 8.2 Importar o AnyConnect versão 4.9.06037 _anyconnect-win-lockdown.mst amostra transforma o arquivo para permitir o bloqueio para ambos, o CORE e VPN e os módulos Umbrella Roaming Security.

    Insira os valores da seguinte maneira:

    Nome: _anyconnect-lockdown
    Plataforma: vitória
    Selecione um arquivo - Computador local: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-lockdown.mst


    Observação: o AnyConnect_anyconnect-win-lock.mst sample transforma o arquivo em qualquer módulo do AnyConnect necessário. 

    Etapa 8.3 Importar a versão 4.9.06037 _anyconnect-win-hide-addremove-display.mst amostra transforma o arquivo para permitir a ocultação da lista de programas de adição/remoção para ambos, o CORE e VPN e os módulos Umbrella Roaming Security.

    Insira os valores da seguinte maneira:

    Nome: _anyconnect-hideaddremove
    Plataforma: vitória
    Selecione um diretório file:  C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-hide-addremove-display.mst

    Nota: O _anyconnect-win-hide-addremove-display.mstsample transforma o arquivo que funciona para qualquer módulo do AnyConnect necessário. 

    Etapa 8.4 Salvar as alterações de configuração e Enviá-las para o ASA.

    Note: No momento em que este artigo foi escrito, o nome usado para importar os arquivos de transformação de amostra deve ter um sublinhado "_" no início do nome, o que força as transformações de amostra importadas a funcionar para qualquer módulo do AnyConnect. Se você usar um nome diferente sem um sublinhado no início do nome, a amostra de transformação importada funcionará apenas para o módulo CORE e VPN Anyconnect (CSCvy38427).

    Etapa 9. Atualização automática da implantação da Web do AnyConnect.

    Etapa 9.1 Force a atualização automática da implantação da Web do AnyConnect para o CORE e VPN e os módulos Umbrella Roaming Security.

    Aqui a configuração do ASA AnyConnect está em vigor para permitir que o CORE e a VPN e os módulos de segurança de roaming Umbrella sejam atualizados automaticamente:

    webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.9.06037-webdeploy-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable

group-policy ANYCONNECT_GP1 internal
group-policy ANYCONNECT_GP1 attributes
 vpn-tunnel-protocol ssl-client ssl-clientless
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value SPLIT_TUNNEL1
 webvpn
  anyconnect modules value umbrella

tunnel-group MY_TUNNEL1 type remote-access
tunnel-group MY_TUNNEL1 general-attributes
 address-pool VPN_POOL1
 default-group-policy ANYCONNECT_GP1
tunnel-group MY_TUNNEL1 webvpn-attributes
 group-alias SSL_TUNNEL1 enable

    Etapa 9.2 Iniciar uma conexão com o headend do ASA a partir do cliente AnyConnect que executa a versão 4.9.04053 na máquina Windows.

    Etapa 9.3 Depois disso, os Núcleo e VPN do AnyConnect e os módulos Umbrella Roaming Security são atualizados para a versão 4.9.06037 com o bloqueio e o ocultamento dos recursos da lista de programas add/remove habilitados.

    Verificar

    Confirme se o recurso de bloqueio está ativado para os módulos do AnyConnect instalados

    Etapa 1. Abra os serviços do Windows (services.msc) da seguinte maneira.

    Etapa 2. Em seguida, rClique com o botão direito do mouse sobre o CORE e VPN e os serviços Umbrella Roaming Security.

    Você pode confirmar se o recurso de bloqueio está habilitado, pois não tem permissão para Iniciar, Parar, Pausar, Retomar ou Reiniciar os serviços para esses módulos do AnyConnect.

    Confirmar o Ocultar da lista Adicionar/remover programas o recurso está ativado para os módulos do AnyConnect instalados

    Etapa 1. Abra o cliente AnyConnect da seguinte maneira.

    Etapa 2. Confirme a versão do AnyConnect instalada.

    Para isso, selecione o ícone INFO no cliente AnyConnect da seguinte maneira:

    Etapa 2.1 Para a versão 4.9.04053 do AnyConnect:


    Etapa 2.2 Para a versão 4.9.06037 do AnyConnect:

    Etapa 3. Confirme se os módulos AnyConnect CORE & VPN e Umbrella Roaming Security estão ocultos na lista Adicionar/remover programas do Windows.

    Para isso, navegue até o Painel de Controle do Windows > Desinstalar um Programa.

    Troubleshoot

    Não há procedimento de solução de problemas a seguir para este documento.

    Erros relacionados

    CSCvy38427     ASDM: Transforma o nome do arquivo deve começar com o sublinhado "_" para entrar em vigor em vários módulos CA

    Informações Relacionadas

    Suporte Técnico e Documentação - Cisco Systems

    Guia do administrador do Cisco AnyConnect Secure Mobility Client, versão 4.0

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Christian G Hernandez R

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos