Desativar Módulos de Cliente Seguro Indesejados para MacOS e Windows

Introdução

Este documento descreve o processo de instalação do Cisco Secure Client e como escolher entre os módulos de segurança opcionais.

Overview

O Secure Client contém vários módulos de segurança opcionais, incluindo o Umbrella. Observe que, no mínimo, os módulos Core VPN* e Umbrella devem ser instalados.

*A funcionalidade VPN pode ser desativada opcionalmente durante a instalação, mas o módulo ainda deve ser instalado.

Instalação manual

Durante a instalação manual, o usuário pode simplesmente selecionar os módulos* desejados durante o assistente de instalação.

27186566210836

* O guarda-chuva deve ser selecionado. Se o "Core & AnyConnect VPN" estiver desabilitado, a funcionalidade de VPN estará desabilitada, mas o módulo Core VPN ainda estará instalado, pois ele fornece drivers subjacentes para o Umbrella.

Instalação autônoma do Windows

No Windows, o pacote de pré-implantação contém arquivos MSI diferentes para cada módulo. Portanto, basta instalar os arquivos MSI desejados (Core + Umbrella).

Detalhes no artigo Cisco Secure Client (Windows) - Tutorial de implantação automatizada

Instalação autônoma do Mac OSX

Quando executado de forma autônoma, o pacote de pré-implantação para Mac OSX instala todos os módulos do Secure Client. Quando implantado por meio de ferramentas de automação, é provável que outros módulos do Secure Client estejam instalados, o que pode ser indesejado. Neste cenário, o pacote de pré-implantação deve ser extraído e personalizado em endpoints MAC para instalar apenas os módulos desejados.

Overview

As instruções incluem estas etapas principais:

1. Crie um pacote .dmg gravável.
2. Crie um install_choice.xml a ser usado durante a instalação para controlar quais módulos estão instalados.
3. Adicione um arquivo ACTransforms.xml personalizado ao pacote, desativando a funcionalidade da VPN.
4. Adicione seu perfil Umbrella (OrgInfo.json) ao pacote que permite que o cliente se registre.
5. Converta o pacote de volta em um DMG somente leitura.
6. Instale o pacote via CLI, fornecendo o arquivo install_options.xml personalizado.

Etapa 1. Converter o pacote .dmg

Converta o pacote .dmg de um estado somente leitura para leitura-gravação, com o uso do Disk Utility ou hdiutil, como mostrado na imagem.

hdiutil convert cisco-secure-client-macos-<version>-predeploy-k9.dmg -format UDRW -o csc-writeable.dmg

27106629330836

Etapa 2. Executar o Arquivo Convertido

Execute o filecsc-writeable.dmg convertido para montar a imagem DMG. Isso cria um volume com o conteúdo gravável do DMG.

27106629341972

Etapa 3. Gerar o arquivo install_options.xml

O arquivo install_options.xml configura quais módulos estão instalados e podem ser fornecidos como um argumento de instalação para instalações com script e CLI. O install_options.xml anexado configura somente os módulos necessários (Umbrella + VPN).

Você pode, opcionalmente, gerar e configurar seu próprio arquivo install_options.xml (em vez de usar o arquivo anexado) usando este comando:

installer -pkg /volumes/Cisco\ Secure\ Client\ <version>/Cisco\ Secure\ Client.pkg -showChoiceChangesXML > ~/Downloads/install_choices.xml 

27106629347732

Etapa 4. Extrair as opções de instalação

O install_options.xmlfile extraído pode ser alterado para ativar o módulo desejado. Este exemplo ativa os módulos Umbrella+VPN necessários.

4403651529492

Note: O arquivo xml instala a VPN (que ficará oculta mais tarde), os módulos Umbrella Roaming Security e DART definindo o valor inteiro como 1 e o resto como 0.

Etapa 5. Fazer alterações no arquivo ACTransforms.xml para ocultar a funcionalidade da VPN

Para ocultar o módulo VPN, edite o ACTransforms.xml:

/Volumes/Cisco\ Secure\ Client\ <versão>/Profiles/ACTransforms.xml

Na pasta de perfis, o arquivo ACTransforms.xml precisa ter a linha <disablevpn>true</disablevpn> sem comentários.

Conteúdo do arquivo ACTransforms.xml:

<!-- Optional AnyConnect installer settings are provided here. Uncomment the setting(s) to perform optional action(s) at install time. -->
<Transforms>
<!-- <DisableVPN>true</DisableVPN> -->
<!-- <DisableCustomerExperienceFeedback>true</DisableCustomerExperienceFeedback> -->
</Transforms>

Etapa 6. Instalar o perfil Umbrella

Baixe o perfil do módulo Umbrella (OrgInfo.json) no Umbrella Dashboard (Implantações > Computadores em Roaming > Downloads). O perfil deve ser provisionado para que o cliente se registre no Painel do Umbrella e na função.  Incluí-lo no pacote de instalação evita que você tenha que implantá-lo como uma tarefa pós-instalação.

Salve o perfil em /Volumes/Cisco\ Secure\ Client\ <version>/Profiles/umbrella/OrgInfo.json

27106774340628

Etapa 7. Converter o pacote novamente em somente leitura

Ejete o volume DMG e use hdiutil para convertê-lo em 'somente leitura'.  O pacote somente leitura pode então ser distribuído aos usuários finais.

diskutil eject Cisco\ Secure\ Client\ <version>
hdiutil convert csc-writeable.dmg -format UDRO -o csc-readable.dmg

27106613679252

Etapa 8. Instalar o Secure Client que fornece o install_choice.xml

O arquivo DMG pode ser executado normalmente (interativamente) ou enviado por meio de uma tarefa de instalação automatizada/com script.  

1. Em um script, anexe o pacote DMG.
2. Use o instalador para instalar o Cisco Secure Client.pkg. É importante também fornecer nosso install_choice.xml no argumento -applyChoiceChangesXML. Isso controla quais módulos estão instalados.

hdiutil attach ~/Downloads/csc-readable.dmg
sudo installer -pkg Cisco\ Secure\ Client\ /Cisco\ Secure\ Client.pkg -applyChoiceChangesXML ~/Downloads/install_choices.xml -target /

27106613687572