简介
本文档介绍如何使用Umbrella模块迁移到Cisco安全客户端统一终端代理。
目的
随着Umbrella的发展,我们增强了保护漫游计算机的方法。在不断努力创新的过程中,我们推出了Cisco Secure Client,它构建于AnyConnect之上,是我们下一代统一终端代理。此新客户端包含Umbrella漫游客户端的所有优势,同时提供更加高级的安全解决方案,包括一套安全服务模块、卓越的性能和扩展的兼容性。它集成了最新版本的Umbrella模块以及许多其他模块。
请注意,思科宣布Cisco AnyConnect将于2023年停用,Umbrella漫游客户端将于2024年停用。许多Umbrella客户已经从迁移到Cisco Secure Client中受益,我们鼓励您尽快开始迁移,以获得更好的漫游体验。
所有拥有有效许可证和有效Umbrella支持合同的客户都有资格迁移到Cisco Secure Client以获得对Umbrella模块的授权,该模块包含与Umbrella漫游客户端功能相同的功能,且免费!
本文涵盖迁移过程以及任何有关Cisco安全客户端的问题。
升级到Cisco Secure Client
本节介绍如何迁移到Cisco安全客户端。
从AnyConnect迁移
Cisco安全客户端有一种机制,可自动检测现有AnyConnect安装,从中收集配置,将这些设置迁移到Cisco安全客户端,然后卸载旧的AnyConnect客户端。但是,有些边缘情况下此过程可能会失败,因此某些客户可能更愿意在安装Cisco安全客户端之前自行卸载AnyConnect客户端。
注意:在端点管理软件中禁用任何AnyConnect安装任务,以防止重新安装旧的AnyConnect版本。
从Umbrella漫游客户端迁移
注意:拥有有效许可证和从Umbrella漫游客户端迁移的有效Umbrella支持合同的客户有资格迁移到Cisco安全客户端,以便仅获得对Umbrella模块的授权。
Cisco安全客户端具有自动检测现有Umbrella漫游客户端安装、从中收集配置、将这些设置迁移到Cisco安全客户端,然后卸载旧的Umbrella漫游客户端的机制。但是,有些边缘情况下此过程可能会失败,因此某些客户可能更愿意在安装Cisco安全客户端之前自行卸载Umbrella漫游客户端。
注意:在终端管理软件中禁用所有Umbrella漫游客户端安装任务,以防止重新安装漫游客户端。
安装Cisco安全客户端
1.下载Cisco Secure Client
方法 1:Umbrella控制面板
登录到您的Umbrella控制面板并导航到部署>漫游计算机。点击右上角的漫游客户端下载图标,并下载适用于您的操作系统的相应预部署软件包。
方法 2:Software.cisco.com
登录software.cisco.com并导航到安全客户端5部分。为您的操作系统下载适当的预部署软件包。
2.双击“设置文件”应用程序
将显示以下窗口:
17890872895892
3. 仅选择Umbrella和Diagnostic and Reporting Tool选项。
选择Lock down Computer Services是可选的,它会阻止用户和管理员更改设备上Cisco Secure Client服务的状态。
注意:“核心和AnyConnect VPN”模块作为所需的核心模块进行安装。取消选中“Core & AnyConnect VPN”选项会对GUI隐藏VPN。VPN服务(csc_vpnagent)仍在后台运行,但VPN不会显示在GUI中。
4.单击“安装选定项”安装模块。
启动Cisco Secure Client时,您会看到以下窗口:
27072090674324
5.此时,Cisco安全客户端会检测并卸载Umbrella漫游客户端。请留出一些时间完成此过程。
Umbrella配置文件安装
Umbrella配置文件(OrgInfo.json)会自动从您以前的漫游客户端或AnyConnect安装中检测到,并导入到安全客户端中。
但是,对于新安装,将Umbrella配置文件(OrgInfo.json)部署到终端至关重要。 此文件可唯一标识您的Umbrella组织,并允许客户端向Umbrella云注册。如果您要在没有Cisco AnyConnect的设备上安装,或者要从Umbrella漫游客户端迁移,则需要执行此步骤:
- 从控制面板下载OrgInfo.json模块配置文件,位于Deployments > Core Identities > Roaming Computers > Roaming Client,然后点击右上角的Download。
- 选择下载模块配置文件。
- 下载后,将Orginfo.json文件复制到此处指定的位置:
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json (Windows/opt/cisco/secureclient/umbrella/OrgInfo.json (OSX)
大规模部署
使用终端管理工具(如UEM、MDM、RMM)大规模部署安全客户端(包括Umbrella模块和配置文件)。 请参阅以下文章:
定制
目录结构
目录位置已通过Cisco安全客户端更改。
思科安全客户端目录
Windows 窗口版本
可执行文件
C:\Program Files (x86)\Cisco\Cisco Secure Client
Umbrella数据目录
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\
macOS
可执行文件
/Applications/Cisco/Cisco Secure Client.app
Umbrella数据目录
/opt/cisco/secureclient/umbrella/
常见问题解答
问:我们可以继续使用Umbrella漫游客户端吗?
A:Umbrella Roaming客户端寿命终止日期为2024年4月2日。在此日期之后,您可以继续使用它,思科将持续支持关键问题和漏洞并提供修复措施,直至2025年4月2日。但是,所有新的增强和创新都仅在Cisco Secure Client中提供。2025年4月2日之后,Umbrella漫游客户端的所有新设备注册均受到限制。当时仍在使用Umbrella漫游客户端的客户不再获得支持或更新。
问:Umbrella模块与漫游安全模块是否相同?
A:是,Umbrella模块只是漫游安全模块的新简化名称。
问:我们已有第三方VPN代理。我们不想安装VPN模块。这是否是一个选项?
A:VPN模块作为核心模块安装。但是,您根本不需要配置或使用VPN模块。不过,您可以选择从GUI中隐藏VPN模块。安装期间,只需取消选中“Core & AnyConnect VPN”选项,即可从GUI中隐藏VPN。VPN服务(csc_vpnagent)仍在后台运行,但VPN不会显示在GUI中。有关如何隐藏VPN模块的其他信息,请参阅知识库文章:https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows
问:我只需要DNS层安全性。是否仍需要升级?
A:是的,并且您仍然可以将仅DNS订用用于新的Cisco Secure Client和Umbrella模块。所有客户均有权使用Cisco Secure Client的Umbrella模块。VPN模块是一个核心模块,已安装,但是您不必使用它,您可以选择在UI中隐藏它。
问:在哪里可以获取思科安全客户端的副本?
A:
方法 1:Umbrella控制面板
登录到您的Umbrella控制面板并导航到部署 > 漫游计算机。点击右上角的Roaming Client下载图标,并下载适用于您的操作系统的相应预部署软件包。
方法 2:Software.cisco.com
登录software.cisco.com并导航到安全客户端5部分。为您的操作系统下载适当的预部署软件包。
问:我有Umbrella订用,但没有任何思科安全客户端许可证。我是否仍可以升级到Cisco安全客户端?
A:所有拥有有效许可证和有效Umbrella支持合同的客户均有资格迁移到思科安全客户端,以获得Umbrella模块的授权,其中包括所有Umbrella漫游客户端功能,且免费!
问:客户端之间的架构差异是什么?
A:
Umbrella漫游客户端方法
Umbrella漫游客户端使用环回适配器检查发送到在计算机的网络适配器DNS设置中指定的DNS服务器的所有请求。这要求漫游客户端重置所有适配器上的DNS服务器,以使用127.0.0.1(本地主机环回地址)。
此方法的缺点是某些VPN客户端与此配置冲突 — 要么强制配置与管理员设置的配置匹配,要么阻止DNS解析程序在127.0.0.1上运行。
或者,某些VPN客户端还会用VPN值覆盖适配器的DNS设置,覆盖漫游客户端的DNS服务器地址127.0.0.1,而不是原始值。这会导致Umbrella漫游客户端和冲突的软件包无法按设计运行,或者导致完整的DNS失败场景,其中配置的DNS设置会在连接或断开连接时丢失。
思科安全客户端方法
使用Cisco Secure Client,Umbrella是可以安装的模块。此模块可以控制适配器,而无需更改接口上的DNS设置,从而避免DNS更改冲突。Cisco Secure Client使用内核驱动程序,该驱动程序在操作系统中拦截级别低得多的DNS请求。这种更复杂的机制的优点是不要求所有适配器的流量都通过环回地址,因此保留原始DNS设置。这种架构差异意味着,与Umbrella漫游客户端相比,Umbrella模块可以保持与其他软件的更高兼容性。
问:Cisco Secure Client的Umbrella模块是否有任何已知的兼容性问题?
答:Cisco Secure Client构建于AnyConnect架构之上,其兼容范围比传统Umbrella漫游客户端广泛得多。在某些极少数情况下,需要执行其他操作才能使Umbrella模块与第三方软件配合工作。您可以在本文中阅读更多信息:
软件兼容性 — 思科安全客户端(和传统AnyConnect)的Umbrella模块
问:我们已有现有的AnyConnect和Umbrella漫游客户端安装。我们是否需要手动卸载两者并安装带有AnyConnect和Umbrella模块的Cisco安全客户端?
A:否,安全客户端安装过程设计为无缝升级过程。安装程序自动将Orginfo.json移至Secure Client文件夹,同时卸载AnyConnect和Umbrella Roaming客户端。如果您使用的是AnyConnect的VPN功能,则会自动将其传送到AnyConnect VPN模块。
问:安装后我看不到Cisco安全客户端UI。我如何知道它在工作?
您可以通过在浏览器中访问https://policy-debug.checkumbrella.com或运行以下命令来确认带有Umbrella模块的Cisco安全客户端是否正常工作:
nslookup -q=txt debug.opendns.com1
输出包含与您的Umbrella组织相关的独特信息,例如您的OrgID。
问:如何查找使用特定MDM或RMM工具进行部署的支持文档?
A:第三方RMM和MDM不受Cisco Umbrella正式支持。出于礼貌考虑,我们确实在知识库页面(https://support.umbrella.com/hc/en-us/articles/18584514390932)上提供了几个示例。但是,这些示例不受支持,仅按“原样”提供。如果您对部署的有效性或适用性有任何疑问或顾虑,请咨询您的RMM或MDM供应商。
问:部署带有Umbrella模块的Cisco安全客户端后,如何使其保持最新状态?是否自动更新?
A:有关如何使Cisco Secure Client和Umbrella Module保持最新状态的详细信息,请参阅此知识库文章:
保持思科安全客户端最新
反馈