了解使用捆绑的Umbrella Profile(Windows)的自动化部署

简介

本文档介绍在Cisco安全客户端(Windows)中捆绑了Umbrella配置文件的自动部署教程。

概述

使用Umbrella模块部署思科安全客户端(CSC)（以前称为AnyConnect）涉及以下组件：

• 安装CSC核心VPN模块 
• 安装Umbrella漫游安全模块
• 安装Umbrella配置文件(OrgInfo.json)
• 安装诊断和报告工具(DART)模块（可选）

本文提供了有关如何以编程方式（在Windows上）安装这些组件的教程。  Umbrella配置文件嵌入到适合从共享文件夹进行安装的安装包中。

创建预部署包

这些步骤用于部署Umbrella模块。请注意，Cisco VPN功能已完全禁用。但是，由于核心VPN模块用于对DNS流量进行基本拦截，因此仍然必须安装该模块。

构建部署包

1. 1. 从您的Umbrella控制面板下载Umbrella漫游安全模块配置文件。Deployments > Roaming Computers > Roaming Clients。
      • 模块配置文件的下载文件名为Orginfo.json
   2. 从以下位置之一下载适用于Windows的Umbrella漫游安全模块“预部署”软件包：
      • :software.cisco.com
      • Umbrella版本说明
   3. 提取下载的AnyConnect客户端并查找版本号。  记下解压后的软件包中的文件名和版本号
      
      27073502800788
      
      
   4. 将您的OrgInfo.json文件添加到与安装程序位于同一目录中的“Profiles\Umbrella”*文件夹中。  此步骤对于Cisco Umbrella模块在安装后自动注册至关重要。文件夹结构必须如下所示：

      cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msicisco-secure-client-win-win-X.X.XXXXX-umbrella-predeploy-k9.msicisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi\Profiles\umbrella\OrgInfo.json         

如果MSI文件尚不存在，则在MSI文件旁创建\Profiles\Umbrella子文件夹。

托管包

必须将软件包分发到具有“Profiles\Umbrella”子文件夹的最终用户。  这可以通过以下方式实现：

• 共享网络文件夹
• 支持多文件安装包合成的终端管理软件

部署包

MSI文件现在只需使用终端管理软件或“msiexec”即可部署。

MSI命令

msiexec /package cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* vpninstall.log 
msiexec /package cisco-secure-client-win-X.X.XXXXX-umbrella-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* umbrellainstall.log
msiexec /package cisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi /norestart /passive /lvx* dartinstall.log

重要信息：  用与MSI文件名匹配的正确版本号替换X.X.XXXXX。

确保将PRE_DEPLOY_DISABLE_VPN=1选项添加到安装参数以禁用VPN功能。或者，省略此参数以启用VPN功能。

安装期间的其他MSI属性

Cisco安装程序包支持多个MSI属性，这些属性可以在安装过程中更改。  Cisco Umbrella的常用属性包括：

• LOCKDOWN =如上所述，防止手动禁用服务
• ARPSYSTEMCOMPONENT =从Windows“程序和功能”列表中隐藏程序
  

要在安装过程中设置这些属性，请使用相同的安装步骤，但要将其他属性传递到msiexec命令：

启用锁定

msiexec /package <MSI> /passive LOCKDOWN=1 /lvx* 

隐藏程序和功能

msiexec /package <MSI> /passive ARPSYSTEMCOMPONENT=1 /lvx* 

或者，可以通过提供自定义安装程序转换文件（.mst文件）来配置这些MSI设置。 有关详细信息，请参阅配置AnyConnect锁定。

部署Umbrella配置文件（安装后）

常见错误“Profile is missing”表示已安装Cisco Umbrella模块，但配置文件(OrgInfo.json)未安装。这意味着Cisco Umbrella模块无法向Cisco Umbrella注册或启用保护。

请注意，如果配置文件已正确嵌入安装软件包，则不会发生此问题。

4435402655892

如果无法在安装包中嵌入配置文件，则可以使用安装任务或脚本将其单独复制到终端。  必须将配置文件部署到以下位置：

%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json

PowerShell脚本显示如何以编程方式创建OrgInfo.json作为安装后任务的示例。  使用配置文件中的相关值替换ORG_ID、FINGERPRINT和USER_ID占位符。

$org_file = "%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json" 
$data=@" 
{ 
    "organizationId" : "ORG_ID", 
    "fingerprint" : "FINGERPRINT", 
    "userId" : "USER_ID" 
} 
"@ 

if(-not(Test-Path -Path $org_file)) 
{ 

$data > $org_file 
} 

禁用VPN功能（安装后）

如果在部署期间未禁用VPN功能，则可以在以后通过将特殊VPN配置文件部署到设备来禁用该功能。  请参见 https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows

部署思科根CA

对于无错误阻止页面和HTTPS浏览，需要将Cisco Umbrella Root CA信任到每个终端。  有关如何集中部署证书颁发机构的详细信息，请参阅您的终端管理软件。