• 使用登录前启动 (Use Start Before Login) - （仅限 Windows）启用“登录前启动”(Start Before Login) 以供客户端使用。启用“在登录前启动”(Start Before Login) 后，Cisco Secure Client 会在 Windows 登录对话框出现之前启动。用户会在登录 Windows 之前通过 VPN 连接到企业基础设施。进行身份验证之后，将会显示登录对话框，用户可以像平常一样登录。

• 显示预连接消息 (Show Pre-connect Message)- 支持管理员在用户首次尝试连接之前显示一条一次性消息。例如，此消息可以提醒用户将智能卡插入读卡器。此消息出现在 Cisco Secure Client 消息目录中并已本地化。

• 客户端证书存储库 (Client Certificate Store) - 控制 Cisco Secure Client 使用哪个证书存储库来读取客户端证书。必须相应地配置安全网关，并命令客户端可以接受多个证书身份验证组合中的哪一个用于特定 VPN 连接。

  安全网关可接受的证书类型：两个用户证书，或者一个计算机证书和一个用户证书。

  若要允许证书存储库的访问由 Cisco Secure Client 进一步筛选，您可以从 Windows、macOS 或 Linux 下拉菜单配置证书存储库。配置文件首选项支持以下值：

  • Windows 的 ISE 安全评估代理

    注	如果无法从发起 VPN 连接的网络执行证书吊销检查，则客户端证书的枚举可能需要更长时间。

  • 全部 (All) - [默认]使用来自 Windows 计算机和用户证书存储库的客户端证书。

  • 计算机 (Machine) - 仅使用 Windows 证书存储库中的客户端证书。

  • 用户 (User) - 仅使用 Windows 证书存储库中的客户端证书。

  • macOS

  • 全部 (All) - [默认]使用所有可用密钥链和 PEM 文件存储区的客户端证书。

  • 系统 (System) - 仅使用系统密钥链和系统 PEM 文件存储区的客户端证书。

  • 登录 (Login) - 仅使用用户登录和动态智能卡密钥链以及用户 PEM 文件存储区的客户端证书。

  • Linux

  • 全部 (All) - [默认]使用系统和用户 PEM 文件存储区以及用户 Firefox NSS 存储区的客户端证书。

  • 计算机 (Machine) - 仅使用系统 PEM 文件存储区的客户端证书。

  • 用户 (User) - 仅使用用户 PEM 文件存储区以及用户 Firefox NSS 存储区的客户端证书。

• Windows 证书存储库覆盖 (Windows Certificate Store Override) - 允许管理员指示 Cisco Secure Client 在 Windows 计算机（本地系统）证书存储库中利用证书，以进行客户端证书身份验证。证书存储区覆盖仅适用于 SSL，默认情况下，UI 进程启动连接。使用 IPSec/IKEv2 时，Cisco Secure Client 配置文件中的此功能不适用。

  注	为了使用计算机证书与 Windows 连接，您必须具有预部署的配置文件并且启用了此选项。如果在连接之前 Windows 设备上不存在此配置文件，则在计算机存储库中无法访问证书，因而连接将失败。

  • True - Cisco Secure Client将在 Windows 计算机证书存储库中搜索证书。客户端证书库 (Windows) 必须设置为全部 (All) 或计算机 (Machine)。

  • 错误 (False) —[默认]当用户没有管理权限时，Cisco Secure Client 不在 Windows 计算机证书存储库中搜索证书。

• AutomaticCertSelection - 当在安全网关上配置了多重证书身份验证时，您必须将此值设置为 true。

• 启动时自动连接 (Auto Connect on Start) - 启动时，Cisco Secure Client 自动与 Cisco Secure Client 配置文件指定的安全网关建立 VPN 连接，或者连接到客户端连接到的最后一个网关。

• Minimize On Connect - 建立 VPN 连接后，Cisco Secure Client GUI 最小化。

• Local LAN Access - 允许用户在与 Cisco Secure Firewall ASA 的 VPN 会话期间完成对连接到远程计算机的本地 LAN 的访问。

  注	若启用本地 LAN 访问，则用户计算机进入企业网络可能导致来自公共网络的安全漏洞。或者，您可以配置安全设备（版本 8.4 (1) 或更高版本）来部署一个 SSL 客户端防火墙，该防火墙使用默认组策略中包含的 Cisco Secure Client 客户端本地打印防火墙规则。要启用此防火墙规则，您还必须在此编辑器的 Preferences（第 2 部分）中启用 Automatic VPN Policy、Always on 和 Allow VPN Disconnect。

• 禁用强制网络门户检测 - 当 Cisco Secure Client 客户端收到的证书的常用名与 Cisco Secure Firewall ASA 名称不一致时，检测强制网络门户。此行为提示用户进行身份验证。使用自签名证书的某些用户可能要启用到 HTTP 强制网络门户后台的企业资源的连接，因此应选中禁用强制网络门户检测 (Disable Captive Portal Detection)复选框。管理员还可以确定他们是否希望该选项为用户可配置的选项，并相应地选中该复选框。如果选择用户可配置，则该复选框将出现在 Cisco Secure Client UI 的“首选项”(Preferences) 选项卡上。

• 自动重连 - 连接丢失时，Cisco Secure Client 尝试重新建立 VPN 连接（默认为启用）。如果禁用 Auto Reconnect，则无论连接出于何种原因断开连接，都不会尝试重新连接。

  注	在用户能够控制客户端行为的情形下，可以使用 Auto Reconnect。AlwaysOn 不支持此功能。

  • 自动重新连接行为

    • DisconnectOnSuspend - Cisco Secure Client 在系统暂停时释放分配给 VPN 会话的资源，并且在系统恢复后不尝试重新连接。

    • ReconnectAfterResume（默认值）- 连接丢失时，Cisco Secure Client 尝试重新建立 VPN 连接。

• 在连接备用期间暂停 AnyConnect (Suspend AnyConnect During Connected Standby)-（仅限 Windows）仅适用于支持连接备用的设备。在连接备用期间，操作系统会限制系统进程，这可能会影响数据包的处理方式。使用此选项，您可以在系统进入连接备用模式时禁用 VPN 流量。默认情况下会禁用此功能。

• 自动更新 (Auto Update) - 选中此选项时，将启用客户端的自动更新。如果选中“用户可控制”(User Controllable)，则用户可以在客户端覆盖此设置。

• RSA 安全 ID 集成（仅限 Windows）- 控制用户如何与 RSA 交互。默认情况下，Cisco Secure Client 确定 RSA 交互的正确方法（自动设置：软件或硬件令牌均接受）。

• Windows 登录强制 - 允许从远程桌面协议 (RDP) 会话建立 VPN 会话。必须在组策略中配置分割隧道。当建立 VPN 连接的用户注销时，Cisco Secure Client 会断开 VPN 连接。如果连接由远程用户建立，则该远程用户注销时 VPN 连接会终止。

  • 单点本地登录 (Single Local Logon)（默认设置）-（本地：1，远程：无限制）在整个 VPN 连接期间只允许一个本地用户登录。此外，当一个或多个远程用户登录到客户端 PC 时，本地用户可以建立 VPN 连接。此设置对通过 VPN 连接从企业网络登录的远程用户没有影响。

    注	如果为全有或全无隧道配置了 VPN 连接，则修改 VPN 连接的客户端 PC 路由表会导致远程登录断开连接。如果 VPN 连接进行了分割隧道配置，远程登录可能会也可能不会断开连接，这取决于 VPN 连接的路由配置。

  • 单一登录 (Single Logon) -（本地 + 远程：1）在整个 VPN 连接期间仅允许一个用户登录。如果通过本地或远程登录的用户不止一个，则在建立 VPN 连接时，将不允许该连接。如果 VPN 连接期间有第二个用户通过本地或远程登录，则 VPN 连接将终止。由于在 VPN 连接期间不允许进行其他登录，所以无法通过 VPN 连接进行远程登录。

    注	不支持多个用户同时登录。

  • 单一登录无远程 (Single Logon No Remote) -（本地：1，远程：0）在整个 VPN 连接期间只允许一个本地用户登录。不允许任何远程用户。如果在建立 VPN 连接后，有多个本地用户或任何远程用户登录，则将不允许此连接。如果 VPN 连接期间有第二个本地用户或任何远程用户登录，则此 VPN 连接将终止。

• Windows VPN 建立 (Windows VPN Establishment) - 确定当远程登录到客户端 PC 的用户建立 VPN 连接时 Cisco Secure Client 的行为。可能的值包括：

  • Local Users Only（默认值）- 阻止远程登录用户建立 VPN 连接。此功能与 Cisco Secure Client 早期版本中的功能相同。

  • Allow Remote Users - 允许远程用户建立 VPN 连接。但是，如果所配置的 VPN 连接路由导致远程用户断开连接，则 VPN 连接会终止，以允许远程用户重新获得对客户端 PC 的访问权限。如果远程用户想要断开其远程登录会话而不终止 VPN 连接，则必须在 VPN 建立后等待 90 秒钟。

    注	当使用远程桌面协议 (RDP) 连接到终端时，此首选项有效。

• Linux 登录强制 - 允许从 SSH 会话建立 VPN 会话。必须在组策略中配置分割隧道。当建立 VPN 连接的用户注销时，Cisco Secure Client 会断开 VPN 连接。如果连接由远程用户建立，则该远程用户注销时 VPN 连接会终止。

  • 单点本地登录 (Single Local Logon)（默认设置）-（本地：1，远程：无限制）在整个 VPN 连接期间只允许一个本地用户登录。此外，当一个或多个远程用户登录到客户端 PC 时，本地用户可以建立 VPN 连接。此设置对通过 VPN 连接从企业网络登录的远程用户没有影响。

    注	如果为全有或全无隧道配置了 VPN 连接，则修改 VPN 连接的客户端 PC 路由表会导致远程登录断开连接。如果 VPN 连接进行了分割隧道配置，远程登录可能会也可能不会断开连接，这取决于 VPN 连接的路由配置。

  • 单一登录 (Single Logon) -（本地 + 远程：1）在整个 VPN 连接期间仅允许一个用户登录。如果通过本地或远程登录的用户不止一个，则在建立 VPN 连接时，将不允许该连接。如果 VPN 连接期间有第二个用户通过本地或远程登录，则 VPN 连接将终止。由于在 VPN 连接期间不允许进行其他登录，所以无法通过 VPN 连接进行远程登录。

    注	不支持多个用户同时登录。

  • 单一登录无远程 (Single Logon No Remote) -（本地：1，远程：0）在整个 VPN 连接期间只允许一个本地用户登录。不允许任何远程用户。如果在建立 VPN 连接后，有多个本地用户或任何远程用户登录，则将不允许此连接。如果 VPN 连接期间有第二个本地用户或任何远程用户登录，则此 VPN 连接将终止。

• Linux VPN 建立 (Linux VPN Establishment) - 确定当登录到客户端 PC 的用户使用 SSH 建立 VPN 连接时 Cisco Secure Client 的行为。可能的值包括：

  • 仅限本地用户（默认值）- 阻止远程登录用户建立 VPN 连接。

  • 允许远程用户 - 允许远程用户建立 VPN 连接。

• 清除智能卡 PIN (Clear SmartCard PIN) - 仅某些智能卡支持此功能。它会强制智能卡用户在 VPN 身份验证期间重新输入其 PIN，即使最近已被另一个使用它的用户解锁，而没有其他 PIN 提示。

• 支持的 IP 协议 (IP Protocol Supported) - 若同时具有 IPv4 和 IPv6 地址的客户端尝试使用 Cisco Secure Client 连接到 ASA，Cisco Secure Client 需要决定使用哪种 IP 协议发起连接。默认情况下，Cisco Secure Client 先使用 IPv4 尝试连接。如果这样不成功，Cisco Secure Client 将尝试使用 IPv6 发起连接。

  此字段配置初始 IP 协议和回退顺序。

  • IPv4 - 仅可建立到 Cisco Secure Firewall ASA 的 IPv4 连接。

  • IPv6 - 仅可建立到 Cisco Secure Firewall ASA 的 IPv6 连接。

  • IPv4, IPv6 - 先尝试建立到 Cisco Secure Firewall ASA 的 IPv4 连接。如果客户端无法使用 IPv4 建立连接，则尝试建立 IPv6 连接。

  • IPv6, IPv4 - 先尝试建立到 Cisco Secure Firewall ASA 的 IPv6 连接。如果客户端无法使用 IPv6 进行连接，则尝试进行 IPv4 连接。

    注	IP 协议的故障转移也可能发生在 VPN 会话期间。无论是在 VPN 会话之前还是在 VPN 会话期间执行，都会保持故障转移直到无法访问当前使用的安全网关 IP 地址。每当无法访问当前使用的 IP 地址时，客户端就会故障转移到与备用 IP 协议（如果可用）匹配的 IP 地址。

• 禁用自动证书选择 (Disable Automatic Certificate Selection)（仅限 Windows）- 禁止客户端自动选择证书并提示用户选择身份验证证书。

• 代理设置 - 在 Cisco Secure Client 配置文件中指定一个策略来控制客户端对代理服务器的访问。当代理配置阻止用户从企业网络外部建立隧道时，使用此设置。

  • Native - 让客户端既使用以前由 Cisco Secure Client 配置的代理设置，也使用在浏览器中配置的代理设置。在全局用户首选项中配置的代理设置优先于浏览器代理设置。

  • IgnoreProxy - 忽略用户计算机上的浏览器代理设置。

  • Override - 手动配置公共代理服务器的地址。公共代理是唯一一种支持 Linux 的代理类型。Windows 也支持公共代理。您可以将公共代理地址配置为 User Controllable。

• 允许本地代理连接 - 默认情况下，Cisco Secure Client 让 Windows 用户通过本地 PC 上的透明或不透明代理服务建立 VPN 会话。如果要禁用对本地代理连接的支持，请取消选中此参数。例如，某些无线数据卡提供的加速软件和某些防病毒软件上的网络组件都可提供透明代理服务。

• 启用最佳网关选择 (OGS)，（仅限 IPv4 客户端）- Cisco Secure Client 根据往返时间 (RTT) 确定并选择哪个安全网关对于连接或重新连接是最佳选择，从而尽可能缩短互联网流量延迟，而且无需用户干预。OGS 不是安全功能，它不会在安全网关集群之间或集群内执行负载均衡。您控制 OGS 的激活和取消激活，并指定最终用户是否可以自己控制此功能。“自动选择”(Automatic Selection) 显示在客户端 GUI 的“连接”(Connection) 选项卡中的“连接到”(Connect To) 下拉列表中。

  • 暂停时间阈值 (Suspension Time Threshold)（小时）- 输入在调用新网关选择计算之前 VPN 必须已暂停的最短时间（以小时为单位）。通过优化此值以及下一个可配置的参数“性能改进阈值”(Performance Improvement Threshold)，您可以在选择最佳网关和减少强制重新输入凭证次数之间找到适当的平衡。

  • 性能改进阈值 (%) - 在系统恢复后触发客户端重新连接到另一个安全网关的性能改进百分比。为特定网络调整这些值，可在选择最佳网关与减少次数之间找到合适的平衡，从而强制重新输入凭证。默认值为 20%。

  当 OGS 启用时，建议您也将此功能设置为用户可控制。

  OGS 存在以下限制：

  • 不能在设置为 Always On 的情况下运行

  • 它不支持自动代理检测

  • 它不支持代理自动配置 (PAC) 文件

  • 如果使用 AAA，则在过渡到另外一个安全网关时，用户可能必须重新输入凭证。使用证书可消除此问题。

• 自动 VPN 策略 (Automatic VPN Policy)（仅限 Windows 和 macOS）- 启用 Trusted Network Detection 可使 Cisco Secure Client根据 Trusted Network Policy 和 Untrusted Network Policy 自动管理何时启动或停止 VPN 连接。如果禁用，则 VPN 连接只能手动启动和停止。设置 Automatic VPN Policy 不会阻止用户手动控制 VPN 连接。

  • 受信任网络策略 (Trusted Network Policy) - 当用户处于企业网络（受信任网络）中时，Cisco Secure Client 对 VPN 连接自动采取的操作。

    • Disconnect（默认值）- 检测到受信任网络时断开 VPN 连接。

    • Connect - 检测到受信任网络时发起 VPN 连接。

    • 不执行任何操作 - 在不受信任的网络中不执行任何操作。将 Trusted Network Policy 和 Untrusted Network Policy 都设置为 Do Nothing 会禁用 Trusted Network Detection。

    • 暂停 (Pause) - 如果用户在受信任网络外建立 VPN 会话之后进入被配置为受信任的网络，则 Cisco Secure Client 会暂停此 VPN 会话而不是将其断开连接。当用户再次离开受信任网络时，Cisco Secure Client 会恢复该会话。此功能是为了给用户提供方便，因为有了它，在用户离开受信任网络后不需要建立新的 VPN 会话。

  • 不受信任网络策略 (Untrusted Network Policy) - 当用户处于企业网络外（不受信任的网络）时，Cisco Secure Client 启动 VPN 连接。此功能可以在用户处于受信任网络外时发起 VPN 连接，从而鼓励提高安全意识。

    • Connect（默认值）- 在检测到不受信任网络时发起 VPN 连接。

    • Do Nothing - 在受信任网络中不执行任何操作。此选项禁用永远在线 VPN。将 Trusted Network Policy 和 Untrusted Network Policy 都设置为 Do Nothing 会禁用 Trusted Network Detection。

  • 受信任的 DNS 域 (Trusted DNS Domains) - 客户端处于受信任网络中时，网络接口可能具有的 DNS 后缀（逗号分隔的字符串）。例如：*.cisco.com。DNS 后缀支持通配符 (*)。

    注	如果您使用的是 Network Visibility Module，则不支持受信任的 DNS 域和服务器，因为 Network Visibility Module 使用管理员定义的受信任服务器和证书散列来确定用户位于受信任还是不受信任的网络上。

  • 受信任 DNS 服务器 - 客户端处于受信任网络中时，网络接口可能具有的 DNS 服务器地址（逗号分隔的字符串）。例如：192.168.1.2, 2001:DB8::1。IPv4 或 IPv6 DNS 服务器地址支持通配符 (*)。

  • Trusted Servers @ https://<server>[:<port>] - 要添加为受信任的主机 URL。在点击添加 (Add) 后，将会添加 URL 并预填充证书哈希值。如果未找到哈希值，系统将显示一条错误消息，提示用户手动输入证书哈希值并点击设置 (Set)。

    可信 URL 要求必须存在一个安全 Web 服务器，且可通过可信任证书对其进行访问。安全 TND 尝试连接到列表中第一个已配置的服务器。如果无法联系到服务器或证书的散列不匹配，则安全 TND 会尝试联系配置列表中的下一个服务器。如果可以联系到服务器并且散列是可信的，则符合“受信任”标准。

    如果证书更新或更改，则 ASDM 配置文件首选项上的证书散列不会自动更新。您必须删除服务器并将其重新添加到该字段中，才能更新散列。或者，如果您知道证书散列或指纹编号，则可以更新 ASDM 配置文件中的散列值。之后，您必须在 VPN 配置文件中手动重新配置安全 TND 服务器。要确保应用预期的服务器策略，则必须将新的配置文件推送到终端，因为 ASDM 或配置文件编辑器不会自动跟踪服务器证书更改或将其写入 VPN 配置文件。

    注	只有当一个或以上的受信任的 DNS 域或 DNS 服务器被定义时，您才可以配置该参数。如果受信任的 DNS 域或 DNS 服务器未被定义，则该字段将被禁用。

  • 在受信任网络中禁用没有受信任服务器连接的接口 (Disable interfaces without trusted server connectivity while in trusted network)（仅限 macOS 和 Linux）- 禁用不受信任的接口，以便双宿主终端不会从企业网络切换到公共网络，从而泄露企业的私有信息。它需要在配置文件中启用“安全受信任网络检测”(Secure Trusted Network Detection)，一旦静态 DNS 设置检测到受信任网络，就会向已配置的受信任服务器发送 HTTPS 探测作为附加检查。

    它适用于连接到受信任和不受信任网络的双宿主设备。一个接口必须与配置文件的受信任网络策略的 DNS 设置匹配，并且安全受信任网络检测必须成功通过该接口才能被视为连接到受信任网络。一旦检测到终端属于不同信任级别的区域（受信任或不受信任的网络），就会激活该功能，并禁止访问不受信任的网络。

  • 始终在线 (Always On) - 确定当用户登录到运行受支持的 Windows 或 macOS 操作系统的计算机时，Cisco Secure Client 是否自动连接到 VPN。您可以实施企业策略，以便在计算机不在受信任网络中时阻止计算机访问互联网资源，从而保护它免遭安全威胁。根据分配策略所用的匹配条件，您可以指定异常情况，从而在组策略和动态访问策略中设置永远在线 VPN 参数来覆盖此设置。如果 Cisco Secure Client 策略启用永远在线，而动态访问策略或组策略禁用它，只要其条件匹配关于建立每个新会话的动态访问策略或组策略，客户端就为当前和将来的 VPN 会话保留此禁用设置。在启用后，您就可以配置其他参数。

    注	AlwaysOn 用于连接建立和冗余运行而无需用户干预的情形；因此，在使用此功能时，您不需要配置或启用 Preferences 第 1 部分中的 Auto Reconnect。

    • 允许 VPN 断开连接 (Allow VPN Disconnect) - 确定 Cisco Secure Client 是否为永远在线 VPN 会话显示“断开连接”(Disconnect) 按钮。由于当前 VPN 会话存在性能问题或 VPN 会话中断后重新连接出现问题，永远在线 VPN 会话的用户可能想要点击“断开连接”(Disconnect) 以选择其他安全网关。

      Disconnect 会锁定所有接口，以防止数据泄漏并防止计算机在建立 VPN 会话外还以其他方式访问互联网。出于上述原因，禁用 Disconnect 按钮有时可能会阻碍或防止 VPN 接入。

    • 允许在 VPN 断开连接时访问以下主机 (Allow Access to the Following Hosts With VPN Disconnected) - 当 VPN 在永远在线期间断开连接时，允许终端访问已配置的主机。值是主机的逗号分隔列表，可以是指定 IP 地址、IP 地址范围（CIDR 格式）或 FQDN。还允许访问已配置域的所有子域。最多允许 500 个主机，并且不支持通配符。

      警告：对指定 FQDN 的访问取决于在不受信任网络中执行的名称解析。

    • 连接失败策略 (Connect Failure Policy) - 确定在 Cisco Secure Client 无法建立 VPN 会话（例如，无法访问 Cisco Secure Firewall ASA）时计算机是否可访问互联网。此参数只在启用了永远在线和 Allow VPN Disconnect 时才适用。如果选择永远在线，则 fail-open 策略允许网络连接，fail-close 策略禁用网络连接。

      • Closed - 当无法访问 VPN 时限制网络访问。此设置的目的是，当负责保护终端的专用网络中的资源不可用时，帮助保护企业资产免遭网络威胁。

      • Open - 当无法访问 VPN 时允许网络访问。

      小心

      如果 Cisco Secure Client 未能建立 VPN 会话，连接故障关闭策略会阻止网络访问。它主要用在网络访问的安全持久性比始终可用性更重要的企业中，以特别保证企业的安全。除本地资源（例如，分隔隧道允许和 ACL 限制的打印机和系留设备等）外，它会阻止所有网络访问。如果用户在安全网关不可用时需要 VPN 以外的互联网接入，它可能停止运行。Cisco Secure Client 会检测大多数强制网络门户。如果它不能检测到强制网络门户，连接故障关闭策略会阻止所有网络连接。 如果您部署关闭连接策略，我们强烈建议您采用分阶段方法。例如，首先利用连接失败打开策略部署永远在线 VPN，并调查用户 Cisco Secure Client 无法无缝连接的频率。然后，在早期采用者用户中部署连接失败关闭策略的一个小型试点部署，并征求他们的反馈。逐步扩展试点计划，同时继续征求反馈，再考虑全面部署。部署连接失败关闭策略时，请确保向 VPN 用户告知网络访问限制以及连接失败关闭策略的优点。

      如果 Connect Failure Policy 为 Closed，则您可以配置以下设置：

      • 允许强制网络门户补救 (Allow Captive Portal Remediation) - 当客户端检测到强制网络门户（热点）时，让 Cisco Secure Client 解除关闭连接失败策略所施加的网络访问限制。酒店和机场通常使用强制网络门户，它们要求用户打开浏览器并满足允许互联网访问所需的条件。默认情况下，此参数处于未选中状态可提供最高安全性。但是，如果您想要客户端连接到 VPN 而强制网络门户却阻止它这样做，则您必须启用此参数。

      • 补救超时 (Remediation Timeout) - Cisco Secure Client 解除网络访问限制的分钟数。此参数只在“允许强制网络门户补救”(Allow Captive Portal Remediation) 参数被选中且客户端检测到强制网络门户时适用。指定满足一般强制网络门户要求所需的足够时间（例如，5 分钟）。

      • 应用最后的 VPN 本地资源规则 (Apply Last VPN Local Resource Rules) - 如果 VPN 无法访问，则客户端应用其从 Cisco Secure Firewall ASA 收到的最后一个客户端防火墙，此 ASA 可能包含允许访问本地 LAN 资源的 ACL。

• 强制网络门户补救浏览器故障转移 (Captive Portal Remediation Browser Failover) - 允许最终用户使用外部浏览器（在关闭 Cisco Secure Client 浏览器后）进行强制网络门户补救。

• 允许手动主机输入 (Allow Manual Host Input) - 允许用户输入与 Cisco Secure Client 用户界面的下拉框中选项不同的 VPN 地址。如果取消选中此复选框，VPN 连接将仅限于下拉框中的选项，并且用户只能输入新的 VPN 地址。

• PPP Exclusion - 对于通过 PPP 连接的 VPN 隧道，指定是否以及如何确定排除路由。客户端可以将去往此安全网关的流量从去往安全网关外目标的隧道流量中排除。排除路由在 Cisco Secure Client GUI 的 Route Details 中显示为非安全路由。如果将此功能设置为用户可控制，则用户能够读取和更改 PPP 排除设置。

  • 自动 — 启用 PPP 排除。Cisco Secure Client 会自动确定 PPP 服务器的 IP 地址。

  • 覆盖 (Override) - 使用 PPP Exclusion Server IP（PPP 排除服务器 IP）字段中指定的预定义服务器 IP 地址来启用 PPP 排除。PPP 排除服务器 IP (PPP Exclusion Server IP) 字段仅适用于此覆盖方法，并且仅在“自动”(Automatic) 选项无法检测 PPP 服务器的 IP 地址时使用。

    为“PPP 排除服务器 IP”(PPP Exclusion Server IP) 选中用户可控制 (User Controllable) 字段可允许最终用户通过 preferences.xml 文件手动更新 IP 地址。

  • 已禁用 (Disabled) - 不应用 PPP 排除。

• 启用脚本 (Enable Scripting) - 如果安全设备闪存上存在 OnConnect 和 OnDisconnect 脚本，则启动它们。

  • Terminate Script On Next Event - 发生向另一个可编写脚本事件的过渡时终止正在运行的脚本进程。例如，如果 VPN 会话结束，则 Cisco Secure Client 终止正在运行的 OnConnect 脚本。如果客户端启动新的 VPN 会话，则终止正在运行的 OnDisconnect 脚本。在 Microsoft Windows 上，客户端还会终止 OnConnect 或 OnDisconnect 脚本启动的任何脚本以及它们的所有脚本子代。在 macOS 和 Linux 上，客户端只会终止 OnConnect 或 OnDisconnect 脚本，它不会终止子脚本。

  • Enable Post SBL On Connect Script - 启动 OnConnect 脚本（如果存在），然后 SBL 建立 VPN 会话。（仅当 VPN 终端运行 Microsoft Windows 时才受支持。）

• 注销时保留 VPN (Retain VPN On Logoff) - 确定是否在用户注销 Windows 或 Mac 操作系统时保留 VPN 会话。

  • User Enforcement - 指定当其他用户登录时是否结束 VPN 会话。此参数仅在“注销时保留 VPN”(Retain VPN On Logoff) 被选中且原始用户在 VPN 会话进行中注销 Windows 或 macOS 时适用。

• 身份验证超时值 (Authentication Timeout Values) - 在成功发送连接尝试的用户凭证后，客户端等待来自前端的身份验证响应的秒数。输入介于 10 - 120 之间的秒数。

  注	如果客户端的结构是从操作系统接收客端证书，则不考虑配置文件中的值。

您可以配置一个备用服务器列表，以便客户端在用户选择的服务器发生故障时使用。如果用户选择的服务器发生故障，客户端会尝试连接到在列表顶端的最佳服务器备用。如果该尝试失败了，客户端会按其选择结果依次尝试最佳网关选择列表中剩余的每个服务器。

注	仅当未在 Cisco Secure Client 配置文件编辑器，添加/编辑服务器列表中定义备用服务器时，才会尝试使用您在此处配置的任何备用服务器。在 Server List 中配置的服务器优先，而此处列出的备用服务器将被覆盖。

主机地址 (Host Address) - 指定一个 IP 地址或完全限定域名 (FQDN) 以包含在备用服务器列表中。

• 添加 (Add) - 将主机地址添加到备用服务器列表。

• 上移 (Move Up) - 将选定的备用服务器在列表中向上移动。如果用户选择的服务器发生故障，则客户端首先尝试连接到此列表顶端的备用服务器，必要时再沿着列表从上到下逐个尝试。

• 下移 (Move Down) - 将选定的备用服务器在列表中向下移动。

• 删除 (Delete) - 从服务器列表中删除备用服务器。

启用可用于优化此窗格中自动客户端证书选择的各属性的定义。

如果未指定证书匹配条件，则 Cisco Secure Client 应用以下证书匹配规则：

• Key Usage：Digital_Signature

• Extended Key Usage：Client Auth

如果配置文件中指定了任何条件匹配规范，则不应用这些匹配规则，除非配置文件中具体列出了这些规则。

• 密钥使用 (Key Usage) - 在选择可接受的客户端证书时，使用以下证书密钥属性：

  • Decipher_Only - 解密数据，且未设置其他位（Key_Agreement 除外）。

  • Encipher_Only - 加密数据，且未设置其他位（Key_Agreement 除外）。

  • CRL_Sign - 验证 CRL 上的 CA 签名。

  • Key_Cert_Sign - 验证证书上的 CA 签名。

  • Key_Agreement - 密钥协议。

  • Data_Encipherment - 加密除 Key_Encipherment 以外的数据。

  • Key_Encipherment - 加密密钥。

  • Non_Repudiation - 验证数字签名保护，以免错误拒绝某些操作（Key_Cert_sign 或 CRL_Sign 除外）。

  • Digital_Signature - 验证数字签名（Non_Repudiation、Key_Cert_Sign 或 CRL_Sign 除外）。

• Extended Key Usage - 使用以下 Extended Key Usage 设置。OID 括在括号内：

  • ServerAuth (1.3.6.1.5.5.7.3.1)

  • ClientAuth (1.3.6.1.5.5.7.3.2)

  • CodeSign (1.3.6.1.5.5.7.3.3)

  • EmailProtect (1.3.6.1.5.5.7.3.4)

  • IPSecEndSystem (1.3.6.1.5.5.7.3.5)

  • IPSecTunnel (1.3.6.1.5.5.7.3.6)

  • IPSecUser (1.3.6.1.5.5.7.3.7)

  • TimeStamp (1.3.6.1.5.5.7.3.8)

  • OCSPSign (1.3.6.1.5.5.7.3.9)

  • DVCS (1.3.6.1.5.5.7.3.10)

  • IKE Intermediate

• Custom Extended Match Key（最多 10 个）- 指定定制扩展匹配密钥（如果有，最多 10 个）。证书必须与您输入的所有指定密钥匹配。以 OID 格式（例如 1.3.6.1.5.5.7.3.11）输入密钥。

  注	如果创建的一个定制扩展匹配密钥的 OID 大小超过 30 个字符，则您点击“确定 (OK)”按钮时，该密钥不会被接受。OID 的最大字符数限制是 30。

• 只与支持密钥用法扩展 (EKU) 的证书匹配 - 先前的做法是：如果设置了证书可分辨名称 (DN) 匹配规则，客户端会与带特定 EKU OID 和所有不带 EKU 的证书匹配。为了在保持一致性的同时提升清晰度，您可以禁止与不带 EKU 证书进行匹配。默认设置为保留客户所期待的这一传统行为。您必须通过点击复选框来启用新行为以及禁止该匹配。

• 可分辨名称 (Distinguished Name)（最多 10 个）- 指定在选择可接受的客户端证书时用于完全匹配条件的可分辨名称 (DN)。

  • 名称 (Name) - 用于匹配的可分辨名称 (DN)：

    • CN - 主题通用名

    • C - 主题国家/地区

    • DC - 域组件

    • DNQ - 主题 DN 限定符

    • EA - 主题邮件地址

    • GENQ - 主题代际限定符

    • GN - 主题给定名称

    • I - 主题首字母缩写

    • L - 主题城市

    • N - 主题未定义的名称

    • O - 主题公司

    • OU - 主题部门

    • SN - 主题姓氏

    • SP - 主题省/自治区

    • ST - 主题州

    • T - 主题称谓

    • ISSUER-CN - 颁发者通用名

    • ISSUER-DC - 颁发者组件

    • ISSUER-SN - 颁发者姓氏

    • ISSUER-GN - 颁发者给定名称

    • ISSUER-N - 颁发者未定义的名称

    • ISSUER-I - 颁发者首字母缩写

    • ISSUER-GENQ - 颁发者代际限定符

    • ISSUER-DNQ - 颁发者 DN 限定符

    • ISSUER-C - 颁发者国家/地区

    • ISSUER-L - 颁发者城市

    • ISSUER-SP - 颁发者所在省/自治区

    • ISSUER-ST - 颁发者所在州

    • ISSUER-O - 颁发者所在公司

    • ISSUER-OU - 颁发者所在部门

    • ISSUER-T - 颁发者称谓

    • ISSUER-EA - 颁发者邮件地址

  • Pattern - 指定要匹配的字符串。要匹配的型号应仅包括要匹配的字符串部分。不需要包括型号匹配或正则表达式语法。如果输入了语法，此语法将被视为待搜索字符串的一部分。

    例如，如果示例字符串是 abc.cisco.com，且为了与 cisco.com 匹配，则输入的型号应该是 cisco.com。

  • Operator - 为此 DN 执行匹配时使用的运算符。

    • Equal - 与 == 等效

    • Not Equal - 与 != 等效

  • Wildcard - 启用后将包含通配符型号匹配。在通配符启用的情况下，该型号可以位于字符串的任何位置。

  • 大小写匹配 (Match Case) - 选中可启用区分大小写的型号匹配。

证书注册使 Cisco Secure Client 能够使用简单证书注册协议 (SCEP) 调配和续订用于客户端身份验证的证书。

• 证书到期阈值 (Certificate Expiration Threshold) - 在证书过期日前，Cisco Secure Client 提醒用户其证书即将过期的天数（RADIUS 密码管理不支持该功能）。默认值为零（不显示警告）。值范围为 0 到 180 天。

• 客户端证书导入存储库 (Client Certificate Import Store) - 选择注册证书保存至的证书存储库。

  • Windows 的 ISE 安全评估代理

  • 全部 (All) — [默认]将注册证书导入 Windows 计算机和用户证书库。

  • 计算机 (Machine) — 仅将注册证书导入 Windows 计算机证书存储库。

  • 用户 (User) — 仅将注册证书导入 Windows 用户证书存储库。

  • Linux

  • 全部 (All) — [默认]将注册证书导入用户 PEM 文件和用户 Firefox NSS 证书存储库。

  • UserFirefoxNSS — 仅将注册证书导入用户 Firefox NSS 证书存储库。

  • UserPEMFile — 仅将注册证书导入用户 PEM 文件证书存储库。

• macOS

• 注册证书只能被导入到用户登录密钥链中。

• 移动平台

• 注册证书只能被导入到应用程序沙盒。

• 证书内容 (Certificate Contents) - 指定要包含在 SCEP 注册请求中的证书内容：

  • 名称 (CN) - 证书中的通用名。

  • 部门 (OU) - 证书中指定的部门名称。

  • 公司 (O) - 证书中指定的公司名称。

  • 州 (ST) - 证书中指定的州标识符。

  • 州 (SP) - 另一个州标识符。

  • 国家/地区 (C) - 证书中指定的国家/地区标识符。

  • 邮件 (EA) - 邮件地址。以下示例中，邮件地址 (EA) 为 %USER%@cisco.com。%USER% 对应用户的 ASA 用户名登录凭证。

  • 域 (DC) - 域组件。在以下示例中，域 (DC) 设置为 cisco.com。

  • 姓氏 (SN) - 家族名或姓。

  • 给定名称 (GN) - 通常为名。

  • UnstructName (N) - 未定义的名称。

  • 首字母缩写 (I) - 用户的首字母缩写。

  • 限定符 (GEN) - 用户的代限定符。例如，“Jr.”或“III.”

  • 限定符 (DN) - 整个 DN 的限定符。

  • 城市 (L) - 城市标识符。

  • 称谓 (T) - 人员的称谓。例如，女士、夫人、先生

  • CA 域 - 用于 SCEP 注册，一般为 CA 域。

  • 密钥大小 - 为待注册证书所生成的 RSA 密钥的大小。

• 显示获取证书按钮 (Display Get Certificate Button) - 启用 Cisco Secure Client GUI 可在下列条件下显示 Get Certificate 按钮：

  • 证书设置为在证书过期阈值定义的时间段后过期（RADIUS 不支持）。

  • 证书已过期。

  • 证书不存在。

  • 证书无法匹配。

前提条件

使用 VPN 配置文件编辑器启用首选项，并配置全局证书锁定和按主机证书锁定。如果在“全局锁定”(Global Pins) 部分中启用了首选项，则只能在服务器列表部分中按主机锁定证书。启用该首选项后，可以配置一个全局锁定列表，供客户端进行证书锁定验证使用。在服务器列表部分中添加按主机锁定与添加全局锁定类似。您可以锁定证书链中的任何证书，这些证书会被导入配置文件编辑器以计算锁定所需的信息。

添加锁定 (Add Pin) - 启动证书锁定向导，该向导会指导您将证书导入配置文件编辑器并锁定它们。

该窗口的证书详细信息部分允许您直观地验证“主题 (Subject)”和“颁发者 (Issuer)”列。

您可以配置在客户端 GUI 中显示的服务器列表。用户可以在该列表中选择服务器以建立 VPN 连接。

服务器列表表列：

• 主机名 - 用于指代主机、IP 地址或完全限定域名 (FQDN) 的别名。

• 主机地址 - 服务器的 IP 地址或 FQDN。

• 用户组 - 用于与主机地址一同组成基于组的 URL。

• 自动 SCEP 主机 - 为调配和续订进行客户端身份验证的证书而指定的简单证书注册协议。

• CA URL - 此服务器用于连接到证书颁发机构 (CA) 的 URL。

• 证书锁定 - 在锁定验证期间，由客户端使用的按主机锁定。请参阅 Cisco Secure Client 配置文件编辑器，证书锁定。

  注	客户端在锁定验证期间使用全局锁定和对应的按主机锁定。按主机锁定的配置方式类似于使用证书锁定向导配置全局锁定的方式。

Add/Edit - 启动 Server List Entry 对话框，您可在此指定上述服务器参数。

Delete - 从服务器列表中删除服务器。

Details - 显示有关备用服务器或服务器 CA URL 的更多详细信息。

在配置文件编辑器中，配置收集服务器的 IP 地址或 FQDN。您还可以自定义数据收集策略，用于选择要发送哪些类型数据，以及确定数据是否匿名。

Network Visibility Module 可以使用包含 IPv4 地址的单个堆栈 IPv4、包含 IPv6 地址的单个堆栈 IPv6 或双堆栈 IPv4/IPv6，建立与操作系统首选的 IP地址的连接。

移动 Network Visibility Module 仅可以使用 IPv4 建立连接。不支持 IPv6 连接。

注

当 Network Visibility Module 在受信任网络中时，该模块发送流量信息。默认情况下，不收集任何数据。仅在配置文件中进行了相应配置时才会收集数据，且连接终端后，会继续收集数据。如果在一个不可信网络上进行收集，则会缓存数据，并在终端处于受信任的网络中时发送数据。如果您将收集数据发送到 Cisco Secure Cloud Analytics 7.3.1 及更低版本（或 Splunk 及类似 SIEM 工具之外的工具），则缓存数据会在受信任网络上发送一次，但不会进行处理。对于 Cisco Secure Cloud Analytics 应用程序，请参阅《Cisco Secure Cloud Analytics 企业终端许可证和 NVM 配置指南》。 如果已在 Network Visibility Module 配置文件中配置了 TND，则值得信赖的网络检测由 Network Visibility Module 完成，并且不依赖于 VPN 来确定终端是否位于受信任的网络中。此外，如果 VPN 为已连接状态，则会将终端视作处于受信任网络中，并会发送流信息。NVM 特定的系统日志会显示值得信赖的网络检测使用情况。 直接在 Network Visibility Module 配置文件中配置 TND 时，管理员定义的受信任服务器和证书散列将确定用户位于受信任还是不受信任的网络上。管理员为核心 VPN 配置文件配置值得信赖的网络检测会在核心 VPN 配置文件中另外配置受信任 DNS 域和受信任 DNS 服务器：Cisco Secure Client 配置文件编辑器，首选项（第 2 部分）。

• 桌面 (Desktop) 或移动 (Mobile) - 确定是在桌面还是移动设备上设置 Network Visibility Module。桌面 (Desktop) 是默认值。

• 收集器配置

  • IP 地址/FQDN (IP Address/FQDN) - 指定收集器的 IPv4 或 IPv6 IP 地址/FQDN。

  • 端口 (Port) - 指定收集器正在侦听哪个端口号。

  • 安全 (Secure) - 确定是否希望 Network Visibility Module 通过 DTLS 安全地将数据发送到收集器。选中此复选框后，Network Visibility Module 将使用 DTLS 进行传输。DTLS 连接要求终端信任 DTLS 服务器（收集器）证书。系统将以静默方式拒绝任何不受信任的证书。

    DTLS 支持需要收集器作为 CESA Splunk 应用 v3.1.0 的一部分，DTLS 1.2 是支持的最低版本。

• 缓存配置

  • 最大大小 (Max Size) - 指定该数据库可以达到的最大大小。以前对缓存大小有预设的限制，但您现在可在配置文件中配置它。缓存中的数据以加密格式存储，因此只有拥有根权限的进程可以解密数据。

    一旦达到大小限制，将从空间中丢弃最旧数据，将空间留给新数据。

  • 最大持续时间 (Max Duration) - 指定您希望将数据存储多少天。如果您还设置了最大大小，则首先达到的限制优先。

    一旦达到天数限制，将从空间中丢弃日期最早的数据，将空间留给日期最近的数据。如果仅配置了“最大持续时间 (Max Duration)”，则没有大小上限；如果二者都被禁用，则大小上限为 50 MB。

• 定期模板 (Periodic Template) - 指定从终端发出模板的时间间隔。默认值为 1440 分钟。

• 定期流量报告 (Periodic Flow Reporting)（可选，仅应用于桌面）- 点击以启用定期流量报告。默认情况下，Network Visibility Module 发送连接结束时的流量相关信息 （当禁用此选项时）。如果需要定期的流量相关信息（甚至在这些流量被关闭之前），请在此处设置间隔（以秒为单位）。值为 0 表示在每个流量开始和结束时发送流量信息。如果值为 n ，则将在每个流量开始时、每隔 n 秒时和结束时发送流量信息。使用此设置跟踪长期运行的连接（甚至在这些连接被关闭之前）。

• 聚合时间间隔 (Aggregation Interval) - 指定从端点导出数据流的时间间隔。使用 5 秒默认值时，一个数据包中将捕获不止一个数据流。如果时间间隔值为 0 秒，则每个数据包都有一个数据流。有效范围为 0 到 600 秒。

• 限制速率 (Throttle Rate) - 限制控制以什么速率将数据从缓存发送到收集器，以便尽量减小对最终用户的影响。您可以对实时和缓存数据应用限制（只要存在缓存的数据）。以 Kbps 为单位，输入限制速率。默认值为 500 Kbps。

  在该固定时段后，缓存数据将被导出。输入 0 将禁用该功能。

• 收集模式 (Collection Mode) - 通过选择收集模式关闭 (collection mode is off)、仅受信任网络 (trusted network only)、仅不受信任网络 (untrusted network only) 或所有网络 (all networks)，指定应从终端收集数据的时间。

• 收集标准 (Collection Criteria) - 您可以在数据收集时减少不必要的广播，以便仅分析相关数据。通过以下选项控制数据搜集：

  • 广播数据包 (Broadcast packets) 和组播数据包 (Multicast packets)（仅适用于桌面）- 默认情况下，为了提高效率，会关闭广播和组播数据包收集，以便缩短在后端资源上花费的时间。点击该复选框可启用对广播和组播数据包的收集并过滤数据。

  • 仅限 KNOX (KNOX only)（可选且特定于移动设备）- 选中后，将仅从 KNOX 工作空间收集数据。默认情况下，未选中此字段，将会从工作空间内部和外部收集数据。

• 数据收集策略 (Data Collection Policy) - 您可以添加数据收集策略，并将它们与网络类型或连接情形相关联。您可以将一种策略应用于 VPN，而将另一种策略应用于非 VPN 流量，因为多个接口可以同时处于活跃状态。

  在点击“添加”(Add) 时，系统显示“数据收集策略”(Data Collection Policy) 窗口。在创建策略时，请记住以下准则：

  • 默认情况下，如果未创建策略或未与网络类型相关联，则将报告和收集所有字段。

  • 每种数据收集策略必须与至少一种网络类型相关联，但您不能将两种策略与同一种网络类型相关联。

  • 具有更具体的网络类型的策略优先。例如，因为 VPN 是受信任网络的一部分，所以包含 VPN 网络类型的策略的优先级高于采用受信任网络为指定网络的策略。

  • 您只能基于所选的收集型号，为网络创建适用的数据收集策略。例如，如果收集模式 (Collection Mode) 设置为 仅受信任网络 (Trusted Network Only)，您无法为不受信任网络类型 (Untrusted Network Type) 创建数据收集策略 (Data Collection Policy)。

  • 如果从较新版本的 Cisco Secure Client 打开来自较早版本 Cisco Secure Client 的配置文件，它会自动将该配置文件转换为较新的版本。转换过程中会为所有网络添加数据收集策略，用于排除先前匿名的字段。

  • 名称 (Name) - 为您要创建的策略指定名称。

  • 网络类型 (Network Type) - 通过选择 VPN、受信任或不受信任，来确定收集模式，或者应用数据收集策略的网络。如果您选择受信任网络，则策略也适用于 VPN 案例。

  • 流过滤器规则 (Flow Filter Rule) - 定义一组条件和一个操作，可以在满足所有条件时收集或忽略流。您最多可以配置 25 条规则，每条规则最多可以定义 25 个条件。使用“流过滤器规则”(Flow Filter Rule) 列表右侧的向上和向下按钮调整规则的优先级，并对后续规则给予更高的考虑。点击添加 (Add) 设置流过滤器规则的组成要素。

    • 名称 (Name) - 流过滤器规则的唯一名称。

    • 类型 (Type) - 每个过滤器规则都有“收集”或“忽略”类型。确定满足过滤器规则时要执行的操作（“收集”[Collect] 或“忽略”[Ignore]）。如果收集，则在满足条件时允许流。如果忽略，则丢弃流。

    • 条件 - 为要匹配的每个字段添加一个条目以及一个运算，以确定字段值对匹配项是否应相等或不相等。每个运算都有一个字段标识符和该字段的对应值。该字段区分大小写，除非您在设置过滤器引擎规则时对规则集应用了不区分大小写操作 (EqualsIgnoreCase)。启用后，规则中设置的 Value 字段中的输入不区分大小写。

  • 包括/排除

    • 类型 (Type) - 确定要在数据收集策略中包含 (Include) 或排除 (Exclude) 的字段。默认值为排除 (Exclude)。所有未选中的字段都收集起来。未选中任何字段时，将收集所有字段。

    • 字段 (Fields) - 确定要从终端接收哪些信息以及收集哪些字段的数据以满足策略要求。根据网络类型和包含或排除的字段，Network Visibility Module 将在终端上收集相应数据。

      注

      升级期间，如果存在以下情况之一，默认从流信息的报告中排除 ProcessPath、ParentProcessPath、ProcessArgs 和 ParentProcessArgs： 如果较旧版本 Network Visibility Module 中的配置文件没有数据收集策略或有包含数据收集策略。 如果较旧版本 Network Visibility Module 中的配置文件有排除数据收集策略，并且该配置文件已使用更新版本的配置文件编辑器打开并保存。如果较旧版本 Network Visibility Module 中的配置文件有排除数据收集策略，但该配置文件未使用更新的 4.9 版本（或更高版本）配置文件编辑器打开和保存，则包含这四个字段。 如果 Network Visibility Module 无法计算父进程 ID，则值默认为 4294967295。 FlowStartMsec 和 FlowStopMsec 确定流的纪元时间戳（以毫秒为单位）。

      您可以选择接口状态和 SSID，这将指定接口的网络状态为受信任还是不受信任。

    • 可选匿名字段 (Optional Anonymization Fields) - 如果要关联同一终端上的记录，同时保留隐私，请选择所需的字段进行匿名化。然后，它们将作为值的散列而不是实际值发送。字段的子集可用于匿名化。

      标记为包含或排除的字段不可用于匿名；同样，标记为匿名的字段不可用于包含或排除。

• 用于 Knox 的数据收集策略 (Data Collection Policy for Knox)（特定于移动设备）- 该选项用于在选择移动配置文件时指定数据收集策略。要为 Knox 容器创建数据收集策略，请选择“范围”(Scope) 下的仅 Knox (Knox-Only) 复选框。除非指定单独的 Knox 容器数据收集策略，否则应用于 Knox 容器流量的设备范围内的数据收集策略也适用于 Knox 容器流量。要添加或删除数据收集策略，请参阅上面的数据收集策略说明。您可以为移动配置文件设置最多 6 个不同的数据收集策略：3 个用于设备，3 个用于 Knox。

• 可接受的使用策略 (Acceptable Use Policy)（可选且特定于移动设备）- 点击编辑 (Edit)，在对话框中为移动设备定义可接受的使用策略。完成后，点击确定 (OK)。最多允许 4000 个字符。

  配置 Network Visibility Module 后，此消息会显示给用户。远程用户无法选择拒绝 Network Visibility Module 活动。网络管理员使用 MDM 工具控制 Network Visibility Module。

• Export on Mobile Network（可选且特定于移动设备）- 指定在设备使用移动网络时，是否允许导出 Network Visibility Module 流。如果启用（默认值），当显示或后续通过 Cisco Secure Client Android 应用中的 设置 (Settings) > NVM-设置 (NVM-Settings) > > 将移动数据用于 NVM (Use mobile data for NVM) 复选框来显示“可接受的用户策略”(Acceptable User Policy) 窗口时，最终用户可以覆盖管理员 。如果取消选中在移动网络上导出 (Export on Mobile Network) 复选框，当设备使用移动网络时，不会导出 Network Visibility Module 流，最终用户无法对其进行更改。

• 值得信赖的网络检测 (Trusted Network Detection) — 此功能可检测终端是否实际上位于企业网络中。Network Visibility Module 使用网络状态来确定何时导出数据并应用相应的数据收集策略。点击配置 (Configure) 以设置值得信赖的网络检测的配置。SSL 探测会发送到已配置的受信任前端，如果可访问，则前端会使用证书响应。然后，系统将根据配置文件编辑器中的散列设置提取指纹（SHA-256 散列）并将其与之匹配。成功匹配表明终端位于受信任的网络中；但是，如果前端无法访问，或者如果证书散列不匹配，则系统会将终端视为位于不受信任的网络中。

  注	从内部网络的外部进行操作时，值得信赖的网络检测会执行 DNS 请求并尝试与已配置服务器建立 SSL 连接。思科强烈建议使用别名，以确保在内部网络以外使用的机器不会通过这些请求泄露您组织的名称和内部结构。

  1. https:// — 输入每个受信任服务器的 URL （IP 地址、FQDN 或端口地址），然后点击添加 (Add)）。

     注	代理后的受信任服务器不受支持。

  2. 证书散列 (SHA-256) — 如果与受信任服务器的 SSL 连接成功，则系统会自动填充此字段。否则，您可以通过输入服务器证书的 SHA-256 散列并点击设置 (Set) 来手动对其进行设置。

  3. 受信任服务器列表 — 通过此过程可以定义多个受信任服务器。（至多 10 个。）由于服务器会按已配置的顺序尝试值得信赖的网络检测，因此您可以使用上移和移动 |向下按钮来调整该顺序。如果终端无法连接到第一台服务器，它会尝试连接第二台服务器，依此类推。在对列表中的所有服务器进行尝试后，终端等待 10 秒后会再进行最后一次尝试。当服务器进行身份验证时，系统会视为终端在受信任的网络中。

将配置文件另存为 NVM_ServiceProfile.xml。您必须将配置文件准确保存为此名称，否则 Network Visibility Module 将无法收集和发送数据。

您可以在 VPN 本地策略编辑器中指定要包含在 AnyConnectLocalPolicy.xml 文件中的以下首选项。

• FIPS 模式

  为客户端启用 FIPS 型号。此设置强制客户端仅使用 FIPS 标准批准的算法和协议。

• 旁路下载程序

  选择后，禁用 VPNDownloader.exe 模块启动，该模块负责检测本地版本动态内容的存在和更新。客户端不检查 Cisco Secure Firewall ASA 上的动态内容，包括转换、自定义、可选模块和核心软件更新。

  选中“旁路下载程序”(Bypass Downloader) 时，在客户端连接到 Cisco Secure Firewall ASA 时将发生两种情况之一：

  • 如果 Cisco Secure Firewall ASA 上的 VPN 客户端配置文件不同于客户端上的 VPN 客户端配置文件，则客户端将中止连接尝试。

  • 如果 Cisco Secure Firewall ASA 上没有 VPN 客户端配置文件，则客户端会建立 VPN 连接，但它使用其硬编码的 VPN 客户端配置文件设置。

  注	如果您在 Cisco Secure Firewall ASA 上配置 VPN 客户端配置文件，则这些文件必须在客户端连接到 Cisco Secure Firewall ASA 之前安装在客户端上（BypassDownloader 设置为 true）。因为配置文件可以包含管理员定义的策略，所以只在您不依赖于 Cisco Secure Firewall ASA 来集中管理客户端配置文件时，才建议将 BypassDownloader 设置为 true。

• 启用 CRL 检查

  仅对 Windows 桌面实施此功能。对于 SSL 和 IPsec VPN 连接，可以选择执行证书吊销列表 (CRL) 检查。启用此设置后，Cisco Secure Client 检索链中所有证书的已更新 CRL。然后，Cisco Secure Client 验证有关证书是否包含在不应再信任的这些已吊销证书中。如果发现该证书已被证书颁发机构 (CA) 吊销，则不进行连接。

  默认情况下会禁用 CRL 检查。仅当选中（或启用）“启用 CRL 检查”(Enable CRL Check) 时，Cisco Secure Client 才会执行 CRL 检查，因此，最终用户可能会观察到以下情况：

  • 如果通过 CRL 吊销证书，即使在 AnyConnect 本地策略文件中禁用 Strict Certificate Turst，与安全网关的连接也会无条件失败。

  • 如果无法检索 CRL（例如由于无法访问 CRL 分发点），并且在 AnyConnect 本地策略文件中启用 Strict Certificate Turst，与安全网关的连接也会无条件失败。否则，如果禁用 Strict Certificate Turst，则系统可能会提示该用户绕过此错误。

  注	启用 Always On 时，Cisco Secure Client 无法执行 CRL 检查。此外，如果 CRL 分发点不是公开可访问，则 Cisco Secure Client 可能会遇到服务中断。

• 启用 OCSP 检查

  此功能仅对 Linux 实施。它让客户端可以实时查询各个证书的状态，具体方法为：向 OSCP 响应程序发送请求，并解析 OSCP 响应，即可获得证书状况。OCSP 用于验证整个证书链，并且仅与 PEM 文件证书存储库配合使用（通过将 Exclude Firefox NSS Cert Store 设置为 True）。对于每个证书，访问 OCSP 响应程序设有五秒的超时间隔。

  默认情况下会禁用 OCSP 检查。如已启用，最终用户可能会观察到以下情况：

  • 如果通过 OCSP 吊销证书，即使在 AnyConnect 本地策略文件中禁用 Strict Certificate Turst，与网关的连接也会无条件失败。

  • 如果无法连接到 OCSP，并且在 AnyConnect 本地策略文件中启用 Strict Certificate Turst，与安全网关的连接也会无条件失败。否则，如果禁用 Strict Certificate Turst，则系统可能会提示该用户绕过此错误。

    注	启用“永远在线”(Always On) 后，Cisco Secure Client 将无法执行 OCSP 检查。此外，如果 OCSP 响应程序并非可公开访问，则 Cisco Secure Client 可能会遇到服务中断。

• 严格证书信任

  如果选中此项，则在对远程安全网关进行身份验证时，Cisco Secure Client 不允许它无法验证的任何证书。客户端并不提示用户接受这些证书，而是无法使用自签证书连接到安全网关并显示 Local policy prohibits the acceptance of untrusted server certificates. A connection will not be established. 。如果未选中，客户端将提示用户接受证书。这是默认行为。

  我们强烈建议您为 Cisco Secure Client启用“严格证书信任”(Strict Certificate Trust)，原因如下：

  • 随着有针对性攻击的日益增多，在本地策略中启用 Strict Certificate Turst 有助于在用户从不受信任网络（例如公共访问网络）连接时，防止受到“中间人”攻击。

  • 即使您使用完全可验证且受信任的证书，默认情况下 Cisco Secure Client也允许最终用户接受不可验证的证书。如果最终用户受到中间人攻击，他们可能会被提示接受恶意证书。要从最终用户删除此决定，请启用 Strict Certificate Turst。

• 限制服务器证书存储库（Windows、macOS 和 Linux）

  防止客户端使用基于用户的证书存储验证服务器证书。只使用基于系统的证书存储。启用此项还将启用 <StrictCertificateTrust> 并将其设置为 true。

• 限制首选项缓存

  根据设计，Cisco Secure Client 不将敏感信息缓存到磁盘。启用此参数会将本策略扩展到在 Cisco Secure Client 首选项中存储的任何类型的用户信息。

  • Credentials - 不缓存用户名和辅助用户名。

  • Thumbprints - 不缓存客户端和服务器的证书拇指指纹。

  • CredentialsAndThumbprints - 不缓存证书拇指指纹和用户名。

  • All - 不缓存任何自动首选项。

  • false - 所有首选项都写入磁盘（默认值）。

• 限制网络部署更新 (Restrict Web-deploy Updates) - 可以定义更新的限制级别。与下面的更新策略参数配合，您可以通过创建受信任的 Cisco Secure Firewall ASA 列表，并选择从这些受信任的 Cisco Secure Firewall ASA 下载策略、帮助文件、翻译和脚本，从而将下载程序的分发限制在仅受信任的 Cisco Secure Firewall ASA 源。通过以下设置，您可以绕过某些下载程序功能，同时保留 VPN 配置文件更新和软件更新功能。或禁用 Cisco Secure Firewall ASA 的脚本、本地化文件、帮助文件或用户界面自定义的网络部署，而不影响 Cisco Secure Client 下载程序的其他功能。如果设置为绕过，则必须使用带外软件更新机制来完成任何必要的更新。

  • 限制脚本 Web 部署更新 (Restrict Web-deploy Updates) - 防止管理员从服务器自定义连接脚本更新。

  • 限制资源 Web 部署更新 (Restrict Resource Web-deploy Updates) - 防止管理员从服务器自定义用户界面元素更新。

  • 限制帮助 Web 部署更新 (Restrict Help Web-deploy Updates) - 防止管理员从服务器自定义帮助文件更新。

  • 限制本地化 Web 部署更新 (Restrict Localization Web-deploy Updates) - 防止管理员从服务器自定义本地化更新。

• 排除 PEM 文件证书存储库 (Exclude Pem File Cert Store)（Linux 和 macOS）

  防止客户端使用 PEM 文件证书存储库来验证服务器证书和搜索客户端证书。

  存储库使用支持 FIPS 的 OpenSSL，并具有关于在哪里可以获取客户端证书身份验证所需证书的信息。允许 PEM 文件证书存储库可确保远程用户使用符合 FIPS 的证书存储库。

• 排除 Firefox NSS 证书存储区库 (Exclude Firefox NSS Cert Store) (Linux)

  防止客户端使用 Firefox NSS 证书存储库来验证服务器证书和搜索客户端证书。

  存储库有关于在何处为客户端证书身份验证取得证书的信息。

• 更新策略 


  控制客户端可以从哪些前端获取软件或配置文件更新。默认情况下，允许将来自任何服务器的更新设置为 TRUE。要将下载程序分发仅限于受信任的 Cisco Secure Firewall ASA 源，请在“服务器名称”(Server Name) 字段中添加服务器名称，并取消选中您不希望允许的服务器更新。虽然过去的允许软件更新 ( Allow Software Updates) 包含脚本、帮助文件、资源和本地化，但我们已将其更改为四个单独的设置。

  • 允许从任何服务器更新软件 (Allow Software Updates From Any Server)

  • 允许从任何服务器更新合规模块 (Allow Compliance Module Updates From Any Server)

  • 允许从任何服务器更新 VPN 配置文件 (Allow VPN Profile Updates From Any Server)

  • 允许从任何服务器更新管理 VPN 配置文件 (Allow Management VPN Profile Updates From Any Server)

  • 允许从任何服务器更新 ISE 终端安全评估配置文件 (Allow ISE Posture Profile Updates From Any Server)

  • 允许从任何服务器更新服务配置文件 (Allow Service Profile Updates From Any Server)

  • 允许从任何服务器更新脚本 (Allow Script Updates From Any Server)

  • 允许从任何服务器更新帮助 (Allow Help Updates From Any Server)

  • 允许从任何服务器更新软件 (Allow Software Updates From Any Server)

  • 允许从任何服务器更新本地化 (Allow Localization Updates From Any Server)

  • 服务器名称 (Server Name)

    在此列表中指定已授权服务器。允许这些前端在建立 VPN 连接后进行所有 Cisco Secure Client 软件和配置文件的完全更新。服务器名称可以是 FQDN、IP 地址、域名或通配符加域名。

• 受信任的 ISE 证书指纹 (SHA256) (Trusted ISE Certificate Fingerprints [SHA256]) - 允许您在获取终端安全评估策略之前建立 ISE 信任。您可以在 ISE 认证链中指定 ISE 证书、中间 CA 证书或根 CA 证书的 SHA256 指纹。SHA256 指纹不区分大小写，添加时可使用也可不使用冒号。该设置对于脚本补救是必不可少的。