簡介
本文說明如何使用Umbrella模組遷移至思科安全客戶端統一終端代理。
目的
隨著Umbrella的發展,我們增強了保護漫遊電腦的方法。在不斷努力創新的過程中,我們推出了Cisco Secure Client,它構建於AnyConnect之上,是我們下一代統一終端代理。此新客戶端包括Umbrella漫遊客戶端的所有優勢,同時提供更加高級的安全解決方案,包括一套安全服務模組、卓越的效能和擴展的相容性。它整合了最新版本的Umbrella模組以及許多其他模組。
請注意,思科宣佈Cisco AnyConnect將於2023年停用,Umbrella Roaming Client將於2024年停用。許多Umbrella客戶已經從遷移到Cisco Secure Client中受益,我們鼓勵您儘快開始遷移,以獲得更好的漫遊體驗。
所有擁有有效許可證和有效Umbrella支援合約的客戶都有資格免費遷移到Cisco Secure Client以獲得Umbrella模組的授權,該模組包含Umbrella漫遊客戶端功能的相同功能!
本文介紹遷移過程以及有關Cisco Secure Client的任何問題。
升級到Cisco Secure Client
本節介紹如何遷移至思科安全使用者端。
從AnyConnect遷移
Cisco Secure Client具有自動檢測現有AnyConnect安裝、從中收集配置、將這些設定遷移到Cisco Secure Client,然後解除安裝舊AnyConnect客戶端的機制。但是,某些邊緣情況下此過程可能會失敗,因此某些客戶可能傾向於在安裝Cisco Secure Client之前自行解除安裝AnyConnect客戶端。
附註:在端點管理軟體中禁用任何AnyConnect安裝任務,以防止重新安裝舊版AnyConnect。
從Umbrella漫遊客戶端遷移
附註:具有有效許可證和從Umbrella漫遊客戶端遷移的有效Umbrella支援合約的客戶有資格遷移到Cisco Secure Client,僅可獲得Umbrella模組的授權。
思科安全客戶端具有自動檢測現有Umbrella漫遊客戶端安裝、從中收集配置、將這些設定遷移到Cisco安全客戶端,然後解除安裝舊的Umbrella漫遊客戶端的機制。但是,某些邊緣情況下此過程可能會失敗,因此某些客戶可能傾向於在安裝Cisco Secure Client之前自行解除安裝Umbrella Roaming客戶端。
附註:在終端管理軟體中禁用任何Umbrella漫遊客戶端安裝任務,以防止重新安裝漫遊客戶端。
安裝思科安全客戶端
1.下載Cisco Secure Client
方法1:Umbrella控制面板
登入到您的Umbrella Dashboard並導航到Deployments > Roaming Computers。按一下右上角的漫遊客戶端下載圖示,然後下載適用於您的作業系統的相應預部署軟體包。
方法2:Software.cisco.com
登入到software.cisco.com並導航到安全客戶端5部分。為您的作業系統下載適當的預部署軟體包。
2.按兩下安裝檔案應用程式
此時將顯示以下視窗:
17890872895892
3. 僅選擇Umbrella和Diagnostic and Reporting Tool選項。
選擇Lock down Computer Services是可選的,它會阻止使用者和管理員更改裝置上Cisco Secure Client服務的狀態。
附註:「Core & AnyConnect VPN」模組作為所需的核心模組安裝。取消選中「Core & AnyConnect VPN」選項會對GUI隱藏VPN。VPN服務(csc_vpnagent)仍在後台運行,但VPN不會顯示在GUI中。
4.按一下「安裝選定項」以安裝模組。
啟動Cisco Secure Client時會顯示以下視窗:
27072090674324
5.此時,思科安全客戶端會檢測並解除安裝Umbrella漫遊客戶端。請留出一些時間完成此操作。
Umbrella配置檔案安裝
從您以前的漫遊客戶端或AnyConnect安裝中自動檢測到Umbrella配置檔案(OrgInfo.json),並將其匯入安全客戶端。
但是,對於新安裝,將Umbrella配置檔案(OrgInfo.json)部署到終端至關重要。 此檔案可唯一標識您的Umbrella組織,並允許客戶端向Umbrella雲註冊。如果您要在沒有Cisco AnyConnect的裝置上安裝,或者要從Umbrella漫遊客戶端遷移,則需要執行此步驟:
- 從儀表板下載OrgInfo.json模組配置檔案,位於Deployments > Core Identities > Roaming Computers > Roaming Client,然後點選右上角的Download。
- 選擇Download Module Profile。
- 下載後,將Orginfo.json檔案複製到此處指定的位置:
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json (Windows/opt/cisco/secureclient/umbrella/OrgInfo.json (OSX)
大規模部署
使用終端管理工具(如UEM、MDM、RMM)大規模部署安全客戶端(包括Umbrella模組和配置檔案)cab。 請參閱以下文章:
定製
目錄結構
使用Cisco Secure Client更改了目錄位置。
思科安全客戶端目錄
Windows
執行檔
C:\Program Files (x86)\Cisco\Cisco Secure Client
Umbrella資料目錄
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\
macOS
執行檔
/Applications/Cisco/Cisco Secure Client.app
Umbrella資料目錄
/opt/cisco/secureclient/umbrella/
常見問題
Q:我們可以繼續使用Umbrella漫遊客戶端嗎?
A:Umbrella Roaming客戶端的使用終止日期為2024年4月2日。在此日期之後,您可以繼續使用它,思科將繼續支援和修復關鍵問題和漏洞,為期一年,至2025年4月2日。但是,所有新的增強功能和創新功能僅提供於思科安全客戶端中。2025年4月2日之後,Umbrella漫遊客戶端的所有新裝置註冊均受到限制。當時仍在使用Umbrella Roaming客戶端的客戶不再獲得支援或更新。
Q:Umbrella模組與漫遊安全模組是否相同?
A:是,Umbrella模組只是漫遊安全模組的新簡化名稱。
Q:我們已經擁有第三方VPN代理。我們不想安裝VPN模組。這是否是一個選項?
A:VPN模組作為核心模組安裝。但是,您完全不需要配置或使用VPN模組。不過,您可以選擇從GUI隱藏VPN模組。安裝期間,只需取消選中「Core & AnyConnect VPN」選項,即可在GUI中隱藏VPN。VPN服務(csc_vpnagent)仍在後台運行,但VPN不會顯示在GUI中。有關如何隱藏VPN模組的其他資訊,請參閱知識庫文章:https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows
Q:我只需要DNS層安全。我是否仍需要升級?
A:是的,並且您仍然可以將僅DNS訂閱與新的Cisco Secure Client和Umbrella模組一起使用。所有客戶均有權使用思科安全客戶端的Umbrella模組。VPN模組是核心模組並已安裝,但是您不必使用它,並且可以選擇在UI中隱藏它。
Q:在哪裡可以獲取思科安全客戶端的副本?
A:
方法1:Umbrella控制面板
登入到您的Umbrella Dashboard並導航到Deployments > Roaming Computers。點選右上角的漫遊客戶端下載圖示,然後下載適用於您的作業系統的相應預部署包。
方法2:Software.cisco.com
登入到software.cisco.com並導航到安全客戶端5部分。為您的作業系統下載適當的預部署軟體包。
Q:我有Umbrella訂閱,但沒有任何思科安全客戶端許可證。我是否仍能升級到Cisco Secure Client?
A:所有擁有有效許可證和有效Umbrella支援合約的客戶都有資格免費遷移到Cisco Secure Client以獲得Umbrella模組的授權,包括所有Umbrella漫遊客戶端功能!
Q:客戶端之間的架構差異是什麼?
A:
Umbrella漫遊客戶端方法
Umbrella漫遊客戶端使用環回介面卡檢查傳送到在電腦的網路介面卡DNS設定中指定的DNS伺服器的所有請求。這需要漫遊客戶端重置所有介面卡上的DNS伺服器,以使用127.0.0.1(本地主機環回地址)。
此方法的缺點是某些VPN客戶端與此配置衝突 — 要麼強制配置與管理員設定的配置匹配,要麼阻止DNS解析程式在127.0.0.1上運行。
或者,某些VPN客戶端還會用VPN值覆蓋介面卡的DNS設定,覆蓋漫遊客戶端的DNS伺服器地址127.0.0.1,而不是原始值。這可能會導致Umbrella漫遊客戶端和衝突的軟體包無法按設計運行,或者導致完整DNS失敗情況,其中配置的DNS設定將在連線或斷開連線時丟失。
思科安全客戶端方法
使用Cisco Secure Client時,Umbrella是可以安裝的模組。此模組能夠控制介面卡,而無需更改介面上的DNS設定,從而避免DNS更改衝突。Cisco Secure Client使用核心驅動程式,該驅動程式在作業系統中攔截較低級別的DNS請求。這種更複雜的機制的優點是不要求所有介面卡的流量都經過環回地址,因此保留原始DNS設定。這種架構差異意味著,與Umbrella漫遊客戶端相比,Umbrella模組可以保持與其他軟體的更高相容性。
Q:Cisco Secure Client的Umbrella模組是否有任何已知的相容性問題?
答:思科安全客戶端基於AnyConnect架構構建,該架構的相容性遠高於傳統Umbrella漫遊客戶端。在某些極少數情況下,需要執行其他操作才能使Umbrella模組與第三方軟體配合使用。您可以閱讀本文中的詳細資訊:
軟體相容性 — 適用於思科安全使用者端(和舊版AnyConnect)的Umbrella模組
Q:我們已有現有的AnyConnect和Umbrella Roaming客戶端安裝。我們是否需要手動解除安裝兩者並安裝帶有AnyConnect和Umbrella模組的Cisco Secure Client?
A:不,安全客戶端安裝過程設計為無縫升級過程。安裝程式自動將Orginfo.json移動到Secure Client資料夾,同時解除安裝AnyConnect和Umbrella Roaming客戶端。如果您使用的是AnyConnect的VPN功能,則會自動將其傳送到AnyConnect VPN模組。
Q:安裝後我看不到Cisco Secure Client UI。我如何知道它有效?
您可以在瀏覽器中訪問https://policy-debug.checkumbrella.com或運行此命令,以確認帶有Umbrella模組的Cisco Secure Client是否正常工作:
nslookup -q=txt debug.opendns.com1
輸出包含與您的Umbrella組織(如您的OrgID)相關的唯一資訊。
Q:如何查詢使用我的特定MDM或RMM工具進行部署的支援文檔?
A:第三方RMM和MDM不受Cisco Umbrella的正式支援。出於禮貌,我們確實在我們的知識庫頁面(https://support.umbrella.com/hc/en-us/articles/18584514390932)上提供了幾個示例。但是,這些示例不受支援,按「原樣」提供。如果您對部署的有效性或適用性有任何疑問或顧慮,請諮詢您的RMM或MDM供應商。
Q:部署帶有Umbrella模組的思科安全客戶端後,如何使其保持最新?是否自動更新?
A:有關如何使Cisco Secure Client和Umbrella Module保持最新狀態的詳細資訊,請參閱此知識庫文章:
使思科安全客戶端保持最新
意見