思科AnyConnect安全移动客户端版本说明,版本4.3
AnyConnect安全移动客户端版本说明,版本4.3
这些版本说明提供Windows、MacOSX和Linux平台上的AnyConnect安全移动的相关信息。
注释AnyConnect版本4.4.x将成为所有4.x漏洞的维护路径。
AnyConnect4.0、4.1、4.2和4.3客户必须升级到AnyConnect4.4.x,才能从未来的缺陷修复中受益。
AnyConnect4.0.x、4.1.x、4.2.x和4.3.x中发现的任何缺陷都只能在AnyConnect4.4.x维护版本中修复。
下载AnyConnect的最新版本 开始之前若要下载AnyConnect的最新版本,您必须是的注册用户。
步骤
1 步骤2步骤3步骤4步骤
5 步骤6步骤7步骤
8 点击此链接前往思科AnyConnect安全移动客户端产品支持页面:/en/US/products/ps10884/tsd_products_support_series_home.html。
登录。
点击下载软件。
如果尚未选择最新版本,则展开最新版本(LatestReleases)文件夹并点击最新版本。
使用以下方法之一下载AnyConnect软件包: •若要下载单一软件包,请查找要下载的软件包并点击下载(Download)。
•若要下载多个软件包,请点击软件包行的加入购物车(Addtocart),然后点击“下载软件”(Download Software)页面顶部的下载购物车(DownloadCart)。
系统提示时,阅读并接受思科许可证协议。
选择用于保存下载文件的本地目录并点击保存(Save)。
请参阅《思科AnyConnect安全移动客户端版本4.x管理员指南》。
思科AnyConnect安全移动客户端版本说明,版本4.31 用于网络部署的AnyConnect软件包文件名 AnyConnect安全移动客户端版本说明,版本4.3 用于网络部署的AnyConnect软件包文件名 操作系统Windows AnyConnect网络部署软件包名称anyconnect-win-version-k9.pkg macOS anyconnect-macosx-i386-version-k9.pkg Linux(64位)anyconnect-linux-64-version-k9.pkg 用于预部署的AnyConnect软件包文件名 操作系统Windows AnyConnect预部署软件包名称anyconnect-win-version-pre-deploy-k9.iso macOS anyconnect-macosx-i386-version-k9.dmg Linux(64位) anyconnect-predeploy-linux-64-version-k9.tar.gz 可另外下载的其他文件,它们有助于您向
AnyConnect添加其他功能。
AnyConnectHostScan引擎更新4.3.05043的新功能 AnyConnectHostScan4.3.05043是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05043,第29页。
AnyConnectHostScan引擎更新4.3.05038的新功能 AnyConnectHostScan4.3.05038是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05038,第30页。
思科AnyConnect安全移动客户端版本说明,版本4.32 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnectHostScan引擎更新4.3.05033的新功能 AnyConnectHostScan引擎更新4.3.05033的新功能 AnyConnectHostScan4.3.05033是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05033,第31页。
AnyConnectHostScan引擎更新4.3.05028的新功能 AnyConnectHostScan4.3.05028是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
对于4.3版本的漏洞修复,请使用AnyConnect4.4.x,因为尚无计划针对4.3.x进行AnyConnect软件更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05028,第31页。
AnyConnectHostScan引擎更新4.3.05019的新功能 AnyConnectHostScan4.3.05019是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
对于4.3版本的漏洞修复,请使用AnyConnect4.4.x,因为尚无计划针对4.3.x进行AnyConnect软件更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05019,第32页。
AnyConnect4.3.05017的新功能 AnyConnect4.3.05017是维护版本,包括增强功能,可以解决AnyConnect4.3.05017,第32页中所述的缺陷。
与Umbrella漫游安全插件相关的其他漏洞修复修复了Umbrella漫游安全插件中的以下漏洞(以及其他小的改进):Windows修复 •如果注册失败,插件可能会在没有正确策略的情况下应用DNS保护。
•(仅限Windows10)网络适配器不会按正确的优先级顺序从系统返回。
•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 MacOSX修复•(CSCvb49067)IPv6网络中应开启Umbrella保护状态•在Umbrella插件注册期间检索终端主机名时出错•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 思科AnyConnect安全移动客户端版本说明,版本4.33 AnyConnect4.3.04027的新功能 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.04027的新功能 AnyConnect4.3.04027是维护版本,包括增强功能,可以解决AnyConnect4.3.04027,第33页中所述的缺陷。
与Umbrella漫游安全插件相关的其他漏洞修复修复了Umbrella漫游安全插件中的以下漏洞(以及其他小的改进):Windows修复 •如果注册失败,插件可能会在没有正确策略的情况下应用DNS保护。
•(仅限Windows10)网络适配器不会按正确的优先级顺序从系统返回。
•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 MacOSX修复•(CSCvb49067)IPv6网络中应开启Umbrella保护状态•在Umbrella插件注册期间检索终端主机名时出错•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 AnyConnect4.3.03086的新功能 AnyConnect4.3.03086是一个包括以下增强功能的维护版本,可以解决AnyConnect4.3.03086,第34页中所述的缺陷。
•作为Umbrella漫游安全模块的一部分引入了IP层实施功能。
使用此功能的要求不在《思科AnyConnect安全移动客户端管理员指南》的范围之内。
请参阅/product/umbrella/6-adding-ip-layer-enforcement/,以获取有关IP层实施的信息。
AnyConnect4.3.02039的新功能 AnyConnect4.3.02039是维护版本,包括以下功能和增强功能,可以解决AnyConnect4.3.02039,第36页中所述的缺陷。
配置文件编辑器的“静态例外”中添加了“主机名”选项可以使用AnyConnect的网络安全配置文件编辑器在思科云网络安全扫描中排除或包括终端流量。
使用思科AnyConnect安全移动客户端版本4.3.02039或更高版本,现在除IP地址外还可以添加主机名来排除扫描流量。
在配置文件编辑器的“静态例外”字段中,确定要从扫描中排除的主机名,网络安全则不会将这些HTTP/HTTPS流量转发到云网络安全代理进行检测。
如果您有多个主机名具有相同的IP地址,但仅在静态例外列表中配置了其中一个主机名,则网络安全将豁免该流量。
思科AnyConnect安全移动客户端版本说明,版本4.34 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.01095的新功能 如果您想豁免任何通过代理服务器的浏览器流量,则必须在HostExceptions中列出这些主机名,以使它们不会被转发。
对于流经ProxyException列表中未列出的代理的流量,不能仅配置静态例外。
AnyConnect4.3.01095的新功能 AnyConnect4.3.01095是维护版本,引入了思科Umbrella漫游安全模块并可解决AnyConnect4.3.01095,第37页中所述的缺陷。
Umbrella漫游安全模块需要订用思科Umbrella漫游服务或OpenDNSUmbrella服务(专业、见解、平台或MSP)。
思科Umbrella漫游在VPN处于非活动状态时提供DNS层安全,而OpenDNSUmbrella订用在网内和网外添加了智能代理和IP层实施功能。
另外,OpenDNSUmbrella订用提供内容过滤、多项策略、强大报告、活动目录集成等功能。
无论订用情况如何,都将使用相同的Umbrella漫游安全模块。
Umbrella漫游模块配置文件(OrgInfo.json)会将各种部署与相对应的服务关联起来,并将自动启用相对应的保护功能。
可以通过Umbrella控制面板实时查看源自漫游安全模块的所有互联网活动。
策略和报告中的精细度级别取决于Umbrella订用情况。
有关各个服务级别订用中包含哪些功能的详细对比,请参阅/enterprise-security/threat-enforcement/packages/。
使用Umbrella漫游安全和Web安全的互操作性 在使用Umbrella漫游安全和网络安全模块时,要获得全部功能,必须配置主机排除并排除“网络安全”一章中定义的静态例外:/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect43/administration/guide/b_AnyConnect_Administrator_Guide_4-3/configure-web-security.html。
否则,DNS保护可能会被完全绕过。
AnyConnect4.3.00748的新功能 AnyConnect4.3.00748是主要版本,包括以下功能和增强功能,可以解决AnyConnect4.3.00748,第39页中所述的缺陷。
•在网络可见性模块(NVM)中,调整从缓存向收集器发送数据的速率。
•自定义NVM计时器,以便管理员可定义思科nvzFlow导出数据的时间。
•NVM默认关闭广播和组播选项,并提供选择数据收集方法的选项。
•在NVM中通过包括或排除某些字段进行匿名化处理,可创建匿名化配置文件,然后可将该配 置文件与网络类型或连接方案关联。
•其他NVM增强功能包括可以了解操作系统(OS)版本、OS容器中运行的功能以及存在哪些接 口属性等。
•能够禁用网络访问管理器发起的DHCP请求。
思科AnyConnect安全移动客户端版本说明,版本4.35 重要互通性注意事项 AnyConnect安全移动客户端版本说明,版本4.3 •(仅限Windows)通过USB大容量存储设备的安全评估客户端进行检测,并可以阻止或拒绝访问。
此功能依赖于OPSWATv4合规性模块。
•引入了OPSWAT版本
4,该版本在防恶意软件旗下结合了防病毒和反间谍软件功能。
在AnyConnect版本4.3(或更高版本)或ISE2.1(或更高版本)上使用ISE安全状态,可以选择使用OPSWATv3或v4。
•安装StartBeforeLogon后,“网络连接”按钮将启动AnyConnectVPN和网络访问管理器UI。
•可以禁止使用与未配备扩展密钥用法(EKU)的证书匹配的新配置文件编辑器的“首选项”选项。
•详细了解AnyConnect日志形式证书的信息,以便更好地跟踪证书处理。
•AnyConnect4.3已迁移到VisualStudio(VS)2015版本环境,并且需要VS可再分发文件(作为安装软件包的一部分安装)。
•Ubuntu16.04是合格的Linux版本。
重要互通性注意事项 ISE头端与ASA头端共存•如果同时使用ISE和ASA执行客户端安全评估,则两个头端上的配置文件必须匹配。
•如果为终端调配了NAC代理,AnyConnect会忽略ISE1.3服务器。
•如果客户端上同时装有思科NAC代理和VPN安全评估(HostScan)模块,则思科NAC代理版本必须至少是4.9.4.3或更高版本才能防止安全评估冲突。
•如果在ISE中为终端调配了AnyConnect,NAC代理会忽略ISE1.3服务器。
系统要求 本节确定此版本的管理和终端要求。
有关终端操作系统支持和每项功能的许可证要求,请参阅AnyConnect安全移动客户端功能、许可证和操作系统。
思科无法保证与其他VPN第三方客户端的兼容性。
对AnyConnect配置文件编辑器的更改 在安装配置文件编辑器前,必须安装Java版本6或更高版本的32位版本。
思科AnyConnect安全移动客户端版本说明,版本4.36 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect的ISE要求 AnyConnect的ISE要求 ISE版本要求•至少需要ISE1.3才能将AnyConnect软件部署到终端,以及使用AnyConnect4.0和更高版本中的新ISE安全评估模块对该终端进行安全评估。
•ISE1.3只能部署AnyConnect版本4.0及更高版本。
更低版本的AnyConnect必须从ASA进行网络部署、使用SMS进行预部署或手动部署。
ISE许可要求若要从ISE头端部署AnyConnect并使用ISE安全评估模块,需要在ISE管理节点上安装思科ISEApex许可证。
有关ISE许可证的详细信息,请参阅《思科身份服务引擎管理员指南》的思科ISE许可证一章。
AnyConnect的ASA要求 指定功能的最低ASA/ASDM版本要求•必须升级到ASDM7.5.1才能使用NVM。
•必须升级到ASDM7.4.2才能使用AMP启用程序。
•必须升级到ASA9.3
(2)才能使用TLS1.2。
•如果要使用以下功能,必须升级到ASA9.2
(1):通过VPN执行ISE安全评估AnyConnect4.x的ISE部署从此版本起支持ASA上的授权变更(CoA) •如果要使用以下功能,必须升级到ASA9.0:IPv6支持思科下一代“SuiteB”加密技术安全AnyConnect客户端延迟升级 •如果要执行以下操作,必须使用ASA8.4
(1)或更高版本:使用IKEv2。
使用ASDM编辑非VPN客户端配置文件(例如网络访问管理器、网络安全或遥感勘测)。
使用思科IronPort网络安全设备支持的服务。
这些服务让您能够通过授权或拒绝所有HTTP和HTTPS请求,强制实施可接受的使用策略并保护终端不受不安全网站的侵害。
思科AnyConnect安全移动客户端版本说明,版本4.37 AnyConnect的ASA要求 AnyConnect安全移动客户端版本说明,版本4.3 部署防火墙规则。
如果部署永远在线VPN,则可能需要启用分隔隧道,并配置防火墙规则,仅允许本地打印和连接移动设备访问网络。
配置动态访问策略或组策略,让符合条件的VPN用户免于部署永远在线VPN。
当AnyConnect会话处于隔离状态时,请配置动态访问策略以在AnyConnectGUI中显示消息。
ASA内存要求 注意使用AnyConnect4.0或更高版本的所有ASA5500型号的建议最低闪存大小为512MB。
此配置可托管多个终端操作系统并在ASA上启用日志记录和调试。
由于ASA5505存在闪存大小限制(最大为128MB),并非所有AnyConnect软件包排列都将能够加载到此型号。
若要成功加载AnyConnect,软件包的大小需要减少到适应可用闪存的大小,即减少操作系统数、没有HostScan等。
在继续执行AnyConnect安装或升级前,检查可用空间大小。
可以使用以下方法之一执行相关操作:•CLI-输入showmemory命令。
asa3#showmemory Freememory: 304701712bytes(57%) Usedmemory: 232169200bytes(43%) ------------- ---------------- Totalmemory: 536870912bytes(100%) •ASDM-选择“工具”(Tools)>“文件管理”(FileManagement)。
“文件管理”(FileManagement)窗口会显示闪存空间。
如果ASA只有默认内部闪存大小或默认DRAM大小(对于缓存内存),则可能无法在ASA上存储和加载多个AnyConnect客户端软件包。
即使闪存有足够空间承载软件包文件,ASA也可能会在解压缩和加载客户端映像时耗尽缓存内存。
有关ASA内存要求以及升级ASA内存的其他信息,请参阅思科ASA5500系列最新版本说明。
VPN安全评估和Hostscan互通性 通过VPN安全评估(HostScan)模块,思科AnyConnect安全移动客户端可以识别ASA主机中安装的操作系统、防病毒软件、反间谍软件和防火墙软件。
VPN安全评估(HostScan)模块需要思科Hostscan来收集这些信息。
CiscoHostScan作为单独的软件包提供,它定期使用新操作系统、防病毒软件、反间谍软件和防火墙软件信息进行更新。
思科建议您运行与AnyConnect版本相同的最新版本的HostScan。
从中可获取防病毒、反间谍软件和防火墙应用列表。
Firefox浏览器是用于打开支持图表的最轻松方式。
如果使用Explorer,请将文件下载到计算机并将文件扩展名从.zip更改为.xlsm。
您可以使用MicrosoftExcel、MicrosoftExcelViewer或OpenOffice打开该文件。
思科AnyConnect安全移动客户端版本说明,版本4.38 AnyConnect安全移动客户端版本说明,版本4.3 IOS对AnyConnect的支持 注释与不兼容的HostScan版本配合使用时,AnyConnect将不会建立VPN连接。
此外,思科不建议组合使用HostScan和ISE安全评估。
否则,运行两种不同的安全评估代理时会出现意外结果。
ISE安全评估合规性模块ISE安全评估合规性模块包含ISE安全评估支持的防病毒软件、反间谍软件和防火墙的列表。
HostScan列表按供应商编组,ISE安全评估列表则按产品类型编组。
当头端上的版本号(ISE或ASA)高于终端上的版本号时,OPSWAT就会更新。
这些升级是强制性的,无需最终用户干预即会自动进行。
库(zip文件)中的各个文件由OPSWAT公司进行数字签名,而库本身被打包为单个自解压的可执行文件,由思科证书进行代码签名。
您可以用MicrosoftExcel、MicrosoftExcelViewer或OpenOffice在以下位置查看图表: IOS对AnyConnect的支持 思科支持将AnyConnectVPN用作安全网关来访问IOS版本15.1
(2)T;但是,IOS版本15.1
(2)T当前不支持以下AnyConnect功能: •登录后永远在线的VPN•连接失败策略•提供本地打印机和系留设备访问的客户端防火墙•最佳网关选择•隔离•AnyConnect配置文件编辑器 有关IOS对AnyConnectVPN的支持的其他限制,请参阅CiscoIOSSSLVPN不支持的功能。
有关其他IOS功能支持的信息,请参阅/go/fn。
AnyConnect支持的操作系统 思科AnyConnect安全移动客户端所包含的模块支持以下操作系统: 思科AnyConnect安全移动客户端版本说明,版本4.39 MicrosoftWindows对AnyConnect的支持 AnyConnect安全移动客户端版本说明,版本4.3 支持的操作系统 VPN网络客访问户管理端器 Windows7SP1、8、8.1是是和10 x86(32位)和x64(64位) 云网VPNISE议客户体网络可AMP启Umbrella络安安终价验反馈视性模用程序漫游安 全全端授 块 全 评安权 估全请H(osStcan)评求 估工 具 (DART) 是是是是是 是 是 是 MacOSX10.9、10.10、是否是是是是是 是 是 是 10.11和10.121 LinuxRedHat6、7和是否否是否是是 否 否 否 Ubuntu12.04(LTS)、 14.04(LTS)和16.04 (LTS)(仅限64位) 1MacOSX10.12支持要求的最低版本是AnyConnect4.3.3086和4.2.6014。
MicrosoftWindows对AnyConnect的支持 Windows要求•Pentium级或更高级别的处理器。
•100MB硬盘空间。
•Microsoft安装程序版本3.1。
•如果是从以前的任意Windows版本升级到Windows8.1,需要卸载AnyConnect,然后在Windows升级完成后重新安装AnyConnect。
•如果是从WindowsXP升级到任意更高的Windows版本,需要执行全新安装,因为升级期间不会保留思科AnyConnect虚拟适配器。
请手动卸载AnyConnect,升级Windows,然后以手动方式或通过WebLaunch重新安装AnyConnect。
•若要通过WebLaunch启动AnyConnect,必须使用Firefox3.0+的32位版本,并启用ActiveX或安装SunJRE1.4+。
•使用Windows8或8.1时,需要安装ASDM版本7.02或更高版本。
思科AnyConnect安全移动客户端版本说明,版本4.310 AnyConnect安全移动客户端版本说明,版本4.3 MicrosoftWindows对AnyConnect的支持 Windows限制 •WindowsRT不支持AnyConnect。
该操作系统不提供用于执行此功能的API。
思科已就这一问题向Microsoft提出请求。
需要此功能的用户应与Microsoft联系,表明对此很感兴趣。
•其他第三方产品与Windows8不兼容会导致AnyConnect无法通过无线网络建立VPN连接。
下面就此问题提供两个示例: 随Wireshark分发的WinPcap服务“远程数据包捕获协议v.0(实验性)”不支持Windows8。
若要解决此问题,请卸载Wireshark或禁用WinPcap服务,重新启动Windows8计算机,然后重试AnyConnect连接。
不支持Windows8的过时无线网卡或无线网卡驱动程序阻止AnyConnect建立VPN连接。
若要解决此问题,请确保在Windows8计算机上安装支持Windows8的最新无线网卡或驱动程序。
•AnyConnect未与Windows8上部署的新用户界面框架(称为Metro设计语言)集成,却在Windows8的桌面模式下运行。
•HP保护工具无法与Windows8.x上的AnyConnect配合使用。
•不支持Windows2008;但是,我们不会阻止在此操作系统上安装AnyConnect。
此外,WindowsServer2008R2需要可选的SysWow64组件 •如果您在支持待机的系统上使用网络访问管理器,思科建议使用默认的Windows8.x关联计时器值(5秒)。
如果您发现Windows中的扫描列表比预期短,请增加关联计时器值,让驱动程序可以完成网络扫描和填充扫描列表。
Windows指南 •确保客户端系统上的驱动程序受Windows7或8支持。
不受支持的驱动程序可能会出现间歇性连接问题。
•对于网络访问管理器,在Windows8或10/Server2012上使用计算机密码进行计算机身份验证不起作用,除非已将MicrosoftKB2743127中所述的注册表修复应用于客户端桌面。
此修复包括向HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa注册表项添加DWORD值LsaAllowReturningUnencryptedSecrets并将此值设置为
1。
此更改允许本地安全机构(LSA)向诸如思科网络访问管理器之类的客户端提供计算机密码。
它与Windows8或10/Server2012中增加的默认安全设置有关。
使用计算机证书的计算机身份验证无需进行此更改,便可像在Windows8以前的操作系统上一样运行。
思科AnyConnect安全移动客户端版本说明,版本4.311 Linux对AnyConnect的支持 AnyConnect安全移动客户端版本说明,版本4.3 注释计算机身份验证允许在用户登录之前,向网络验证客户端桌面的身份。
在此期间,管理员可以执行此客户端计算机的计划管理任务。
EAP链接功能也需要使用计算机身份验证,这样,RADIUS服务器便可以针对特定客户端同时验证用户和计算机的身份。
在此过程中,将识别公司资产并应用适当的访问策略。
例如,如果这是个人资产(PC/笔记本电脑/平板电脑),但使用的是公司凭证,终端将无法通过计算机身份验证,但可成功通过用户身份验证,并会向该用户的网络连接应用相应的网络访问限制。
•在Windows8中,“首选项”(Preferences)>“VPN”>“统计信息”(Statistics)选项卡上的“导出统计信息”(ExportStats)按钮会将文件保存在桌面。
而在其他Windows版本中,系统会询问用户要将文件保存在什么位置。
•AnyConnectVPN与3G数据卡兼容,这种数据卡可通过WWAN适配器与Windows7或更高版本建立连接。
Linux对AnyConnect的支持 Linux要求•x86指令集。
•64位处理器。
•32MBRAM。
•20MB硬盘空间。
•安装需要具备超级用户权限。
•libstdc++用户必须拥有libstdc++.so.6(GLIBCXX_3.4)或更高版本,但必须低于版本
4。
•Java5(1.5)或更高版本。
唯一适用于网络安装的版本为SunJava。
必须安装SunJava并将浏览器配置为使用SunJava而不是默认软件包。
•zlib-用于支持SSLdeflate压缩•xterm-仅在通过WebLaunch从ASA无客户端门户对AnyConnect进行初始部署时需要。
•gtk2.0.0。
•gdk2.0.0。
•libpango1.0。
•iptables1.2.7a或更高版本。
•随内核2.4.21或2.6提供的tun模块。
思科AnyConnect安全移动客户端版本说明,版本4.312 AnyConnect安全移动客户端版本说明,版本4.3 Mac对AnyConnect的支持 Mac对AnyConnect的支持 Mac要求•AnyConnect需要50MB的硬盘空间。
•要使用Mac正确操作,AnyConnect的显示分辨率至少需要为1024x640像素。
Mac准则•MacOSX10.8推出了一项称为Gatekeeper的新功能,该功能可限制允许在系统上运行的应用。
您可选择允许从以下位置下载的应用:•MacAppStore•MacAppStore和已确定的开发商•任何地点 默认设置为MacAppStoreandidentifieddevelopers(已签名的应用)。
AnyConnect是签名的应用,但并非以Apple证书进行签名。
这意味着您必须选择“任何地点”(Anywhere)设置或使用Ctrl键绕过选定的设置,以从预部署安装实现AnyConnect的安装和运行。
进行网络部署或已安装AnyConnect的用户不受影响。
有关详细信息,请参阅:/macosx/mountain-lion/security.html。
注释WebLaunch或操作系统升级(例如10.7到10.8)会按预期安装。
只有预部署安装因为Gatekeeper的原因而需要额外的配置。
AnyConnect许可 有关最新的最终用户许可协议,请参阅《思科最终用户许可协议,AnyConnect安全移动客户端版本4.x》。
有关我们的开源许可确认,请参阅AnyConnect安全移动客户端中使用的开源软件。
若要从ISE头端部署AnyConnect并使用ISE安全评估模块,需要在ISE管理节点上安装思科ISEApex许可证。
有关ISE许可证的详细信息,请参阅思科身份服务引擎的思科ISE许可证一章。
若要从ASA头端部署AnyConnect并使用VPN和VPN安全评估(HostScan)模块,需要使用AnyConnect4.XPlus或Apex许可证、提供试用版许可证,请参阅思科AnyConnect订购指南。
有关AnyConnect4.XPlus和Apex许可证的概述及各种功能所需的许可证说明,请参阅AnyConnect安全移动客户端功能、许可证和操作系统。
思科AnyConnect安全移动客户端版本说明,版本4.313 AnyConnect安装概述 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect安装概述 部署AnyConnect指安装、配置和升级AnyConnect客户端及其相关文件。
可通过以下方法为远程用户部署思科AnyConnect安全移动客户端: •预部署-新安装和升级可以由最终用户执行,也可以由企业软件管理系统(SMS)执行。
•网络部署-AnyConnect软件包在头端(ASA或ISE服务器)加载。
当用户连接到ASA或ISE 时,AnyConnect会部署到客户端。
对于新安装,用户可连接到头端以下载AnyConnect客户端。
客户端可手动或自动安装(通过网络启动)。
更新由已安装AnyConnect的系统上运行的AnyConnect完成,或者通过将用户定向至ASA无客户端门户完成。
•云更新-在部署Umbrella漫游安全模块后,可以使用上述方法之一以及云更新来更新任何AnyConnect模块。
通过云更新,可自动从Umbrella云基础设施获得软件升级,且更新跟踪将取决于该软件升级,而非管理员的任何操作。
默认情况下,将禁用通过云更新进行自动更新。
部署AnyConnect时,可以将用于启用额外功能的可选模块以及用于配置VPN和其他功能的客户端配置文件包含在内。
请注意以下事项: •可以预部署所有AnyConnect模块和配置文件。
预部署时,必须特别注意模块安装顺序和其他细节。
•客户体验反馈模块和VPN安全评估模块使用的Hostscan软件包不能从ISE进行网络部署。
•ISE安全评估模块所使用的合规性模块不能从ASA进行网络部署。
有关部署AnyConnect模块的详细信息,请参阅《思科AnyConnect安全移动客户端版本4.3管理员指南》。
注释只要升级到新的AnyConnect软件包,请务必使用CCO提供的最新版本更新本地化MST文件。
从3.1MR10AnyConnect客户端升级/不兼容问题 将AnyConnect3.1.10010自动部署到终端后,无法连接到使用不兼容的AnyConnect版本4.0、4.1、4.1MR2、4.2和4.3配置的安全网关。
如果尝试从AnyConnect3.1MR10版本升级到AnyConnect4.1MR4(或更高版本)或高于3.1.10010的3.1版本以外的任何版本,将收到不允许升级的通知。
有关详细信息,请参阅CSCuv12386。
从AnyConnect3.0或更高版本升级 从AnyConnect安全移动客户端版本3.0或更高版本升级时,AnyConnect会执行以下操作: 思科AnyConnect安全移动客户端版本说明,版本4.314 AnyConnect安全移动客户端版本说明,版本4.3 从AnyConnect2.5及更低版本升级 •升级核心客户端的所有之前版本并保留所有VPN配置。
•升级AnyConnect所使用的任何HostScan文件。
从AnyConnect2.5及更低版本升级 从AnyConnect的任何2.5.x版本升级时,AnyConnect安全移动客户端会执行以下操作:•升级核心客户端的所有之前版本并保留所有VPN配置。
•升级AnyConnect所使用的任何HostScan文件。
•如果安装网络访问管理器,AnyConnect会保留所有CSSC5.x配置,以供网络访问管理器使用,并随后删除CSSC5.x。
•不会升级或删除CiscoIPsecVPN客户端。
但是,AnyConnect客户端可在计算机上与IPsecVPN客户端共存。
•不会升级并无法与CiscoScanSafeAnyWhere+共存。
必须在安装AnyConnect安全移动客户端前卸载AnyWhere+。
注释如果从传统CiscoVPN客户端升级,物理适配器的MTU值可能已降低到1300。
应针对每个适配器将MTU值还原为默认值(通常为1500),以在使用AnyConnect时获得最优性能。
不支持使用ASA或WebLaunch从AnyConnect2.2升级。
必须先卸载AnyConnect2.2,然后手动或使用SMS安装新版本。
在64位Windows上进行基于Web的安装可能会失败 此问题适用于Windows7和8上的Explorer10和11。
当Windows注册表项HKEY_CURRENT_USER\Software\Microsoft\Explorer\Main\TabProcGrowth设置为0时,ActiveX在AnyConnect网络部署期间会出现问题。
有关详细信息,请参阅/kb/2716529。
解决方案为: •运行Explorer的32位版本。
•将注册表项编辑为非零值,或从注册表删除该值。
注释在Windows8上,如果运行64位版本,从Windows开始屏幕启动Explorer。
如果运行32位版本,则从桌面启动。
思科AnyConnect安全移动客户端版本说明,版本4.315 AnyConnect支持策略 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect支持策略 思科仅根据最近发布的4.x版本提供修复补丁和增强功能。
签订了AnyConnect4.x条款/合同、条款/合同有效且正在运行已发布AnyConnect4.x版本的任何客户均可获得TAC支持。
如果使用过时的软件版本遇到问题,系统可能会要求您验证当前的维护版本是否可解决问题。
只有已安装最新修复补丁的AnyConnect4.x版本才能访问软件中心。
我们建议您下载适合您部署的所有映像,因为我们无法保证您想要部署的版本将来是否仍可供下载。
规定和限制 当安装了网络访问管理器时,Microsoft无意中阻止了Windows10的更新 当安装了网络访问管理器时,Microsoft旨在阻止对较早版本Windows的更新,但无意中也阻止了Windows10和CreatorsEdition(RS2)。
由于发生错误(MicrosoftSysdev11911272),您必须首先卸载网络访问管理器模块,才能升级到CreatorsEditor(RS2)。
然后,可以在升级后重新安装该模块。
Microsoft计划于2017年6月推出针对此错误的修复。
Windows10Defender误报-思科AnyConnect适配器问题 当升级到Windows10CreatorUpdate(2017年4月)时,您可能会收到WindowsDefender消息,说AnyConnect适配器出现问题。
WindowsDefender指示您在“设备性能和运行状况”(DevicePerformanceandHealth)部分下启用适配器。
实际上,不使用该适配器时应将其禁用,不应采取手动操作。
这种误报错误会以Sysdev#11295710代码报告给Microsoft。
AnyConnect4.4MR1(或更高版本)和4.3MR5与Windows10Creators版本(RS2)兼容。
与MicrosoftWindows10的AnyConnect兼容性 AnyConnect4.1MR4(4.1.04011)及更高版本与Windows10正式版兼容。
技术支持中心(TAC)支持从2015年7月29日开始提供。
为获得最佳效果,我们建议在Windows10系统上执行AnyConnect的全新安装,而不要从Windows7/8/8.1升级。
如果计划从已预安装AnyConnect的Windows7/8/8.1升级,请确保先升级AnyConnect,然后再升级操作系统。
在升级到Windows10之前,必须卸载网络访问管理器模块。
在系统升级完成后,可以在系统上重新安装网络访问管理器。
还可以选择完全卸载AnyConnect,然后在升级到Windows10后,重新安装一个受支持的版本。
新拆分包含隧道行为(CSCum90946) 过去,如果拆分-包含(split-include)网络是本地子网的超网,则不会通过隧道传输本地子网流量,除非配置的拆分-包含(split-include)网络与本地子网完全匹配。
随着对CSCum90946的解析,当拆分- 思科AnyConnect安全移动客户端版本说明,版本4.316 AnyConnect安全移动客户端版本说明,版本4.3 Microsoft正在逐步淘汰SHA-1支持 包含(split-include)网络是本地子网的超网时,本地子网流量可通过隧道传输,除非在访问列表(ACE/ACL)中还配置了拆分-包含(split-include)(拒绝0.0.0.0/32或::/128)。
如果在拆分-包含(split-include)中配置了超网并且所需行为是要允许LocalLan访问,则需要对新行为进行以下配置: •访问列表(ACE/ACL)必须同时包含针对超网的许可操作以及针对0.0.0.0/32或::/128的拒绝操作。
•在AnyConnect配置文件中启用“本地LAN访问”(LocalLANess)(在配置文件编辑器的“首选项第1部分”[PreferencesPart1]菜单中)。
(另外,您还可以使用该选项将其设为用户可控制。
) Microsoft正在逐步淘汰SHA-1支持 2017年2月14日后,WindowsExplorer11/Edge浏览器或WindowsAnyConnect终端使用SHA-1证书的安全网关或以SHA-1为中间证书的证书可能不再被视为有效。
2017年2月14日后,Windows终端可能认为使用SHA-1证书的安全网关或中间证书不再可信。
我们强烈建议您的安全网关不要使用SHA-1身份证书,也不要再使用SHA-1作为任何中间证书。
Microsoft已对其原有的记录和计时计划进行修改。
他们发布了有关如何测试2017年2月的变更是否会影响您的环境的详细信息。
对于使用SHA-1安全网关或中间证书或运行旧版AnyConnect的客户,思科无法对AnyConnect的正常运行做出任何保证。
思科强烈建议客户密切关注AnyConnect的最新维护版本,以确保随时获取所有可用的修复补丁。
签有有效AnyConnectPlus、Apex和仅VPN条款/合同的客户,可通过软件中心获取最新版本AnyConnect4.x及更高版本。
不再对AnyConnect版本3.x实施主动维护,亦不应再使用它们进行任何部署。
注释在Microsoft逐步淘汰SHA-1的同时,思科已确认AnyConnect4.3和4.4(及更高版本)可以继续正常运行。
长期来看,Microsoft计划在所有环境下的Windows中都不再信任SHA-
1,但他们当前的公告尚未就此提供任何细节或时间信息。
根据淘汰的确切日期,许多较早版本的AnyConnect随时可能无法再正常运行。
有关更多信息,请参阅Microsoft公告。
使用SHA512证书进行身份验证时,身份验证失败 (对于Windows7、8和8.1用户),当客户端使用SHA512证书进行身份验证时,身份验证失败,即使客户端日志显示该证书处于使用状态,亦不例外。
ASA日志可正确显示AnyConnect未发送任何证书。
Windows的这些版本要求您在TLS1.2中启用对SHA512证书的支持,系统默认情况下不支持该证书。
要了解如何对这些SHA512证书提供支持,请参阅/en-us/kb/2973337。
不再支持RC4TLS密码套件 从AnyConnect版本4.2.01035开始,因安全策略增强功能而不再支持RC4TLS密码套件。
思科AnyConnect安全移动客户端版本说明,版本4.317 OpenSSL密码套件更改 AnyConnect安全移动客户端版本说明,版本4.3 OpenSSL密码套件更改 由于OpenSSL标准开发团队将部分密码套件标记为已被泄露,在AnyConnect3.1.05187以外,我们不再对这些密码套件提供支持。
不受支持的密码套件如下:DES-CBC-SHA、RC4-SHA和RC4-MD5。
同样,我们的加密工具包已中断对RC4密码的支持;因此,我们对其的相应支持也将随版本3.1.13011和4.2.01035等终止。
网络可视性模块与LittleSnitch防火墙不兼容 网络可视性模块与MacOSX上的LittleSnitch防火墙不兼容。
MacOSXElCapitan10.11对AnyConnect的支持 MacOSXElCapitan10.11操作系统支持思科AnyConnect安全移动客户端。
在ISE安全评估中使用日志跟踪 在全新安装后,您会按预期看到ISE安全评估日志跟踪消息。
但是,如果进入ISE安全评估配置文件编辑器并将“启用代理日志跟踪”(EnableAgentLogTrace)文件更改为0(禁用),则必须执行AnyConnect服务重新启动来获得预期结果。
在Mac上使用ISE安全评估的互通性 如果使用MacOSX10.9或更高版本并想要使用ISE安全评估,可能需要执行以下操作来避免出现问题: •在安全评估期间,关闭证书验证以避免出现“无法联系策略服务器”(failedtocontactpolicyserver")错误。
•禁用强制网络门户应用;否则,发现探测会被阻止,且应用仍会处于安全评估前的ACL状态。
不支持MacOSX上的Firefox证书存储 MacOSX上的Firefox证书存储在存储时提供允许所有用户修改存储内容的权限,这让未授权用户或进程能够将非法CA添加到受信任的根存储中。
Anyconnect不再将Firefox存储用于服务器验证或客户端证书。
如有必要,请向您的用户说明如何从Firefox证书存储库中导出AnyConnect证书,以及如何将它们导入到MacOSX密钥链。
以下步骤是可能需要告知AnyConnect用户的内容示例。
1导航到Firefox>首选项(Preferences)>高级(Advanced)的“证书”(Certificates)选项卡,然后 点击查看证书(ViewCertificates)。
2选择用于AnyConnect的证书,然后点击导出(Export)。
思科AnyConnect安全移动客户端版本说明,版本4.318 AnyConnect安全移动客户端版本说明,版本4.3 不支持MacOSX上的Firefox证书存储 您的AnyConnect证书很可能在“颁发机构”(Authorities)类别下。
请与您的证书管理员核实,因为这些证书可能在其他类别(“您的证书”[YourCertificates]或“服务器”[Servers])之下。
3选择一个位置用于保存证书,例如,位于桌面的文件夹。
4在“格式”(Format)下拉菜单中,选择X.509证书(DER)(X.509Certificate[DER])。
如果需要,将.der扩展名添加到证书名称。
注释如果使用/需要多个AnyConnect证书和/或私钥,请对每个证书重复上述流程)。
5启动秘钥链。
导航到“文件”(File)、“导入项目...”(ImportItems...),然后选择从Firefox导出的证书。
在“目标密钥链:”(DestinationKeychain:)中,选择所需的密钥链。
您公司使用的登录密钥链可能与本例中所用的登录密钥链不同。
请咨询证书管理员,了解应将您的证书导入哪个密钥链。
6在“目标密钥链:”(DestinationKeychain:)中,选择所需的密钥链。
您公司使用的登录密钥链可能与本例中所用的登录密钥链不同。
请咨询证书管理员,了解应将您的证书导入哪个密钥链。
思科AnyConnect安全移动客户端版本说明,版本4.319 AnyConnectUI因缺少依赖性libpangox出错 AnyConnect安全移动客户端版本说明,版本4.3 7对AnyConnect使用或需要的其他证书重复前述步骤。
AnyConnectUI因缺少依赖性libpangox出错 在许多较新的Linux分发版本中,AnyConnect用户界面可能会无法启动,并出现以下错误: errorwhileloadingsharedlibraries:libpangox-1.0.so.0:cannotopensharedobjectfile:Nosuchfileordirectory 缺失的库已过时且不再可用。
这会影响其他应用,而不仅仅是影响AnyConnect。
Pango已发布其他公司构建且可在线获得的兼容库的源代码。
要解决此问题,请查找并安装以下任一软件包pat-0.0.2-2.el7.x86_64.rpm或pat-0.0.2-3.fc20.x86_64.rpm。
SSLv3阻止HostScan正常工作 (CSCue04930)在ASDM中选择SSLv3“仅限SSLv3”(SSLv3only)或“协商SSLv3”(NegotiateSSLv3)选项时,HostScan不会正常工作(“配置”[Configuration]>“远程访问VPN”[RemoteessVPN]>“高级”[Advanced]>“SSL设置”[SSLSettings]>要作为服务器协商的安全设备的SSL版本)。
ASDM中会显示警告消息,用于提醒管理员。
修改sysctl网络设置导致的问题 我们发现存在AppleBroadbandTuner应用(从2005年起)与MacOSX10.9配合使用的实例。
该应用更改sysctl.conf中的网络设置,这可能导致连接问题。
该应用设计适用于更低版本的MacOS。
我们怀疑当前默认操作系统设置将宽带网络纳入考虑范围,因此大多数用户将无需采取任何措施。
思科AnyConnect安全移动客户端版本说明,版本4.320 AnyConnect安全移动客户端版本说明,版本4.3 Safari的WebLaunch问题 和AnyConnect3.1.04074一起运行经过修改的sysctl设置可能会生成以下消息: TheVPNclientdriverencounteredanerror..pleaserestart 验证若要验证问题原因是否为sysctl网络设置,请打开终端窗口并输入: sysctl-a|grepmaxsockbuf 如果结果包含远低于默认值8388608的值,例如: kern.ipc.maxsockbuf:512000 则此值可能已被AppleBroadbandTuner应用在/etc/sysctl.conf中覆盖 修复编辑/etc/sysctl.conf,对设置kern.ipc.maxsockbuf的行添加注释,然后重新启动计算机。
或如果除BroadbandTuner应用设置的自定义值外没有其他自定义值,则重命名或删除sysctl.conf。
Apple已知晓此问题,并已提交漏洞ID15542576。
Safari的WebLaunch问题 Safari的WebLaunch存在问题。
OSX10.9(Mavericks)随附的Safari版本中的默认安全设置阻止AnyConnectWebLaunch正常工作。
若要配置Safari允许使用WebLaunch,请如下所述,将ASA的URL编辑为不安全模式。
1打开Safari>首选项(Preferences)>安全(Security)>管理网站设置(ManageWebsite Settings)。
2点击ASA并选择在不安全模式下运行。
ActiveX升级可能会禁用WebLaunch 可使用受限用户帐户通过WebLaunch自动升级AnyConnect软件,但前提是不需要对ActiveX控件进行更改。
有时,由于安全修复或新增功能等原因,该控件将更改。
如果通过受限用户帐户调用时,该控件要求升级,那么管理员必须使用AnyConnect预安装程序、SMS、GPO或其他管理部署方法部署该控件。
Java7问题 Java7可能会导致AnyConnect安全移动客户端、HostScan、CSD和无客户端SSLVPN(WebVPN)出现问题。
有关问题和解决方法的说明,请参阅故障排除技术说明与AnyConnect,CSD/Hostscan和 思科AnyConnect安全移动客户端版本说明,版本4.321 Explorer、Java7和AnyConnect3.1.1互通性 AnyConnect安全移动客户端版本说明,版本4.3 WebVPN相关的Java7问题-故障排除指南。
详细信息请查阅“安全”(Security)>“思科Hostscan”(CiscoHostscan)下的思科文档。
Explorer、Java7和AnyConnect3.1.1互通性 Explorer的受支持版本在以下情况下停止运行:当用户尝试连接到ASA时、当终端上安装了Java7时,当ASA上安装并启用了HostScan时、当ASA上安装并启用了AnyConnect3.1.1时。
如果安装的是ActiveX或更低版本的Java7,此情况不会发生。
若要避免此问题,请在终端上使用Java的受支持版本,即低于Java7的版本。
请参阅BugToolkit和缺陷CSCuc48299进行验证。
配置“所有网络通过隧道”(TunnelAllNetworks)时应用隐式DHCP过滤器 在配置“所有网络通过隧道”(TunnelAllNetworks)的情况下,为了让本地DHCP流量能够不受阻碍地传输,AnyConnect在AnyConnect客户端连接时将向本地DHCP服务器添加特定路由。
为了防止此路由出现数据泄露,AnyConnect还对主机计算机的局域网适配器应用隐式过滤器,在该路由中阻止除DHCP流量外的所有流量。
系留设备上的AnyConnectVPN 思科仅在通过蓝牙或USB连接的AppleiPhone上通过AnyConnectVPN客户端资格审查。
对于其他连接设备提供的网络连接,应在部署前面向AnyConnectVPN客户端进行验证。
AnyConnect智能卡支持 AnyConnect在以下环境中支持智能卡提供的凭证:•Windows7、Windows8和Windows10中的MicrosoftCAPI1.0和CAPI2.0。
•macOS上的密钥链 注释AnyConnect不支持Linux或PKCS#11设备上的智能卡。
AnyConnect虚拟测试环境 思科使用以下虚拟机环境执行部分AnyConnect客户端测试:•VMWareESXiHypervisor(vSphere)4.0.1及更高版本•VMWareFusion2.x、3.x和4.x 我们不支持在虚拟环境中运行AnyConnect;但是,我们预期AnyConnect会在我们执行测试的VMWare环境中正常运行。
思科AnyConnect安全移动客户端版本说明,版本4.322 AnyConnect安全移动客户端版本说明,版本4.3 UTF-8字符对AnyConnect密码的支持 如果您在虚拟环境中遇到任何AnyConnect问题,请报告给我们。
我们将尽力解决这些问题。
UTF-8字符对AnyConnect密码的支持 与ASA8.4
(1)或更高版本配合使用的AnyConnect3.0或更高版本在使用RADIUS/MSCHAP和LDAP协议发送的密码中支持UTF-8字符。
禁用自动更新可能会因版本冲突而阻止连接 如果对运行AnyConnect的客户端禁用自动更新,ASA必须安装相同的AnyConnect版本或更低版本,否则客户端无法连接到VPN。
若要避免此问题,请在ASA上配置相同版本或更低版本的AnyConnect软件包,或通过启用自动更新将客户端升级到新版本。
网络访问管理器与其他连接管理器之间的互通性 当网络访问管理器运行时,它会对网络适配器进行独占控制,并会阻止其他软件连接管理器(包括Windows本地连接管理器)尝试建立连接。
因此,如果希望AnyConnect用户使用终端计算机上的其他连接管理器(例如iPassConnectMobilityManager),则必须通过网络访问管理器GUI上的“禁用客户端”(DisableClient)选项,或通过停止网络访问管理器服务,来禁用网络访问管理器。
网络接口卡驱动程序与网络访问管理器不兼容 Intel无线网络接口卡驱动程序版本12.4.4.5与网络访问管理器不兼容。
如果此驱动程序与网络访问管理器安装在同一终端上,可能会导致不一致的网络连接和Windows操作系统突然关闭。
避免SHA2证书验证失败(CSCtn59317) AnyConnect客户端利用证书的Windows密码运营商(CSP)对IPsec/IKEv2VPN连接的IKEv2身份验证阶段所需数据进行哈希计算和签名。
如果CSP不支持SHA2算法,且为伪随机功能(PRF)SHA256、SHA384或SHA512配置了ASA,并同时为证书或证书和AAA身份验证配置了连接配置文件(隧道组),则证书身份验证失败。
用户收到“证书验证失败”(CertificateValidationFailure)消息。
对于属于不支持SHA2类算法的CSP的证书,此验证失败仅发生在Windows上。
其他支持的操作系统不存在此问题。
若要避免此问题,可以将ASA上IKEv2策略的PRF配置为md5或sha(SHA1)。
或者,可以将证书CSP值修改为有效的本地CSP,例如Microsoft增强RSA和AES加密提供程序。
请勿将此变通方法应用于智能卡证书。
您不能更改CSP名称。
应联系智能卡提供商,获取支持SHA2算法的更新CSP。
注意如果未能正确执行下述变通操作,则可能会损坏用户证书。
指定证书更改时,请格外谨慎。
您可以使用MicrosoftCertutil.exe实用程序修改证书CSP值。
Certutil是管理WindowsCA的命令行实用程序,在MicrosoftWindowsServer2003管理工具包中提供。
您可以从以下URL下载工具包: 思科AnyConnect安全移动客户端版本说明,版本4.323 为HostScan配置防病毒应用 AnyConnect安全移动客户端版本说明,版本4.3 /downloads/en/details.aspx?
FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en 按以下步骤运行Certutil.exe和更改证书CSP值: 1打开终端计算机上的命令窗口。
2使用以下命令,查看用户存储中的证书及其当前的CSP值:certutil-store-userMy 以下示例显示了通过此命令显示的证书内容: ================Certificate0================SerialNumber:3b3be91200020000854bIssuer:CN=cert-issuer,OU=BostonSales,O=ExampleCompany,L=SanJose,S=CA,C=US,E=csmith@NotBefore:2/16/201110:18AMNotAfter:5/20/20248:34AMSubject:CN=CarolSmith,OU=SalesDepartment,O=ExampleCompany,L=SanJose,S=CA,C=US,E=csmith@Non-rootCertificateTemplate:CertHash(sha1):8627371be6775faa8eade620a31473b4ee7f8926 KeyContainer={F62E9BE8-B32F-4700-9199-67CCC86455FB}Uniquecontainername:46ab1403b52c6305cb226edd5276360f_c50140b9-ffef-4600-ada6-d09eb97a30f1Provider=MicrosoftEnhancedRSAandAESCryptographicProviderSignaturetestpassed 3识别证书的属性。
在此示例中,CN是CarolSmith。
您会在下一步中需要此信息。
4使用以下命令修改证书CSP。
以下示例使用主题值选择要修改的证书。
您也可以使用其他属性。
在Windows7或更高版本上,使用此命令:certutil-csp"MicrosoftEnhancedRSAandAESCryptographicProvider"-f-repairstore-userMycarolsmith
5重复第2步并验证证书出现的新CSP值。
为HostScan配置防病毒应用 防病毒应用可能会将安全评估模块包括的部分应用以及HostScan软件包的行为错误解释为恶意。
在安装安全评估模块或HostScan软件包之前,将防病毒软件配置到“白名单”或将以下HostScan应用归为安全例外项: •cscan.exe•ciscod.exe•cstub.exe IKEv2不支持MicrosoftExplorer代理 IKEv2不支持公共侧MicrosoftExplorer代理。
如果您需要支持该功能,请使用SSL。
根据安全网关发送的配置指令,IKEv2和SSL均支持专用侧代理。
IKEv2应用从网关发送的代理配置,随后的HTTP流量应遵循该代理配置。
思科AnyConnect安全移动客户端版本说明,版本4.324 AnyConnect安全移动客户端版本说明,版本4.3 IKEv2可能要求对组策略进行MTU调整 IKEv2可能要求对组策略进行MTU调整 AnyConnect有时会接收并丢弃某些路由器的数据包片段,这会导致某些网络流量无法通过。
若要避免此问题,请降低MTU值。
我们建议使用1200。
以下示例展示如何使用CLI执行此操作: hostname#configthostname(config)#group-policyDfltGrpPolicyattributeshostname(config-group-policy)#webvpnhostname(config-group-webvpn)#anyconnectmtu1200 若要使用ASDM设置MTU,请转到配置(Configuration)>网络(客户端)访问(Network[Client]ess)>组策略(GroupPolicies)>添加(Add)或编辑(Edit)>高级(Advanced)>SSLVPN客户端(SSLVPNClient)。
使用DTLS时会自动调整MTU 如果DTLS启用失效对等项检测(DPD),客户端会自动确定路径MTU。
如果之前使用ASA降低了MTU,则应将该设置还原为默认值(1406)。
在建立隧道连接期间,客户端使用特殊DPD数据包自动调整MTU。
如果仍有问题,请如之前那样,使用ASA中的MTU配置来限制MTU。
网络访问管理器和组策略 WindowsActiveDirectory无线组策略管理部署到特定ActiveDirectory域中的PC上的无线设置和所有无线网络。
安装网络访问管理器时,管理员必须了解可能影响网络访问管理器行为的特定无线组策略对象(GPO)。
管理员应在执行完整GPO部署前针对网络访问管理器测试GPO策略设置。
以下GPO条件可能会阻止网络访问管理器按预期运行: •使用Windows7或更高版本时,仅对允许的网络使用组策略配置文件(OnlyuseGroupPolicyprofilesforworks)选项。
与网络访问管理器配合使用的FreeRADIUS配置 若要使用网络访问管理器,可能需要调整FreeRADIUS配置。
默认禁用所有与ECDH相关的密码,以防出现漏洞。
在/etc/raddb/eap.conf中,更改cipher_list值。
在无线接入点之间漫游时需要进行完整身份验证 当客户端在同一网络的无线接入点之间漫游时,运行Windows7或更高版本的移动终端必须执行完整的EAP身份验证,而不能利用更加快速的PMKID重新关联。
因此,在某些情况下,如果有效配置文件需要,AnyConnect会提示用户为每次完整身份验证输入凭证。
思科AnyConnect安全移动客户端版本说明,版本4.325 IPv6网络流量的思科云网络安全行为用户准则 AnyConnect安全移动客户端版本说明,版本4.3 IPv6网络流量的思科云网络安全行为用户准则 除非已指定IPv6地址、域名、地址范围或通配符,否则IPv6网络流量会被发送至扫描代理并由扫描代理执行DNS查找,以确定是否存在与用户尝试连接的URL对应的IPv4地址。
如果扫描代理找到IPv4地址,它会使用该地址进行连接。
如果未找到IPv4地址,则会终止连接。
如果希望所有IPv6流量绕过扫描代理,可以为所有IPv6流量添加此静态例外:/0。
执行此操作会使所有IPv6流量绕过所有扫描代理。
这意味着IPv6流量不受思科云网络安全的保护。
阻止局域网中的其他设备显示主机名 在用户使用AnyConnect在远程局域网上与Windows7或更高版本建立VPN会话后,用户局域网中其他设备上的网络浏览器会显示受保护远程网络上的主机的名称。
但是,其他设备无法访问这些主机。
若要确保AnyConnect主机阻止主机名(包括AnyConnect终端主机的名称)在子网间泄露,请将该终端配置为永不成为主要或备用浏览器。
1在“搜索程序和文件”(SearchProgramsandFiles)文本框中输入regedit。
2导航到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters\3双击MaintainServerList。
“编辑字符串”(EditString)窗口将打开。
1输入No。
2点击OK。
3关闭“注册表编辑器”(RegistryEditor)窗口。
证书吊销消息 在分发点仅内部可访问的情况下,如果AnyConnect尝试验证指定LDAP证书吊销列表(CRL)分发点的服务器证书,系统会在身份验证后显示AnyConnect证书吊销警告弹出窗口。
如果要避免显示此弹出窗口,请执行以下任一操作: •在没有任何隐私CRL要求的情况下获取证书。
•在Explorer中禁用服务器证书吊销检查。
注意在Explorer中禁用服务器证书吊销检查可能会对操作系统的其他用途产生严重安全影响。
思科AnyConnect安全移动客户端版本说明,版本4.326 AnyConnect安全移动客户端版本说明,版本4.3 本地化文件中的消息可以长达多行 本地化文件中的消息可以长达多行 如果尝试在本地化文件中搜索消息,这些消息可以长达多行,如以下示例所示: msgid"""Theserviceproviderinyourcurrentlocationisrestrictingesstothe""SecureGateway." MacOSX版AnyConnect部署于特定类型路由器之后时的性能 当MacOSX版AnyConnect客户端尝试与运行IOS的网关建立SSL连接时,或者当该AnyConnect客户端尝试使用特定类型的路由器(例如思科虚拟办公室[CVO]路由器)与ASA建立IPsec连接时,某些网络流量可以通过该连接,而其他流量则无法通过。
AnyConnect可能会错误地计算MTU。
若要解决此问题,请从MacOSX命令行使用以下命令,将AnyConnect适配器的MTU手动设置为较低的值:sudoifconfigutun0mtu1200(适用于MacOSXv10.7及更高版本) 防止Windows用户规避永远在线功能 在Windows计算机上,具有有限或标准权限的用户有时可能对其程序数据文件夹具有写入访问权限。
这让他们能够删除AnyConnect配置文件,由此规避永远在线功能。
若要避免这种情况,请将计算机配置为限制对C:\ProgramData文件夹的访问,或至少配置为限制对Cisco子文件夹的访问。
避免使用无线承载网络 使用Windows7或更高版本的无线承载网络功能会让AnyConnect变得不稳定。
使用AnyConnect时,不建议启用此功能或运行启用此功能的前端应用(例如Connectify或虚拟路由器)。
AnyConnect要求ASA配置为接受TLSv1流量 AnyConnect要求ASA接受TLSv1流量,而不是SSLv3流量。
SSLv3密钥派生算法在使用MD5和SHA-1时会弱化密钥派生。
SSLv3的后续协议TLSv1解决了SSLv3中存在的这一问题及其他安全问题。
因此,AnyConnect客户端无法使用“sslserver-version”的以下ASA设置建立连接:sslserver-versionsslv3sslserver-versionsslv3-only 在安装时与TrendMicro发生冲突 如果设备上有TrendMicro,网络访问管理器将因驱动程序冲突而不会安装。
可卸载TrendMicro或取消选中trendmonfirewalldriver来绕过该问题。
思科AnyConnect安全移动客户端版本说明,版本4.327 HostScan报告内容 AnyConnect安全移动客户端版本说明,版本4.3 HostScan报告内容 受支持的防病毒软件、反间谍软件和防火墙产品都不报告上次扫描时间信息。
HostScan报告以下信息: •对于防病毒软件和反间谍软件产品描述产品版本文件系统保护状态(主动扫描)数据文件时间(上次更新时间和时间戳) •对于防火墙产品描述产品版本是否已启用防火墙 长时间重新连接(CSCtx35606) 如果启用IPv6,且Explorer中启用了代理设置的自动发现或当前网络环境不支持代理设置的自动发现,那么可能在Windows中体验到长时间重新连接。
解决方法是,在当前网络环境不支持代理自动发现的情况下,断开VPN连接未使用的所有物理网络适配器或在IE中禁用代理自动发现。
在版本3.1.03103中,具有多宿主系统的用户也可能会体验到长时间重新连接。
具有有限权限的用户无法升级ActiveX 在Windows7或更高版本上,具有有限权限的用户帐户无法升级ActiveX控件,并因此无法使用网络部署方法升级AnyConnect客户端。
作为最安全的选项,思科建议用户通过连接到头端并升级来从应用内部升级客户端。
注释如果之前使用了管理员帐户在客户端上安装ActiveX控件,则用户可以升级ActiveX控件。
在Java安装程序失败时使用MacOSX上的手动安装选项 如果用户在Mac上从ASA头端使用WebLaunch来启动AnyConnect,且Java安装程序失败,将出现显示手动安装(ManualInstall)链接的对话框。
此时,用户应执行以下操作:1点击手动安装(ManualInstall)。
将出现对话框,显示保存包含OSX安装程序的.dmg文件的选 项。
思科AnyConnect安全移动客户端版本说明,版本4.328 AnyConnect安全移动客户端版本说明,版本4.3 没有主动密钥缓存(PKC)或CCKM支持 2打开文件并使用查找器浏览到安装卷来安装磁盘映像(.dmg)文件。
3打开终端窗口并使用CD命令导航到包含已保存文件的目录。
打开.dmg文件并运行安装程序。
4安装后,依次选择应用>思科>思科AnyConnect安全移动客户端以发起AnyConnect会话,或 者使用Launchpad。
没有主动密钥缓存(PKC)或CCKM支持 网络访问管理器不支持PKC或CCKM缓存。
在Windows7上,无法使用非思科无线网卡进行快速漫游。
AnyConnect安全移动客户端的应用编程接口 AnyConnect安全移动客户端包括应用编程接口(API),可供想要编写自己的客户端程序的用户使用。
API软件包包含文档、源文件和库文件,可支持CiscoAnyConnectVPN客户端的C++接口。
可以使用库和示例程序在Windows、Linux和MAC平台上构建。
Windows平台的生成文件(或项目文件)也包括在内。
对于其他平台,它包括展示如何编译示例代码的平台特定脚本。
网络管理员可以将应用(GUI、CLI或嵌入式应用)链接到此类文件和库。
您可以从下载API。
有关AnyConnectAPI的支持问题,请发送邮件到以下地址:anyconnect-api-support@。
AnyConnect警告 警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具(/bugsearch/)提供此版本中下列未解决和已解决的警告的相关详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
AnyConnectHostScan引擎更新4.3.05043 已解决警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
标识符 组件 标题 CSCvf69693 opswat-asa AnyConnectHostScan在从SEPv12升级后不检测SEPv14 思科AnyConnect安全移动客户端版本说明,版本4.329 AnyConnectHostScan引擎更新4.3.05038 AnyConnect安全移动客户端版本说明,版本4.3 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05038 已解决警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
标识符 组件 标题 CSCvb91798 opswat-asa HostScan不检测OSX上的Cylance保护 CSCvc54119 opswat-asa Hostscan/Opswat未能检测ESET6.3/6.4AV CSCvc95834 opswat-asa 在macOS上的DAP跟踪中未检测到KasperskyAS CSCvd09527CSCvd49209 opswat-asaopswat-asa HostScanv4.3.05019不检测适用于Macv2.3.0的McAfee终端保护中的McAfeeFW ENH:HostScan在macOS上添加了对SymantecEndpointProtection14的支持 CSCvd85556 opswat-asa HostScan不检测macOS上的BitDefender防病毒软件 CSCve37361 opswat-asa HS不检测RHEL7.2中的Sophos防病毒(Linux)软件 CSCve65939 opswat-asa HostScan4.3.05028无法检测TrendMicroWorryFreeBusinessSecurityAgent19.x CSCvf09519 opswat-asa HostScan未能检测Symantec终端保护14 CSCub32322 ASA安全评估 cstubshouldvalidateservercertificatesforasslconnection(cstub应验证用于ssl连接的服务器证书) CSCvb42287 posture-asa 从ISE升级-缺少安全评估模块 CSCvd34711 posture-asa 启用了webvpn或加密ikev2时,ASA显示良性LUA错误 思科AnyConnect安全移动客户端版本说明,版本4.330 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnectHostScan引擎更新4.3.05033 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05033 已解决警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
标识符 组件 标题 CSCvb91798 opswat-asa HostScan不检测OSX上的Cylance保护 CSCvc54119 opswat-asa HostScan/OPSWAT未能检测ESET6.3/6.4AV CSCvd09527 opswat-asa HostScanv4.3.05019不检测适用于Macv2.3.0的McAfee终端保护中的McAfeeFW CSCvd85556 opswat-asa HostScan不检测MacOSX上的Bitdefender防病毒软件 CSCvb42287CSCvd34711 posture-asaposture-asa 从ISE升级-缺少安全评估模块 启用了webvpn或加密ikev2时,ASA显示良性LUA错误 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05028 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表1:已解决 标识符CSCvc29995 组件opswat-asa 标题 显示McAfeeVirusScan和HIP的HostScan被检测为AS和AV 思科AnyConnect安全移动客户端版本说明,版本4.331 AnyConnectHostScan引擎更新4.3.05019 AnyConnect安全移动客户端版本说明,版本4.3 CSCvc35888CSCvc61772CSCvd51118 opswat-asaopswat-asaposture-asa HostScan-添加对AvastMacSecurity12.x的支持 HostScan4.3MR5不检测McAfee终端安全威胁防御10.2/10.5中的McAfeeFW Cscan崩溃-HostScanv4.3.05019 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05019 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表2:已解决 标识符CSCvc62819 组件opswat-asa 标题 针对hostscan_4.3.05017启用DAP时,Windows7AnyConnect用户无法进行连接 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.05017 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表3:已解决 标识符CSCva28598 CSCvc12767 CSCus31169CSCvb88421CSCvb36328 组件核心层 标题 AnyConnect和VerizonJetpack(Netgear)导致Windows10出现BSOD问题 download_install对于Mac,卸载“ISE客户端调配”(ISEClientProvisioning)下的NAC代理不会卸载NAC nam NAM不应绑定到OpenVPN适配器 nam NAM过滤器驱动程序BSOD出自Windows10上的休眠文件 opswat-asa HostScan未检测到McAfeeTotalProtection14.0的组件 思科AnyConnect安全移动客户端版本说明,版本4.332 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.04027 标识符CSCvb58501 组件opswat-asa CSCvb93906CSCvb93911CSCvb93914CSCvb96961CSCvb99331CSCvc00397CSCvc02708CSCvc04355CSCvb34133CSCuu85646CSCva86546CSCux13191CSCvb63859CSCvc04354CSCvc05423 opswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-iseposture-asaposture-isevpnvpnvpnvpn 标题ENH:HostScan-添加对TrendMicroTitaniumMaximumSecurityv11的支持ENH:HostScan-添加对KasperskyAnti-Virus17.x的支持ENH:HostScan-添加对BitdefenderAntivirusPlus2017的支持ENH:HostScan-添加对NOD32Antivirusv10的支持HostScan不检测Mac10.2.1的McAfee终端安全ENH:HostScan添加对SymantecEndpointProtection14的支持LumensionAntivirusv8.3.0.73-activescan=internalerrorENH:HostScan-添加对VirusBusterCloud11.x(日语)的支持ENH:HostScan-添加对virusbusterCorp11(日语)的支持SCCM补救故障:您正在尝试的补救出现故障HostScan发送多个endpoint.certificate.user["XX"].subject_dc标记支持LANDesk10.x安全和修补程序管理器如果不存在hal-get-property,CLI无法进行连接适用于Linux的思科AC将敏感信息保留在内存中主页URL不能搭配AnyConnect4.3使用MacOS10.12(Sierra)IPv6地址隐私功能导致网络不稳定 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.04027 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表4:已解决 标识符CSCuv56832 组件certificate 标题AnyConnect证书日志增强 思科AnyConnect安全移动客户端版本说明,版本4.333 AnyConnect4.3.03086 AnyConnect安全移动客户端版本说明,版本4.3 标识符CSCvb43782CSCvb97610CSCuz34759CSCvb46561CSCuz55943CSCva86392CSCvb15872CSCvb37617CSCvb45916CSCvb49067CSCuv65460CSCva35797CSCvb52434CSCvb65170 组件核心层 标题升级到4.3MR1客户端导致在Windows7上出现BSOD问题 download_installAnyConnectUmbrella云更新检查通知的用户故障可能错误 gui GUI和文本消息自定义 posture-asa HostScan-(升级)在XFS文件系统(RHEL7)上不起作用 posture-ise AnyConnect4.x在关闭PRA计时器后,代理不会发送PRA更新 posture-ise AnyConnect合规性模块无法检测Norton6.x定义 posture-ise ISE2.1安全评估MacOSKasperskyLab产品 posture-ise 适用于Mac的AC安全评估模块版本4.3可能无法检测AV posture-ise 不能检测Kaspersky终端安全10.x umbrella 仅支持IPv6的网络中应打开Umbrella保护状态 vpn AC:在MacOSX中自动重新连接后会删除系统代理设置 vpn AnyConnect对CVE-2016-2177、CVE-2016-2178的评估 vpn TND策略位于可信网络中时未能断开连接 vpn OSX:无法传输ipv6无连接的分段流量 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.03086 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表5:已解决 标识符CSCuy68051CSCva69697CSCuz27826 组件apiapi核心层 标题使用IKEv2时不显示证书过期警告客户API示例迁移为VisualStudio2015DHCP路由中断同一台服务器上的其他服务 思科AnyConnect安全移动客户端版本说明,版本4.334 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.03086 CSCva28494CSCvb43782 CSCva64096CSCvb01862CSCva84287 CSCva31341CSCvb64718CSCux64789 CSCva44991CSCvb34863CSCvb34863CSCut70079 CSCux03030 CSCuz80602 CSCva55838CSCvb02196CSCvb05479CSCvb17874CSCvb21345CSCvb36565 核心层核心层 dartguinam nvmposture-asa配置文件编辑器 umbrellaumbrellavpnvpn vpn vpn vpnvpnvpnvpnvpnvpn 关闭后DAP应禁用AC永远在线升级到4.3MR1客户端导致在Windows7上出现BSOD问题 Linux:DART中不复制安全评估日志AnyConnect4.2.x(4.x)GUI中自定义的消息格式不正确Windows10Anniversary更新中断AnyConnectNAM服务 vmagent几乎占用了MacOSX上3%的CPUHostScan未检测到MacOS10.12(Sierra)FW创建Websec客户端配置文件时,获得两次相同的错误消息 启用了ipv6的AC客户端上显示的保护状态不正确Umbrella漫游-拆分隧道延迟Umbrella漫游-拆分隧道延迟当AnyConnect故障转移到备份服务器时使用的服务器证书不受信任 使用PUBLIC代理和使用负载均衡的ASA代理(VIP)的ACOSX出现故障AnyConnectESP_ERROR_EXPIRED_SEQ-IPsec引擎遇到错误 AC探测,即便未启用相关组件不会从新安装的Windows10中删除AnyConnectDNS重新启动后未应用“应用最后的VPN本地资源规则”AnyConnectSBL未能检测智能卡证书提交IOSIKEv2凭证提示后,AnyConnect停止响应9.7.1SAML2.0AnyConnect-证书映射中断SAML身份验证 思科AnyConnect安全移动客户端版本说明,版本4.335 AnyConnect4.3.02039 AnyConnect安全移动客户端版本说明,版本4.3 CSCvb36651 CSCvb41365 CSCvb42478CSCvb50660CSCvb62962CSCva44152CSCvb29440 vpn vpn vpnvpnvpnWeb安全Web安全 9.7.1SAML2.0AnyConnect-HostScan在启用了SAML的TG上不起作用AnyConnect无法通过Windows10(1607)版本的代理进行连接 MacOS10.12-连接后AnyConnect崩溃-证书枚举无法传输无连接的分段流量(Mac上的AC4.3)OSX:Deflate压缩不起作用(无法传输数据)由于无加密的.config文件,ACWebsec崩溃AnyConnect网络安全与MS直接访问不兼容 表6:开放CSCvb42287CSCvb46561 posture-asaposture-asa 从ISE升级时丢失安全评估模块HostScan在XFS文件系统(RHEL7)上不起作用 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.02039 已解决和未解决缺陷警告若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表7:已解决 标识符 组件 标题 CSCuz59461核心层 AC客户端不发送“endpoint.anyconnect.devicetype” CSCva48371核心层 ACWebsec导致Windows10出现BSOD问题 CSCva58530download_installUbuntu:使用网络部署安装安全评估失败 思科AnyConnect安全移动客户端版本说明,版本4.336 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.01095 CSCuz80234guiCSCva64580guiCSCva40868namCSCux82427nvmCSCuy38610posture-asaCSCuz84937posture-asaCSCva36699posture-iseCSCva38809posture-iseCSCud02668Web安全CSCva67994Web安全 AC4.x自定义“正在检查合规性”消息 使用智能卡进行客户端证书身份验证时,AC4.3.x崩溃 在AnyConnect4.3上使用EAP-TLS进行计算机身份验证失败 重新访问CNAMEDNS请求的DNS缓存处理 HostScan初始化错误:Windows用户名包含非英语字母 HostScan时间戳针对Norton安全返回-
1 ISE不承认Windows10LTSB为受支持的操作系统 AC4.3安全评估模块为Windows10发送的用户代理错误 KDF中的FQDN功能:主机异常不认可https站点 ACWSPE并非允许的静态例外主机名 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.01095 已解决和未解决缺陷警告要查找此版本已解决缺陷相关的最新信息,请参阅思科漏洞搜索工具。
表8:已解决 标识符 组件 标题 思科AnyConnect安全移动客户端版本说明,版本4.337 AnyConnect4.3.01095 AnyConnect安全移动客户端版本说明,版本4.3 CSCux46392核心层 IPv6-配置了IPv4DNS服务器时,IPsec拆分隧道无法运行 CSCuy01833核心层 除非定义了默认域,否则split-dns后缀不会添加到适配器中 CSCuz50259核心层 ACw/TND忽略CRL首选项设置错误
CSCuw28279download_install用户名不是英语形式时(日语或俄语),vpn下载失败
CSCuz08974gui
各个PC中的AnyConnectsetup.exe选择程序大小不规范
CSCva21660nvm
AnyConnectNVM句柄/vmagent.exe*32泄漏
CSCva05994posture-ise
合规性模块3.6.10591.2出现ISEAnyConnect配置问题
CSCuy02579posture-ise
ISE安全评估模块不应依赖于NAM
CSCuw99688vpn
在OSX上,DNS查找未进入Ipsec隧道
CSCva05893vpn
优化(Windows):不移除IPv6前缀路由
表9:开放标识符CSCva44991
CSCva46737
组件umbrella
umbrella
标题
启用了ipv6的AC客户端上显示的保护状态不正确
网络/VPN更改后,“保留”状态拖延的时间过长
若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
思科AnyConnect安全移动客户端版本说明,版本4.338 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.00748 AnyConnect4.3.00748 已解决和未解决缺陷警告要查找此版本已解决缺陷相关的最新信息,请参阅思科漏洞搜索工具。
表10:已解决 标识符certificate核心层核心层 guinvmnvmposture-asaposture-iseposture-iseposture-isevpnvpn 组件 标题 CSCuy12161AnyConnect应不再要求服务器证书具有密钥协议 CSCuy34417AnyConnect客户端配置文件列表不按字母顺序显示 CSCuy88042 当HostScan终端安全评估通过慢速网络链路操作失败时,请通知用户 CSCut27870 AnyConnect将在成功连接时显示感叹号 CSCux94887获取的Mac主机名应为计算机名称 CSCuy13416NVM无法获取流信息 CSCuz50866 HostScan未能检测McAfee磁盘加密 CSCuw81938AnyConnect安全评估模块在安全评估XML报告中发送非法字符 CSCux01500PM补救失败,显示错误的错误消息 CSCuz04267 AV/AS和PM补救对于标准用户不起作用 CSCuu68856IKEv2事件日志消息存在误导性 CSCuv74296 SBLdoesnotworkonWindows10(SBL在Windows10上无法正常工作) 思科AnyConnect安全移动客户端版本说明,版本4.339 AnyConnect4.3.00748 AnyConnect安全移动客户端版本说明,版本4.3 vpnvpnvpnWeb安全 CSCuw43845证书匹配规则应覆盖EKU的所有默认过滤规则 CSCux04097 Implementfailssafemechanismforhostsfile(主机文件实施故障安全机制) CSCuy78946AnyConnect不与Linux上的PEM存储区连接 CSCux63081 WebsecCertMgmt:如果p7b文件已被删除/重命名,则不会下载该文件 要查找此版本未解决缺陷相关的最新信息,请参阅思科漏洞搜索工具。
表11:开放 标识符posture-iseposture-iseposture-iseposture-isevpnvpn 标题 CM4.x不支持LANdesk“更新补救支持” 当初始PDP关闭时,循环利用的安全评估无法建立连接 某个Win7客户端上未执行USB补救 MacOSX10.9上的CMV4-AVG2015定义检查失败 VPN在确定WebsecTND之前和更改TND时被初始化 成功升级Mac后,WebSec服务无法运行 思科AnyConnect安全移动客户端版本说明,版本4.340 AnyConnect安全移动客户端版本说明,版本4.3 相关文档 相关文档 其他AnyConnect文档•思科AnyConnect安全移动客户端管理员指南,版本4.3•AnyConnect安全移动客户端功能、许可证和操作系统,版本4.3•AnyConnect安全移动客户端中使用的开源软件,版本4.4AnyConnect安全移动客户端中使用的开源软件,版本4.3•思科终端用户许可协议,AnyConnect安全移动客户端版本4.x ASA相关文档•思科ASA系列版本说明•思科ASA系列文档一览•思科ASA5500-X系列下一代防火墙配置指南•支持的VPN平台,思科ASA5500系列•HostScan支持图表 ISE相关文档•思科身份服务引擎版本说明,版本2.2•思科身份服务引擎管理员指南,版本2.2 思科AnyConnect安全移动客户端版本说明,版本4.341 相关文档 AnyConnect安全移动客户端版本说明,版本4.3 思科AnyConnect安全移动客户端版本说明,版本4.342 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:http:///go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何 其他公司之间存在合作伙伴关系。
(1110R) ©2017-2017CiscoSystems,Inc.Allrightsreserved.
注释AnyConnect版本4.4.x将成为所有4.x漏洞的维护路径。
AnyConnect4.0、4.1、4.2和4.3客户必须升级到AnyConnect4.4.x,才能从未来的缺陷修复中受益。
AnyConnect4.0.x、4.1.x、4.2.x和4.3.x中发现的任何缺陷都只能在AnyConnect4.4.x维护版本中修复。
下载AnyConnect的最新版本 开始之前若要下载AnyConnect的最新版本,您必须是的注册用户。
步骤
1 步骤2步骤3步骤4步骤
5 步骤6步骤7步骤
8 点击此链接前往思科AnyConnect安全移动客户端产品支持页面:/en/US/products/ps10884/tsd_products_support_series_home.html。
登录。
点击下载软件。
如果尚未选择最新版本,则展开最新版本(LatestReleases)文件夹并点击最新版本。
使用以下方法之一下载AnyConnect软件包: •若要下载单一软件包,请查找要下载的软件包并点击下载(Download)。
•若要下载多个软件包,请点击软件包行的加入购物车(Addtocart),然后点击“下载软件”(Download Software)页面顶部的下载购物车(DownloadCart)。
系统提示时,阅读并接受思科许可证协议。
选择用于保存下载文件的本地目录并点击保存(Save)。
请参阅《思科AnyConnect安全移动客户端版本4.x管理员指南》。
思科AnyConnect安全移动客户端版本说明,版本4.31 用于网络部署的AnyConnect软件包文件名 AnyConnect安全移动客户端版本说明,版本4.3 用于网络部署的AnyConnect软件包文件名 操作系统Windows AnyConnect网络部署软件包名称anyconnect-win-version-k9.pkg macOS anyconnect-macosx-i386-version-k9.pkg Linux(64位)anyconnect-linux-64-version-k9.pkg 用于预部署的AnyConnect软件包文件名 操作系统Windows AnyConnect预部署软件包名称anyconnect-win-version-pre-deploy-k9.iso macOS anyconnect-macosx-i386-version-k9.dmg Linux(64位) anyconnect-predeploy-linux-64-version-k9.tar.gz 可另外下载的其他文件,它们有助于您向
AnyConnect添加其他功能。
AnyConnectHostScan引擎更新4.3.05043的新功能 AnyConnectHostScan4.3.05043是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05043,第29页。
AnyConnectHostScan引擎更新4.3.05038的新功能 AnyConnectHostScan4.3.05038是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05038,第30页。
思科AnyConnect安全移动客户端版本说明,版本4.32 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnectHostScan引擎更新4.3.05033的新功能 AnyConnectHostScan引擎更新4.3.05033的新功能 AnyConnectHostScan4.3.05033是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05033,第31页。
AnyConnectHostScan引擎更新4.3.05028的新功能 AnyConnectHostScan4.3.05028是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
对于4.3版本的漏洞修复,请使用AnyConnect4.4.x,因为尚无计划针对4.3.x进行AnyConnect软件更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05028,第31页。
AnyConnectHostScan引擎更新4.3.05019的新功能 AnyConnectHostScan4.3.05019是维护版本,包括仅针对HostScan模块作出的更新。
此版本中未对AnyConnect软件本身进行任何更新。
对于4.3版本的漏洞修复,请使用AnyConnect4.4.x,因为尚无计划针对4.3.x进行AnyConnect软件更新。
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.3.05019,第32页。
AnyConnect4.3.05017的新功能 AnyConnect4.3.05017是维护版本,包括增强功能,可以解决AnyConnect4.3.05017,第32页中所述的缺陷。
与Umbrella漫游安全插件相关的其他漏洞修复修复了Umbrella漫游安全插件中的以下漏洞(以及其他小的改进):Windows修复 •如果注册失败,插件可能会在没有正确策略的情况下应用DNS保护。
•(仅限Windows10)网络适配器不会按正确的优先级顺序从系统返回。
•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 MacOSX修复•(CSCvb49067)IPv6网络中应开启Umbrella保护状态•在Umbrella插件注册期间检索终端主机名时出错•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 思科AnyConnect安全移动客户端版本说明,版本4.33 AnyConnect4.3.04027的新功能 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.04027的新功能 AnyConnect4.3.04027是维护版本,包括增强功能,可以解决AnyConnect4.3.04027,第33页中所述的缺陷。
与Umbrella漫游安全插件相关的其他漏洞修复修复了Umbrella漫游安全插件中的以下漏洞(以及其他小的改进):Windows修复 •如果注册失败,插件可能会在没有正确策略的情况下应用DNS保护。
•(仅限Windows10)网络适配器不会按正确的优先级顺序从系统返回。
•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 MacOSX修复•(CSCvb49067)IPv6网络中应开启Umbrella保护状态•在Umbrella插件注册期间检索终端主机名时出错•支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载 AnyConnect4.3.03086的新功能 AnyConnect4.3.03086是一个包括以下增强功能的维护版本,可以解决AnyConnect4.3.03086,第34页中所述的缺陷。
•作为Umbrella漫游安全模块的一部分引入了IP层实施功能。
使用此功能的要求不在《思科AnyConnect安全移动客户端管理员指南》的范围之内。
请参阅/product/umbrella/6-adding-ip-layer-enforcement/,以获取有关IP层实施的信息。
AnyConnect4.3.02039的新功能 AnyConnect4.3.02039是维护版本,包括以下功能和增强功能,可以解决AnyConnect4.3.02039,第36页中所述的缺陷。
配置文件编辑器的“静态例外”中添加了“主机名”选项可以使用AnyConnect的网络安全配置文件编辑器在思科云网络安全扫描中排除或包括终端流量。
使用思科AnyConnect安全移动客户端版本4.3.02039或更高版本,现在除IP地址外还可以添加主机名来排除扫描流量。
在配置文件编辑器的“静态例外”字段中,确定要从扫描中排除的主机名,网络安全则不会将这些HTTP/HTTPS流量转发到云网络安全代理进行检测。
如果您有多个主机名具有相同的IP地址,但仅在静态例外列表中配置了其中一个主机名,则网络安全将豁免该流量。
思科AnyConnect安全移动客户端版本说明,版本4.34 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.01095的新功能 如果您想豁免任何通过代理服务器的浏览器流量,则必须在HostExceptions中列出这些主机名,以使它们不会被转发。
对于流经ProxyException列表中未列出的代理的流量,不能仅配置静态例外。
AnyConnect4.3.01095的新功能 AnyConnect4.3.01095是维护版本,引入了思科Umbrella漫游安全模块并可解决AnyConnect4.3.01095,第37页中所述的缺陷。
Umbrella漫游安全模块需要订用思科Umbrella漫游服务或OpenDNSUmbrella服务(专业、见解、平台或MSP)。
思科Umbrella漫游在VPN处于非活动状态时提供DNS层安全,而OpenDNSUmbrella订用在网内和网外添加了智能代理和IP层实施功能。
另外,OpenDNSUmbrella订用提供内容过滤、多项策略、强大报告、活动目录集成等功能。
无论订用情况如何,都将使用相同的Umbrella漫游安全模块。
Umbrella漫游模块配置文件(OrgInfo.json)会将各种部署与相对应的服务关联起来,并将自动启用相对应的保护功能。
可以通过Umbrella控制面板实时查看源自漫游安全模块的所有互联网活动。
策略和报告中的精细度级别取决于Umbrella订用情况。
有关各个服务级别订用中包含哪些功能的详细对比,请参阅/enterprise-security/threat-enforcement/packages/。
使用Umbrella漫游安全和Web安全的互操作性 在使用Umbrella漫游安全和网络安全模块时,要获得全部功能,必须配置主机排除并排除“网络安全”一章中定义的静态例外:/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect43/administration/guide/b_AnyConnect_Administrator_Guide_4-3/configure-web-security.html。
否则,DNS保护可能会被完全绕过。
AnyConnect4.3.00748的新功能 AnyConnect4.3.00748是主要版本,包括以下功能和增强功能,可以解决AnyConnect4.3.00748,第39页中所述的缺陷。
•在网络可见性模块(NVM)中,调整从缓存向收集器发送数据的速率。
•自定义NVM计时器,以便管理员可定义思科nvzFlow导出数据的时间。
•NVM默认关闭广播和组播选项,并提供选择数据收集方法的选项。
•在NVM中通过包括或排除某些字段进行匿名化处理,可创建匿名化配置文件,然后可将该配 置文件与网络类型或连接方案关联。
•其他NVM增强功能包括可以了解操作系统(OS)版本、OS容器中运行的功能以及存在哪些接 口属性等。
•能够禁用网络访问管理器发起的DHCP请求。
思科AnyConnect安全移动客户端版本说明,版本4.35 重要互通性注意事项 AnyConnect安全移动客户端版本说明,版本4.3 •(仅限Windows)通过USB大容量存储设备的安全评估客户端进行检测,并可以阻止或拒绝访问。
此功能依赖于OPSWATv4合规性模块。
•引入了OPSWAT版本
4,该版本在防恶意软件旗下结合了防病毒和反间谍软件功能。
在AnyConnect版本4.3(或更高版本)或ISE2.1(或更高版本)上使用ISE安全状态,可以选择使用OPSWATv3或v4。
•安装StartBeforeLogon后,“网络连接”按钮将启动AnyConnectVPN和网络访问管理器UI。
•可以禁止使用与未配备扩展密钥用法(EKU)的证书匹配的新配置文件编辑器的“首选项”选项。
•详细了解AnyConnect日志形式证书的信息,以便更好地跟踪证书处理。
•AnyConnect4.3已迁移到VisualStudio(VS)2015版本环境,并且需要VS可再分发文件(作为安装软件包的一部分安装)。
•Ubuntu16.04是合格的Linux版本。
重要互通性注意事项 ISE头端与ASA头端共存•如果同时使用ISE和ASA执行客户端安全评估,则两个头端上的配置文件必须匹配。
•如果为终端调配了NAC代理,AnyConnect会忽略ISE1.3服务器。
•如果客户端上同时装有思科NAC代理和VPN安全评估(HostScan)模块,则思科NAC代理版本必须至少是4.9.4.3或更高版本才能防止安全评估冲突。
•如果在ISE中为终端调配了AnyConnect,NAC代理会忽略ISE1.3服务器。
系统要求 本节确定此版本的管理和终端要求。
有关终端操作系统支持和每项功能的许可证要求,请参阅AnyConnect安全移动客户端功能、许可证和操作系统。
思科无法保证与其他VPN第三方客户端的兼容性。
对AnyConnect配置文件编辑器的更改 在安装配置文件编辑器前,必须安装Java版本6或更高版本的32位版本。
思科AnyConnect安全移动客户端版本说明,版本4.36 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect的ISE要求 AnyConnect的ISE要求 ISE版本要求•至少需要ISE1.3才能将AnyConnect软件部署到终端,以及使用AnyConnect4.0和更高版本中的新ISE安全评估模块对该终端进行安全评估。
•ISE1.3只能部署AnyConnect版本4.0及更高版本。
更低版本的AnyConnect必须从ASA进行网络部署、使用SMS进行预部署或手动部署。
ISE许可要求若要从ISE头端部署AnyConnect并使用ISE安全评估模块,需要在ISE管理节点上安装思科ISEApex许可证。
有关ISE许可证的详细信息,请参阅《思科身份服务引擎管理员指南》的思科ISE许可证一章。
AnyConnect的ASA要求 指定功能的最低ASA/ASDM版本要求•必须升级到ASDM7.5.1才能使用NVM。
•必须升级到ASDM7.4.2才能使用AMP启用程序。
•必须升级到ASA9.3
(2)才能使用TLS1.2。
•如果要使用以下功能,必须升级到ASA9.2
(1):通过VPN执行ISE安全评估AnyConnect4.x的ISE部署从此版本起支持ASA上的授权变更(CoA) •如果要使用以下功能,必须升级到ASA9.0:IPv6支持思科下一代“SuiteB”加密技术安全AnyConnect客户端延迟升级 •如果要执行以下操作,必须使用ASA8.4
(1)或更高版本:使用IKEv2。
使用ASDM编辑非VPN客户端配置文件(例如网络访问管理器、网络安全或遥感勘测)。
使用思科IronPort网络安全设备支持的服务。
这些服务让您能够通过授权或拒绝所有HTTP和HTTPS请求,强制实施可接受的使用策略并保护终端不受不安全网站的侵害。
思科AnyConnect安全移动客户端版本说明,版本4.37 AnyConnect的ASA要求 AnyConnect安全移动客户端版本说明,版本4.3 部署防火墙规则。
如果部署永远在线VPN,则可能需要启用分隔隧道,并配置防火墙规则,仅允许本地打印和连接移动设备访问网络。
配置动态访问策略或组策略,让符合条件的VPN用户免于部署永远在线VPN。
当AnyConnect会话处于隔离状态时,请配置动态访问策略以在AnyConnectGUI中显示消息。
ASA内存要求 注意使用AnyConnect4.0或更高版本的所有ASA5500型号的建议最低闪存大小为512MB。
此配置可托管多个终端操作系统并在ASA上启用日志记录和调试。
由于ASA5505存在闪存大小限制(最大为128MB),并非所有AnyConnect软件包排列都将能够加载到此型号。
若要成功加载AnyConnect,软件包的大小需要减少到适应可用闪存的大小,即减少操作系统数、没有HostScan等。
在继续执行AnyConnect安装或升级前,检查可用空间大小。
可以使用以下方法之一执行相关操作:•CLI-输入showmemory命令。
asa3#showmemory Freememory: 304701712bytes(57%) Usedmemory: 232169200bytes(43%) ------------- ---------------- Totalmemory: 536870912bytes(100%) •ASDM-选择“工具”(Tools)>“文件管理”(FileManagement)。
“文件管理”(FileManagement)窗口会显示闪存空间。
如果ASA只有默认内部闪存大小或默认DRAM大小(对于缓存内存),则可能无法在ASA上存储和加载多个AnyConnect客户端软件包。
即使闪存有足够空间承载软件包文件,ASA也可能会在解压缩和加载客户端映像时耗尽缓存内存。
有关ASA内存要求以及升级ASA内存的其他信息,请参阅思科ASA5500系列最新版本说明。
VPN安全评估和Hostscan互通性 通过VPN安全评估(HostScan)模块,思科AnyConnect安全移动客户端可以识别ASA主机中安装的操作系统、防病毒软件、反间谍软件和防火墙软件。
VPN安全评估(HostScan)模块需要思科Hostscan来收集这些信息。
CiscoHostScan作为单独的软件包提供,它定期使用新操作系统、防病毒软件、反间谍软件和防火墙软件信息进行更新。
思科建议您运行与AnyConnect版本相同的最新版本的HostScan。
从中可获取防病毒、反间谍软件和防火墙应用列表。
Firefox浏览器是用于打开支持图表的最轻松方式。
如果使用Explorer,请将文件下载到计算机并将文件扩展名从.zip更改为.xlsm。
您可以使用MicrosoftExcel、MicrosoftExcelViewer或OpenOffice打开该文件。
思科AnyConnect安全移动客户端版本说明,版本4.38 AnyConnect安全移动客户端版本说明,版本4.3 IOS对AnyConnect的支持 注释与不兼容的HostScan版本配合使用时,AnyConnect将不会建立VPN连接。
此外,思科不建议组合使用HostScan和ISE安全评估。
否则,运行两种不同的安全评估代理时会出现意外结果。
ISE安全评估合规性模块ISE安全评估合规性模块包含ISE安全评估支持的防病毒软件、反间谍软件和防火墙的列表。
HostScan列表按供应商编组,ISE安全评估列表则按产品类型编组。
当头端上的版本号(ISE或ASA)高于终端上的版本号时,OPSWAT就会更新。
这些升级是强制性的,无需最终用户干预即会自动进行。
库(zip文件)中的各个文件由OPSWAT公司进行数字签名,而库本身被打包为单个自解压的可执行文件,由思科证书进行代码签名。
您可以用MicrosoftExcel、MicrosoftExcelViewer或OpenOffice在以下位置查看图表: IOS对AnyConnect的支持 思科支持将AnyConnectVPN用作安全网关来访问IOS版本15.1
(2)T;但是,IOS版本15.1
(2)T当前不支持以下AnyConnect功能: •登录后永远在线的VPN•连接失败策略•提供本地打印机和系留设备访问的客户端防火墙•最佳网关选择•隔离•AnyConnect配置文件编辑器 有关IOS对AnyConnectVPN的支持的其他限制,请参阅CiscoIOSSSLVPN不支持的功能。
有关其他IOS功能支持的信息,请参阅/go/fn。
AnyConnect支持的操作系统 思科AnyConnect安全移动客户端所包含的模块支持以下操作系统: 思科AnyConnect安全移动客户端版本说明,版本4.39 MicrosoftWindows对AnyConnect的支持 AnyConnect安全移动客户端版本说明,版本4.3 支持的操作系统 VPN网络客访问户管理端器 Windows7SP1、8、8.1是是和10 x86(32位)和x64(64位) 云网VPNISE议客户体网络可AMP启Umbrella络安安终价验反馈视性模用程序漫游安 全全端授 块 全 评安权 估全请H(osStcan)评求 估工 具 (DART) 是是是是是 是 是 是 MacOSX10.9、10.10、是否是是是是是 是 是 是 10.11和10.121 LinuxRedHat6、7和是否否是否是是 否 否 否 Ubuntu12.04(LTS)、 14.04(LTS)和16.04 (LTS)(仅限64位) 1MacOSX10.12支持要求的最低版本是AnyConnect4.3.3086和4.2.6014。
MicrosoftWindows对AnyConnect的支持 Windows要求•Pentium级或更高级别的处理器。
•100MB硬盘空间。
•Microsoft安装程序版本3.1。
•如果是从以前的任意Windows版本升级到Windows8.1,需要卸载AnyConnect,然后在Windows升级完成后重新安装AnyConnect。
•如果是从WindowsXP升级到任意更高的Windows版本,需要执行全新安装,因为升级期间不会保留思科AnyConnect虚拟适配器。
请手动卸载AnyConnect,升级Windows,然后以手动方式或通过WebLaunch重新安装AnyConnect。
•若要通过WebLaunch启动AnyConnect,必须使用Firefox3.0+的32位版本,并启用ActiveX或安装SunJRE1.4+。
•使用Windows8或8.1时,需要安装ASDM版本7.02或更高版本。
思科AnyConnect安全移动客户端版本说明,版本4.310 AnyConnect安全移动客户端版本说明,版本4.3 MicrosoftWindows对AnyConnect的支持 Windows限制 •WindowsRT不支持AnyConnect。
该操作系统不提供用于执行此功能的API。
思科已就这一问题向Microsoft提出请求。
需要此功能的用户应与Microsoft联系,表明对此很感兴趣。
•其他第三方产品与Windows8不兼容会导致AnyConnect无法通过无线网络建立VPN连接。
下面就此问题提供两个示例: 随Wireshark分发的WinPcap服务“远程数据包捕获协议v.0(实验性)”不支持Windows8。
若要解决此问题,请卸载Wireshark或禁用WinPcap服务,重新启动Windows8计算机,然后重试AnyConnect连接。
不支持Windows8的过时无线网卡或无线网卡驱动程序阻止AnyConnect建立VPN连接。
若要解决此问题,请确保在Windows8计算机上安装支持Windows8的最新无线网卡或驱动程序。
•AnyConnect未与Windows8上部署的新用户界面框架(称为Metro设计语言)集成,却在Windows8的桌面模式下运行。
•HP保护工具无法与Windows8.x上的AnyConnect配合使用。
•不支持Windows2008;但是,我们不会阻止在此操作系统上安装AnyConnect。
此外,WindowsServer2008R2需要可选的SysWow64组件 •如果您在支持待机的系统上使用网络访问管理器,思科建议使用默认的Windows8.x关联计时器值(5秒)。
如果您发现Windows中的扫描列表比预期短,请增加关联计时器值,让驱动程序可以完成网络扫描和填充扫描列表。
Windows指南 •确保客户端系统上的驱动程序受Windows7或8支持。
不受支持的驱动程序可能会出现间歇性连接问题。
•对于网络访问管理器,在Windows8或10/Server2012上使用计算机密码进行计算机身份验证不起作用,除非已将MicrosoftKB2743127中所述的注册表修复应用于客户端桌面。
此修复包括向HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa注册表项添加DWORD值LsaAllowReturningUnencryptedSecrets并将此值设置为
1。
此更改允许本地安全机构(LSA)向诸如思科网络访问管理器之类的客户端提供计算机密码。
它与Windows8或10/Server2012中增加的默认安全设置有关。
使用计算机证书的计算机身份验证无需进行此更改,便可像在Windows8以前的操作系统上一样运行。
思科AnyConnect安全移动客户端版本说明,版本4.311 Linux对AnyConnect的支持 AnyConnect安全移动客户端版本说明,版本4.3 注释计算机身份验证允许在用户登录之前,向网络验证客户端桌面的身份。
在此期间,管理员可以执行此客户端计算机的计划管理任务。
EAP链接功能也需要使用计算机身份验证,这样,RADIUS服务器便可以针对特定客户端同时验证用户和计算机的身份。
在此过程中,将识别公司资产并应用适当的访问策略。
例如,如果这是个人资产(PC/笔记本电脑/平板电脑),但使用的是公司凭证,终端将无法通过计算机身份验证,但可成功通过用户身份验证,并会向该用户的网络连接应用相应的网络访问限制。
•在Windows8中,“首选项”(Preferences)>“VPN”>“统计信息”(Statistics)选项卡上的“导出统计信息”(ExportStats)按钮会将文件保存在桌面。
而在其他Windows版本中,系统会询问用户要将文件保存在什么位置。
•AnyConnectVPN与3G数据卡兼容,这种数据卡可通过WWAN适配器与Windows7或更高版本建立连接。
Linux对AnyConnect的支持 Linux要求•x86指令集。
•64位处理器。
•32MBRAM。
•20MB硬盘空间。
•安装需要具备超级用户权限。
•libstdc++用户必须拥有libstdc++.so.6(GLIBCXX_3.4)或更高版本,但必须低于版本
4。
•Java5(1.5)或更高版本。
唯一适用于网络安装的版本为SunJava。
必须安装SunJava并将浏览器配置为使用SunJava而不是默认软件包。
•zlib-用于支持SSLdeflate压缩•xterm-仅在通过WebLaunch从ASA无客户端门户对AnyConnect进行初始部署时需要。
•gtk2.0.0。
•gdk2.0.0。
•libpango1.0。
•iptables1.2.7a或更高版本。
•随内核2.4.21或2.6提供的tun模块。
思科AnyConnect安全移动客户端版本说明,版本4.312 AnyConnect安全移动客户端版本说明,版本4.3 Mac对AnyConnect的支持 Mac对AnyConnect的支持 Mac要求•AnyConnect需要50MB的硬盘空间。
•要使用Mac正确操作,AnyConnect的显示分辨率至少需要为1024x640像素。
Mac准则•MacOSX10.8推出了一项称为Gatekeeper的新功能,该功能可限制允许在系统上运行的应用。
您可选择允许从以下位置下载的应用:•MacAppStore•MacAppStore和已确定的开发商•任何地点 默认设置为MacAppStoreandidentifieddevelopers(已签名的应用)。
AnyConnect是签名的应用,但并非以Apple证书进行签名。
这意味着您必须选择“任何地点”(Anywhere)设置或使用Ctrl键绕过选定的设置,以从预部署安装实现AnyConnect的安装和运行。
进行网络部署或已安装AnyConnect的用户不受影响。
有关详细信息,请参阅:/macosx/mountain-lion/security.html。
注释WebLaunch或操作系统升级(例如10.7到10.8)会按预期安装。
只有预部署安装因为Gatekeeper的原因而需要额外的配置。
AnyConnect许可 有关最新的最终用户许可协议,请参阅《思科最终用户许可协议,AnyConnect安全移动客户端版本4.x》。
有关我们的开源许可确认,请参阅AnyConnect安全移动客户端中使用的开源软件。
若要从ISE头端部署AnyConnect并使用ISE安全评估模块,需要在ISE管理节点上安装思科ISEApex许可证。
有关ISE许可证的详细信息,请参阅思科身份服务引擎的思科ISE许可证一章。
若要从ASA头端部署AnyConnect并使用VPN和VPN安全评估(HostScan)模块,需要使用AnyConnect4.XPlus或Apex许可证、提供试用版许可证,请参阅思科AnyConnect订购指南。
有关AnyConnect4.XPlus和Apex许可证的概述及各种功能所需的许可证说明,请参阅AnyConnect安全移动客户端功能、许可证和操作系统。
思科AnyConnect安全移动客户端版本说明,版本4.313 AnyConnect安装概述 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect安装概述 部署AnyConnect指安装、配置和升级AnyConnect客户端及其相关文件。
可通过以下方法为远程用户部署思科AnyConnect安全移动客户端: •预部署-新安装和升级可以由最终用户执行,也可以由企业软件管理系统(SMS)执行。
•网络部署-AnyConnect软件包在头端(ASA或ISE服务器)加载。
当用户连接到ASA或ISE 时,AnyConnect会部署到客户端。
对于新安装,用户可连接到头端以下载AnyConnect客户端。
客户端可手动或自动安装(通过网络启动)。
更新由已安装AnyConnect的系统上运行的AnyConnect完成,或者通过将用户定向至ASA无客户端门户完成。
•云更新-在部署Umbrella漫游安全模块后,可以使用上述方法之一以及云更新来更新任何AnyConnect模块。
通过云更新,可自动从Umbrella云基础设施获得软件升级,且更新跟踪将取决于该软件升级,而非管理员的任何操作。
默认情况下,将禁用通过云更新进行自动更新。
部署AnyConnect时,可以将用于启用额外功能的可选模块以及用于配置VPN和其他功能的客户端配置文件包含在内。
请注意以下事项: •可以预部署所有AnyConnect模块和配置文件。
预部署时,必须特别注意模块安装顺序和其他细节。
•客户体验反馈模块和VPN安全评估模块使用的Hostscan软件包不能从ISE进行网络部署。
•ISE安全评估模块所使用的合规性模块不能从ASA进行网络部署。
有关部署AnyConnect模块的详细信息,请参阅《思科AnyConnect安全移动客户端版本4.3管理员指南》。
注释只要升级到新的AnyConnect软件包,请务必使用CCO提供的最新版本更新本地化MST文件。
从3.1MR10AnyConnect客户端升级/不兼容问题 将AnyConnect3.1.10010自动部署到终端后,无法连接到使用不兼容的AnyConnect版本4.0、4.1、4.1MR2、4.2和4.3配置的安全网关。
如果尝试从AnyConnect3.1MR10版本升级到AnyConnect4.1MR4(或更高版本)或高于3.1.10010的3.1版本以外的任何版本,将收到不允许升级的通知。
有关详细信息,请参阅CSCuv12386。
从AnyConnect3.0或更高版本升级 从AnyConnect安全移动客户端版本3.0或更高版本升级时,AnyConnect会执行以下操作: 思科AnyConnect安全移动客户端版本说明,版本4.314 AnyConnect安全移动客户端版本说明,版本4.3 从AnyConnect2.5及更低版本升级 •升级核心客户端的所有之前版本并保留所有VPN配置。
•升级AnyConnect所使用的任何HostScan文件。
从AnyConnect2.5及更低版本升级 从AnyConnect的任何2.5.x版本升级时,AnyConnect安全移动客户端会执行以下操作:•升级核心客户端的所有之前版本并保留所有VPN配置。
•升级AnyConnect所使用的任何HostScan文件。
•如果安装网络访问管理器,AnyConnect会保留所有CSSC5.x配置,以供网络访问管理器使用,并随后删除CSSC5.x。
•不会升级或删除CiscoIPsecVPN客户端。
但是,AnyConnect客户端可在计算机上与IPsecVPN客户端共存。
•不会升级并无法与CiscoScanSafeAnyWhere+共存。
必须在安装AnyConnect安全移动客户端前卸载AnyWhere+。
注释如果从传统CiscoVPN客户端升级,物理适配器的MTU值可能已降低到1300。
应针对每个适配器将MTU值还原为默认值(通常为1500),以在使用AnyConnect时获得最优性能。
不支持使用ASA或WebLaunch从AnyConnect2.2升级。
必须先卸载AnyConnect2.2,然后手动或使用SMS安装新版本。
在64位Windows上进行基于Web的安装可能会失败 此问题适用于Windows7和8上的Explorer10和11。
当Windows注册表项HKEY_CURRENT_USER\Software\Microsoft\Explorer\Main\TabProcGrowth设置为0时,ActiveX在AnyConnect网络部署期间会出现问题。
有关详细信息,请参阅/kb/2716529。
解决方案为: •运行Explorer的32位版本。
•将注册表项编辑为非零值,或从注册表删除该值。
注释在Windows8上,如果运行64位版本,从Windows开始屏幕启动Explorer。
如果运行32位版本,则从桌面启动。
思科AnyConnect安全移动客户端版本说明,版本4.315 AnyConnect支持策略 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect支持策略 思科仅根据最近发布的4.x版本提供修复补丁和增强功能。
签订了AnyConnect4.x条款/合同、条款/合同有效且正在运行已发布AnyConnect4.x版本的任何客户均可获得TAC支持。
如果使用过时的软件版本遇到问题,系统可能会要求您验证当前的维护版本是否可解决问题。
只有已安装最新修复补丁的AnyConnect4.x版本才能访问软件中心。
我们建议您下载适合您部署的所有映像,因为我们无法保证您想要部署的版本将来是否仍可供下载。
规定和限制 当安装了网络访问管理器时,Microsoft无意中阻止了Windows10的更新 当安装了网络访问管理器时,Microsoft旨在阻止对较早版本Windows的更新,但无意中也阻止了Windows10和CreatorsEdition(RS2)。
由于发生错误(MicrosoftSysdev11911272),您必须首先卸载网络访问管理器模块,才能升级到CreatorsEditor(RS2)。
然后,可以在升级后重新安装该模块。
Microsoft计划于2017年6月推出针对此错误的修复。
Windows10Defender误报-思科AnyConnect适配器问题 当升级到Windows10CreatorUpdate(2017年4月)时,您可能会收到WindowsDefender消息,说AnyConnect适配器出现问题。
WindowsDefender指示您在“设备性能和运行状况”(DevicePerformanceandHealth)部分下启用适配器。
实际上,不使用该适配器时应将其禁用,不应采取手动操作。
这种误报错误会以Sysdev#11295710代码报告给Microsoft。
AnyConnect4.4MR1(或更高版本)和4.3MR5与Windows10Creators版本(RS2)兼容。
与MicrosoftWindows10的AnyConnect兼容性 AnyConnect4.1MR4(4.1.04011)及更高版本与Windows10正式版兼容。
技术支持中心(TAC)支持从2015年7月29日开始提供。
为获得最佳效果,我们建议在Windows10系统上执行AnyConnect的全新安装,而不要从Windows7/8/8.1升级。
如果计划从已预安装AnyConnect的Windows7/8/8.1升级,请确保先升级AnyConnect,然后再升级操作系统。
在升级到Windows10之前,必须卸载网络访问管理器模块。
在系统升级完成后,可以在系统上重新安装网络访问管理器。
还可以选择完全卸载AnyConnect,然后在升级到Windows10后,重新安装一个受支持的版本。
新拆分包含隧道行为(CSCum90946) 过去,如果拆分-包含(split-include)网络是本地子网的超网,则不会通过隧道传输本地子网流量,除非配置的拆分-包含(split-include)网络与本地子网完全匹配。
随着对CSCum90946的解析,当拆分- 思科AnyConnect安全移动客户端版本说明,版本4.316 AnyConnect安全移动客户端版本说明,版本4.3 Microsoft正在逐步淘汰SHA-1支持 包含(split-include)网络是本地子网的超网时,本地子网流量可通过隧道传输,除非在访问列表(ACE/ACL)中还配置了拆分-包含(split-include)(拒绝0.0.0.0/32或::/128)。
如果在拆分-包含(split-include)中配置了超网并且所需行为是要允许LocalLan访问,则需要对新行为进行以下配置: •访问列表(ACE/ACL)必须同时包含针对超网的许可操作以及针对0.0.0.0/32或::/128的拒绝操作。
•在AnyConnect配置文件中启用“本地LAN访问”(LocalLANess)(在配置文件编辑器的“首选项第1部分”[PreferencesPart1]菜单中)。
(另外,您还可以使用该选项将其设为用户可控制。
) Microsoft正在逐步淘汰SHA-1支持 2017年2月14日后,WindowsExplorer11/Edge浏览器或WindowsAnyConnect终端使用SHA-1证书的安全网关或以SHA-1为中间证书的证书可能不再被视为有效。
2017年2月14日后,Windows终端可能认为使用SHA-1证书的安全网关或中间证书不再可信。
我们强烈建议您的安全网关不要使用SHA-1身份证书,也不要再使用SHA-1作为任何中间证书。
Microsoft已对其原有的记录和计时计划进行修改。
他们发布了有关如何测试2017年2月的变更是否会影响您的环境的详细信息。
对于使用SHA-1安全网关或中间证书或运行旧版AnyConnect的客户,思科无法对AnyConnect的正常运行做出任何保证。
思科强烈建议客户密切关注AnyConnect的最新维护版本,以确保随时获取所有可用的修复补丁。
签有有效AnyConnectPlus、Apex和仅VPN条款/合同的客户,可通过软件中心获取最新版本AnyConnect4.x及更高版本。
不再对AnyConnect版本3.x实施主动维护,亦不应再使用它们进行任何部署。
注释在Microsoft逐步淘汰SHA-1的同时,思科已确认AnyConnect4.3和4.4(及更高版本)可以继续正常运行。
长期来看,Microsoft计划在所有环境下的Windows中都不再信任SHA-
1,但他们当前的公告尚未就此提供任何细节或时间信息。
根据淘汰的确切日期,许多较早版本的AnyConnect随时可能无法再正常运行。
有关更多信息,请参阅Microsoft公告。
使用SHA512证书进行身份验证时,身份验证失败 (对于Windows7、8和8.1用户),当客户端使用SHA512证书进行身份验证时,身份验证失败,即使客户端日志显示该证书处于使用状态,亦不例外。
ASA日志可正确显示AnyConnect未发送任何证书。
Windows的这些版本要求您在TLS1.2中启用对SHA512证书的支持,系统默认情况下不支持该证书。
要了解如何对这些SHA512证书提供支持,请参阅/en-us/kb/2973337。
不再支持RC4TLS密码套件 从AnyConnect版本4.2.01035开始,因安全策略增强功能而不再支持RC4TLS密码套件。
思科AnyConnect安全移动客户端版本说明,版本4.317 OpenSSL密码套件更改 AnyConnect安全移动客户端版本说明,版本4.3 OpenSSL密码套件更改 由于OpenSSL标准开发团队将部分密码套件标记为已被泄露,在AnyConnect3.1.05187以外,我们不再对这些密码套件提供支持。
不受支持的密码套件如下:DES-CBC-SHA、RC4-SHA和RC4-MD5。
同样,我们的加密工具包已中断对RC4密码的支持;因此,我们对其的相应支持也将随版本3.1.13011和4.2.01035等终止。
网络可视性模块与LittleSnitch防火墙不兼容 网络可视性模块与MacOSX上的LittleSnitch防火墙不兼容。
MacOSXElCapitan10.11对AnyConnect的支持 MacOSXElCapitan10.11操作系统支持思科AnyConnect安全移动客户端。
在ISE安全评估中使用日志跟踪 在全新安装后,您会按预期看到ISE安全评估日志跟踪消息。
但是,如果进入ISE安全评估配置文件编辑器并将“启用代理日志跟踪”(EnableAgentLogTrace)文件更改为0(禁用),则必须执行AnyConnect服务重新启动来获得预期结果。
在Mac上使用ISE安全评估的互通性 如果使用MacOSX10.9或更高版本并想要使用ISE安全评估,可能需要执行以下操作来避免出现问题: •在安全评估期间,关闭证书验证以避免出现“无法联系策略服务器”(failedtocontactpolicyserver")错误。
•禁用强制网络门户应用;否则,发现探测会被阻止,且应用仍会处于安全评估前的ACL状态。
不支持MacOSX上的Firefox证书存储 MacOSX上的Firefox证书存储在存储时提供允许所有用户修改存储内容的权限,这让未授权用户或进程能够将非法CA添加到受信任的根存储中。
Anyconnect不再将Firefox存储用于服务器验证或客户端证书。
如有必要,请向您的用户说明如何从Firefox证书存储库中导出AnyConnect证书,以及如何将它们导入到MacOSX密钥链。
以下步骤是可能需要告知AnyConnect用户的内容示例。
1导航到Firefox>首选项(Preferences)>高级(Advanced)的“证书”(Certificates)选项卡,然后 点击查看证书(ViewCertificates)。
2选择用于AnyConnect的证书,然后点击导出(Export)。
思科AnyConnect安全移动客户端版本说明,版本4.318 AnyConnect安全移动客户端版本说明,版本4.3 不支持MacOSX上的Firefox证书存储 您的AnyConnect证书很可能在“颁发机构”(Authorities)类别下。
请与您的证书管理员核实,因为这些证书可能在其他类别(“您的证书”[YourCertificates]或“服务器”[Servers])之下。
3选择一个位置用于保存证书,例如,位于桌面的文件夹。
4在“格式”(Format)下拉菜单中,选择X.509证书(DER)(X.509Certificate[DER])。
如果需要,将.der扩展名添加到证书名称。
注释如果使用/需要多个AnyConnect证书和/或私钥,请对每个证书重复上述流程)。
5启动秘钥链。
导航到“文件”(File)、“导入项目...”(ImportItems...),然后选择从Firefox导出的证书。
在“目标密钥链:”(DestinationKeychain:)中,选择所需的密钥链。
您公司使用的登录密钥链可能与本例中所用的登录密钥链不同。
请咨询证书管理员,了解应将您的证书导入哪个密钥链。
6在“目标密钥链:”(DestinationKeychain:)中,选择所需的密钥链。
您公司使用的登录密钥链可能与本例中所用的登录密钥链不同。
请咨询证书管理员,了解应将您的证书导入哪个密钥链。
思科AnyConnect安全移动客户端版本说明,版本4.319 AnyConnectUI因缺少依赖性libpangox出错 AnyConnect安全移动客户端版本说明,版本4.3 7对AnyConnect使用或需要的其他证书重复前述步骤。
AnyConnectUI因缺少依赖性libpangox出错 在许多较新的Linux分发版本中,AnyConnect用户界面可能会无法启动,并出现以下错误: errorwhileloadingsharedlibraries:libpangox-1.0.so.0:cannotopensharedobjectfile:Nosuchfileordirectory 缺失的库已过时且不再可用。
这会影响其他应用,而不仅仅是影响AnyConnect。
Pango已发布其他公司构建且可在线获得的兼容库的源代码。
要解决此问题,请查找并安装以下任一软件包pat-0.0.2-2.el7.x86_64.rpm或pat-0.0.2-3.fc20.x86_64.rpm。
SSLv3阻止HostScan正常工作 (CSCue04930)在ASDM中选择SSLv3“仅限SSLv3”(SSLv3only)或“协商SSLv3”(NegotiateSSLv3)选项时,HostScan不会正常工作(“配置”[Configuration]>“远程访问VPN”[RemoteessVPN]>“高级”[Advanced]>“SSL设置”[SSLSettings]>要作为服务器协商的安全设备的SSL版本)。
ASDM中会显示警告消息,用于提醒管理员。
修改sysctl网络设置导致的问题 我们发现存在AppleBroadbandTuner应用(从2005年起)与MacOSX10.9配合使用的实例。
该应用更改sysctl.conf中的网络设置,这可能导致连接问题。
该应用设计适用于更低版本的MacOS。
我们怀疑当前默认操作系统设置将宽带网络纳入考虑范围,因此大多数用户将无需采取任何措施。
思科AnyConnect安全移动客户端版本说明,版本4.320 AnyConnect安全移动客户端版本说明,版本4.3 Safari的WebLaunch问题 和AnyConnect3.1.04074一起运行经过修改的sysctl设置可能会生成以下消息: TheVPNclientdriverencounteredanerror..pleaserestart 验证若要验证问题原因是否为sysctl网络设置,请打开终端窗口并输入: sysctl-a|grepmaxsockbuf 如果结果包含远低于默认值8388608的值,例如: kern.ipc.maxsockbuf:512000 则此值可能已被AppleBroadbandTuner应用在/etc/sysctl.conf中覆盖 修复编辑/etc/sysctl.conf,对设置kern.ipc.maxsockbuf的行添加注释,然后重新启动计算机。
或如果除BroadbandTuner应用设置的自定义值外没有其他自定义值,则重命名或删除sysctl.conf。
Apple已知晓此问题,并已提交漏洞ID15542576。
Safari的WebLaunch问题 Safari的WebLaunch存在问题。
OSX10.9(Mavericks)随附的Safari版本中的默认安全设置阻止AnyConnectWebLaunch正常工作。
若要配置Safari允许使用WebLaunch,请如下所述,将ASA的URL编辑为不安全模式。
1打开Safari>首选项(Preferences)>安全(Security)>管理网站设置(ManageWebsite Settings)。
2点击ASA并选择在不安全模式下运行。
ActiveX升级可能会禁用WebLaunch 可使用受限用户帐户通过WebLaunch自动升级AnyConnect软件,但前提是不需要对ActiveX控件进行更改。
有时,由于安全修复或新增功能等原因,该控件将更改。
如果通过受限用户帐户调用时,该控件要求升级,那么管理员必须使用AnyConnect预安装程序、SMS、GPO或其他管理部署方法部署该控件。
Java7问题 Java7可能会导致AnyConnect安全移动客户端、HostScan、CSD和无客户端SSLVPN(WebVPN)出现问题。
有关问题和解决方法的说明,请参阅故障排除技术说明与AnyConnect,CSD/Hostscan和 思科AnyConnect安全移动客户端版本说明,版本4.321 Explorer、Java7和AnyConnect3.1.1互通性 AnyConnect安全移动客户端版本说明,版本4.3 WebVPN相关的Java7问题-故障排除指南。
详细信息请查阅“安全”(Security)>“思科Hostscan”(CiscoHostscan)下的思科文档。
Explorer、Java7和AnyConnect3.1.1互通性 Explorer的受支持版本在以下情况下停止运行:当用户尝试连接到ASA时、当终端上安装了Java7时,当ASA上安装并启用了HostScan时、当ASA上安装并启用了AnyConnect3.1.1时。
如果安装的是ActiveX或更低版本的Java7,此情况不会发生。
若要避免此问题,请在终端上使用Java的受支持版本,即低于Java7的版本。
请参阅BugToolkit和缺陷CSCuc48299进行验证。
配置“所有网络通过隧道”(TunnelAllNetworks)时应用隐式DHCP过滤器 在配置“所有网络通过隧道”(TunnelAllNetworks)的情况下,为了让本地DHCP流量能够不受阻碍地传输,AnyConnect在AnyConnect客户端连接时将向本地DHCP服务器添加特定路由。
为了防止此路由出现数据泄露,AnyConnect还对主机计算机的局域网适配器应用隐式过滤器,在该路由中阻止除DHCP流量外的所有流量。
系留设备上的AnyConnectVPN 思科仅在通过蓝牙或USB连接的AppleiPhone上通过AnyConnectVPN客户端资格审查。
对于其他连接设备提供的网络连接,应在部署前面向AnyConnectVPN客户端进行验证。
AnyConnect智能卡支持 AnyConnect在以下环境中支持智能卡提供的凭证:•Windows7、Windows8和Windows10中的MicrosoftCAPI1.0和CAPI2.0。
•macOS上的密钥链 注释AnyConnect不支持Linux或PKCS#11设备上的智能卡。
AnyConnect虚拟测试环境 思科使用以下虚拟机环境执行部分AnyConnect客户端测试:•VMWareESXiHypervisor(vSphere)4.0.1及更高版本•VMWareFusion2.x、3.x和4.x 我们不支持在虚拟环境中运行AnyConnect;但是,我们预期AnyConnect会在我们执行测试的VMWare环境中正常运行。
思科AnyConnect安全移动客户端版本说明,版本4.322 AnyConnect安全移动客户端版本说明,版本4.3 UTF-8字符对AnyConnect密码的支持 如果您在虚拟环境中遇到任何AnyConnect问题,请报告给我们。
我们将尽力解决这些问题。
UTF-8字符对AnyConnect密码的支持 与ASA8.4
(1)或更高版本配合使用的AnyConnect3.0或更高版本在使用RADIUS/MSCHAP和LDAP协议发送的密码中支持UTF-8字符。
禁用自动更新可能会因版本冲突而阻止连接 如果对运行AnyConnect的客户端禁用自动更新,ASA必须安装相同的AnyConnect版本或更低版本,否则客户端无法连接到VPN。
若要避免此问题,请在ASA上配置相同版本或更低版本的AnyConnect软件包,或通过启用自动更新将客户端升级到新版本。
网络访问管理器与其他连接管理器之间的互通性 当网络访问管理器运行时,它会对网络适配器进行独占控制,并会阻止其他软件连接管理器(包括Windows本地连接管理器)尝试建立连接。
因此,如果希望AnyConnect用户使用终端计算机上的其他连接管理器(例如iPassConnectMobilityManager),则必须通过网络访问管理器GUI上的“禁用客户端”(DisableClient)选项,或通过停止网络访问管理器服务,来禁用网络访问管理器。
网络接口卡驱动程序与网络访问管理器不兼容 Intel无线网络接口卡驱动程序版本12.4.4.5与网络访问管理器不兼容。
如果此驱动程序与网络访问管理器安装在同一终端上,可能会导致不一致的网络连接和Windows操作系统突然关闭。
避免SHA2证书验证失败(CSCtn59317) AnyConnect客户端利用证书的Windows密码运营商(CSP)对IPsec/IKEv2VPN连接的IKEv2身份验证阶段所需数据进行哈希计算和签名。
如果CSP不支持SHA2算法,且为伪随机功能(PRF)SHA256、SHA384或SHA512配置了ASA,并同时为证书或证书和AAA身份验证配置了连接配置文件(隧道组),则证书身份验证失败。
用户收到“证书验证失败”(CertificateValidationFailure)消息。
对于属于不支持SHA2类算法的CSP的证书,此验证失败仅发生在Windows上。
其他支持的操作系统不存在此问题。
若要避免此问题,可以将ASA上IKEv2策略的PRF配置为md5或sha(SHA1)。
或者,可以将证书CSP值修改为有效的本地CSP,例如Microsoft增强RSA和AES加密提供程序。
请勿将此变通方法应用于智能卡证书。
您不能更改CSP名称。
应联系智能卡提供商,获取支持SHA2算法的更新CSP。
注意如果未能正确执行下述变通操作,则可能会损坏用户证书。
指定证书更改时,请格外谨慎。
您可以使用MicrosoftCertutil.exe实用程序修改证书CSP值。
Certutil是管理WindowsCA的命令行实用程序,在MicrosoftWindowsServer2003管理工具包中提供。
您可以从以下URL下载工具包: 思科AnyConnect安全移动客户端版本说明,版本4.323 为HostScan配置防病毒应用 AnyConnect安全移动客户端版本说明,版本4.3 /downloads/en/details.aspx?
FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en 按以下步骤运行Certutil.exe和更改证书CSP值: 1打开终端计算机上的命令窗口。
2使用以下命令,查看用户存储中的证书及其当前的CSP值:certutil-store-userMy 以下示例显示了通过此命令显示的证书内容: ================Certificate0================SerialNumber:3b3be91200020000854bIssuer:CN=cert-issuer,OU=BostonSales,O=ExampleCompany,L=SanJose,S=CA,C=US,E=csmith@NotBefore:2/16/201110:18AMNotAfter:5/20/20248:34AMSubject:CN=CarolSmith,OU=SalesDepartment,O=ExampleCompany,L=SanJose,S=CA,C=US,E=csmith@Non-rootCertificateTemplate:CertHash(sha1):8627371be6775faa8eade620a31473b4ee7f8926 KeyContainer={F62E9BE8-B32F-4700-9199-67CCC86455FB}Uniquecontainername:46ab1403b52c6305cb226edd5276360f_c50140b9-ffef-4600-ada6-d09eb97a30f1Provider=MicrosoftEnhancedRSAandAESCryptographicProviderSignaturetestpassed 3识别证书的
在此示例中,CN是CarolSmith。
您会在下一步中需要此信息。
4使用以下命令修改证书CSP。
以下示例使用主题
您也可以使用其他属性。
在Windows7或更高版本上,使用此命令:certutil-csp"MicrosoftEnhancedRSAandAESCryptographicProvider"-f-repairstore-userMy
为HostScan配置防病毒应用 防病毒应用可能会将安全评估模块包括的部分应用以及HostScan软件包的行为错误解释为恶意。
在安装安全评估模块或HostScan软件包之前,将防病毒软件配置到“白名单”或将以下HostScan应用归为安全例外项: •cscan.exe•ciscod.exe•cstub.exe IKEv2不支持MicrosoftExplorer代理 IKEv2不支持公共侧MicrosoftExplorer代理。
如果您需要支持该功能,请使用SSL。
根据安全网关发送的配置指令,IKEv2和SSL均支持专用侧代理。
IKEv2应用从网关发送的代理配置,随后的HTTP流量应遵循该代理配置。
思科AnyConnect安全移动客户端版本说明,版本4.324 AnyConnect安全移动客户端版本说明,版本4.3 IKEv2可能要求对组策略进行MTU调整 IKEv2可能要求对组策略进行MTU调整 AnyConnect有时会接收并丢弃某些路由器的数据包片段,这会导致某些网络流量无法通过。
若要避免此问题,请降低MTU值。
我们建议使用1200。
以下示例展示如何使用CLI执行此操作: hostname#configthostname(config)#group-policyDfltGrpPolicyattributeshostname(config-group-policy)#webvpnhostname(config-group-webvpn)#anyconnectmtu1200 若要使用ASDM设置MTU,请转到配置(Configuration)>网络(客户端)访问(Network[Client]ess)>组策略(GroupPolicies)>添加(Add)或编辑(Edit)>高级(Advanced)>SSLVPN客户端(SSLVPNClient)。
使用DTLS时会自动调整MTU 如果DTLS启用失效对等项检测(DPD),客户端会自动确定路径MTU。
如果之前使用ASA降低了MTU,则应将该设置还原为默认值(1406)。
在建立隧道连接期间,客户端使用特殊DPD数据包自动调整MTU。
如果仍有问题,请如之前那样,使用ASA中的MTU配置来限制MTU。
网络访问管理器和组策略 WindowsActiveDirectory无线组策略管理部署到特定ActiveDirectory域中的PC上的无线设置和所有无线网络。
安装网络访问管理器时,管理员必须了解可能影响网络访问管理器行为的特定无线组策略对象(GPO)。
管理员应在执行完整GPO部署前针对网络访问管理器测试GPO策略设置。
以下GPO条件可能会阻止网络访问管理器按预期运行: •使用Windows7或更高版本时,仅对允许的网络使用组策略配置文件(OnlyuseGroupPolicyprofilesforworks)选项。
与网络访问管理器配合使用的FreeRADIUS配置 若要使用网络访问管理器,可能需要调整FreeRADIUS配置。
默认禁用所有与ECDH相关的密码,以防出现漏洞。
在/etc/raddb/eap.conf中,更改cipher_list值。
在无线接入点之间漫游时需要进行完整身份验证 当客户端在同一网络的无线接入点之间漫游时,运行Windows7或更高版本的移动终端必须执行完整的EAP身份验证,而不能利用更加快速的PMKID重新关联。
因此,在某些情况下,如果有效配置文件需要,AnyConnect会提示用户为每次完整身份验证输入凭证。
思科AnyConnect安全移动客户端版本说明,版本4.325 IPv6网络流量的思科云网络安全行为用户准则 AnyConnect安全移动客户端版本说明,版本4.3 IPv6网络流量的思科云网络安全行为用户准则 除非已指定IPv6地址、域名、地址范围或通配符,否则IPv6网络流量会被发送至扫描代理并由扫描代理执行DNS查找,以确定是否存在与用户尝试连接的URL对应的IPv4地址。
如果扫描代理找到IPv4地址,它会使用该地址进行连接。
如果未找到IPv4地址,则会终止连接。
如果希望所有IPv6流量绕过扫描代理,可以为所有IPv6流量添加此静态例外:/0。
执行此操作会使所有IPv6流量绕过所有扫描代理。
这意味着IPv6流量不受思科云网络安全的保护。
阻止局域网中的其他设备显示主机名 在用户使用AnyConnect在远程局域网上与Windows7或更高版本建立VPN会话后,用户局域网中其他设备上的网络浏览器会显示受保护远程网络上的主机的名称。
但是,其他设备无法访问这些主机。
若要确保AnyConnect主机阻止主机名(包括AnyConnect终端主机的名称)在子网间泄露,请将该终端配置为永不成为主要或备用浏览器。
1在“搜索程序和文件”(SearchProgramsandFiles)文本框中输入regedit。
2导航到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters\3双击MaintainServerList。
“编辑字符串”(EditString)窗口将打开。
1输入No。
2点击OK。
3关闭“注册表编辑器”(RegistryEditor)窗口。
证书吊销消息 在分发点仅内部可访问的情况下,如果AnyConnect尝试验证指定LDAP证书吊销列表(CRL)分发点的服务器证书,系统会在身份验证后显示AnyConnect证书吊销警告弹出窗口。
如果要避免显示此弹出窗口,请执行以下任一操作: •在没有任何隐私CRL要求的情况下获取证书。
•在Explorer中禁用服务器证书吊销检查。
注意在Explorer中禁用服务器证书吊销检查可能会对操作系统的其他用途产生严重安全影响。
思科AnyConnect安全移动客户端版本说明,版本4.326 AnyConnect安全移动客户端版本说明,版本4.3 本地化文件中的消息可以长达多行 本地化文件中的消息可以长达多行 如果尝试在本地化文件中搜索消息,这些消息可以长达多行,如以下示例所示: msgid"""Theserviceproviderinyourcurrentlocationisrestrictingesstothe""SecureGateway." MacOSX版AnyConnect部署于特定类型路由器之后时的性能 当MacOSX版AnyConnect客户端尝试与运行IOS的网关建立SSL连接时,或者当该AnyConnect客户端尝试使用特定类型的路由器(例如思科虚拟办公室[CVO]路由器)与ASA建立IPsec连接时,某些网络流量可以通过该连接,而其他流量则无法通过。
AnyConnect可能会错误地计算MTU。
若要解决此问题,请从MacOSX命令行使用以下命令,将AnyConnect适配器的MTU手动设置为较低的值:sudoifconfigutun0mtu1200(适用于MacOSXv10.7及更高版本) 防止Windows用户规避永远在线功能 在Windows计算机上,具有有限或标准权限的用户有时可能对其程序数据文件夹具有写入访问权限。
这让他们能够删除AnyConnect配置文件,由此规避永远在线功能。
若要避免这种情况,请将计算机配置为限制对C:\ProgramData文件夹的访问,或至少配置为限制对Cisco子文件夹的访问。
避免使用无线承载网络 使用Windows7或更高版本的无线承载网络功能会让AnyConnect变得不稳定。
使用AnyConnect时,不建议启用此功能或运行启用此功能的前端应用(例如Connectify或虚拟路由器)。
AnyConnect要求ASA配置为接受TLSv1流量 AnyConnect要求ASA接受TLSv1流量,而不是SSLv3流量。
SSLv3密钥派生算法在使用MD5和SHA-1时会弱化密钥派生。
SSLv3的后续协议TLSv1解决了SSLv3中存在的这一问题及其他安全问题。
因此,AnyConnect客户端无法使用“sslserver-version”的以下ASA设置建立连接:sslserver-versionsslv3sslserver-versionsslv3-only 在安装时与TrendMicro发生冲突 如果设备上有TrendMicro,网络访问管理器将因驱动程序冲突而不会安装。
可卸载TrendMicro或取消选中trendmonfirewalldriver来绕过该问题。
思科AnyConnect安全移动客户端版本说明,版本4.327 HostScan报告内容 AnyConnect安全移动客户端版本说明,版本4.3 HostScan报告内容 受支持的防病毒软件、反间谍软件和防火墙产品都不报告上次扫描时间信息。
HostScan报告以下信息: •对于防病毒软件和反间谍软件产品描述产品版本文件系统保护状态(主动扫描)数据文件时间(上次更新时间和时间戳) •对于防火墙产品描述产品版本是否已启用防火墙 长时间重新连接(CSCtx35606) 如果启用IPv6,且Explorer中启用了代理设置的自动发现或当前网络环境不支持代理设置的自动发现,那么可能在Windows中体验到长时间重新连接。
解决方法是,在当前网络环境不支持代理自动发现的情况下,断开VPN连接未使用的所有物理网络适配器或在IE中禁用代理自动发现。
在版本3.1.03103中,具有多宿主系统的用户也可能会体验到长时间重新连接。
具有有限权限的用户无法升级ActiveX 在Windows7或更高版本上,具有有限权限的用户帐户无法升级ActiveX控件,并因此无法使用网络部署方法升级AnyConnect客户端。
作为最安全的选项,思科建议用户通过连接到头端并升级来从应用内部升级客户端。
注释如果之前使用了管理员帐户在客户端上安装ActiveX控件,则用户可以升级ActiveX控件。
在Java安装程序失败时使用MacOSX上的手动安装选项 如果用户在Mac上从ASA头端使用WebLaunch来启动AnyConnect,且Java安装程序失败,将出现显示手动安装(ManualInstall)链接的对话框。
此时,用户应执行以下操作:1点击手动安装(ManualInstall)。
将出现对话框,显示保存包含OSX安装程序的.dmg文件的选 项。
思科AnyConnect安全移动客户端版本说明,版本4.328 AnyConnect安全移动客户端版本说明,版本4.3 没有主动密钥缓存(PKC)或CCKM支持 2打开文件并使用查找器浏览到安装卷来安装磁盘映像(.dmg)文件。
3打开终端窗口并使用CD命令导航到包含已保存文件的目录。
打开.dmg文件并运行安装程序。
4安装后,依次选择应用>思科>思科AnyConnect安全移动客户端以发起AnyConnect会话,或 者使用Launchpad。
没有主动密钥缓存(PKC)或CCKM支持 网络访问管理器不支持PKC或CCKM缓存。
在Windows7上,无法使用非思科无线网卡进行快速漫游。
AnyConnect安全移动客户端的应用编程接口 AnyConnect安全移动客户端包括应用编程接口(API),可供想要编写自己的客户端程序的用户使用。
API软件包包含文档、源文件和库文件,可支持CiscoAnyConnectVPN客户端的C++接口。
可以使用库和示例程序在Windows、Linux和MAC平台上构建。
Windows平台的生成文件(或项目文件)也包括在内。
对于其他平台,它包括展示如何编译示例代码的平台特定脚本。
网络管理员可以将应用(GUI、CLI或嵌入式应用)链接到此类文件和库。
您可以从下载API。
有关AnyConnectAPI的支持问题,请发送邮件到以下地址:anyconnect-api-support@。
AnyConnect警告 警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具(/bugsearch/)提供此版本中下列未解决和已解决的警告的相关详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
AnyConnectHostScan引擎更新4.3.05043 已解决警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
标识符 组件 标题 CSCvf69693 opswat-asa AnyConnectHostScan在从SEPv12升级后不检测SEPv14 思科AnyConnect安全移动客户端版本说明,版本4.329 AnyConnectHostScan引擎更新4.3.05038 AnyConnect安全移动客户端版本说明,版本4.3 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05038 已解决警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
标识符 组件 标题 CSCvb91798 opswat-asa HostScan不检测OSX上的Cylance保护 CSCvc54119 opswat-asa Hostscan/Opswat未能检测ESET6.3/6.4AV CSCvc95834 opswat-asa 在macOS上的DAP跟踪中未检测到KasperskyAS CSCvd09527CSCvd49209 opswat-asaopswat-asa HostScanv4.3.05019不检测适用于Macv2.3.0的McAfee终端保护中的McAfeeFW ENH:HostScan在macOS上添加了对SymantecEndpointProtection14的支持 CSCvd85556 opswat-asa HostScan不检测macOS上的BitDefender防病毒软件 CSCve37361 opswat-asa HS不检测RHEL7.2中的Sophos防病毒(Linux)软件 CSCve65939 opswat-asa HostScan4.3.05028无法检测TrendMicroWorryFreeBusinessSecurityAgent19.x CSCvf09519 opswat-asa HostScan未能检测Symantec终端保护14 CSCub32322 ASA安全评估 cstubshouldvalidateservercertificatesforasslconnection(cstub应验证用于ssl连接的服务器证书) CSCvb42287 posture-asa 从ISE升级-缺少安全评估模块 CSCvd34711 posture-asa 启用了webvpn或加密ikev2时,ASA显示良性LUA错误 思科AnyConnect安全移动客户端版本说明,版本4.330 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnectHostScan引擎更新4.3.05033 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05033 已解决警告用于描述思科软件版本中的意外行为或缺陷。
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
标识符 组件 标题 CSCvb91798 opswat-asa HostScan不检测OSX上的Cylance保护 CSCvc54119 opswat-asa HostScan/OPSWAT未能检测ESET6.3/6.4AV CSCvd09527 opswat-asa HostScanv4.3.05019不检测适用于Macv2.3.0的McAfee终端保护中的McAfeeFW CSCvd85556 opswat-asa HostScan不检测MacOSX上的Bitdefender防病毒软件 CSCvb42287CSCvd34711 posture-asaposture-asa 从ISE升级-缺少安全评估模块 启用了webvpn或加密ikev2时,ASA显示良性LUA错误 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05028 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表1:已解决 标识符CSCvc29995 组件opswat-asa 标题 显示McAfeeVirusScan和HIP的HostScan被检测为AS和AV 思科AnyConnect安全移动客户端版本说明,版本4.331 AnyConnectHostScan引擎更新4.3.05019 AnyConnect安全移动客户端版本说明,版本4.3 CSCvc35888CSCvc61772CSCvd51118 opswat-asaopswat-asaposture-asa HostScan-添加对AvastMacSecurity12.x的支持 HostScan4.3MR5不检测McAfee终端安全威胁防御10.2/10.5中的McAfeeFW Cscan崩溃-HostScanv4.3.05019 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnectHostScan引擎更新4.3.05019 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表2:已解决 标识符CSCvc62819 组件opswat-asa 标题 针对hostscan_4.3.05017启用DAP时,Windows7AnyConnect用户无法进行连接 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.05017 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表3:已解决 标识符CSCva28598 CSCvc12767 CSCus31169CSCvb88421CSCvb36328 组件核心层 标题 AnyConnect和VerizonJetpack(Netgear)导致Windows10出现BSOD问题 download_install对于Mac,卸载“ISE客户端调配”(ISEClientProvisioning)下的NAC代理不会卸载NAC nam NAM不应绑定到OpenVPN适配器 nam NAM过滤器驱动程序BSOD出自Windows10上的休眠文件 opswat-asa HostScan未检测到McAfeeTotalProtection14.0的组件 思科AnyConnect安全移动客户端版本说明,版本4.332 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.04027 标识符CSCvb58501 组件opswat-asa CSCvb93906CSCvb93911CSCvb93914CSCvb96961CSCvb99331CSCvc00397CSCvc02708CSCvc04355CSCvb34133CSCuu85646CSCva86546CSCux13191CSCvb63859CSCvc04354CSCvc05423 opswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-asaopswat-iseposture-asaposture-isevpnvpnvpnvpn 标题ENH:HostScan-添加对TrendMicroTitaniumMaximumSecurityv11的支持ENH:HostScan-添加对KasperskyAnti-Virus17.x的支持ENH:HostScan-添加对BitdefenderAntivirusPlus2017的支持ENH:HostScan-添加对NOD32Antivirusv10的支持HostScan不检测Mac10.2.1的McAfee终端安全ENH:HostScan添加对SymantecEndpointProtection14的支持LumensionAntivirusv8.3.0.73-activescan=internalerrorENH:HostScan-添加对VirusBusterCloud11.x(日语)的支持ENH:HostScan-添加对virusbusterCorp11(日语)的支持SCCM补救故障:您正在尝试的补救出现故障HostScan发送多个endpoint.certificate.user["XX"].subject_dc标记支持LANDesk10.x安全和修补程序管理器如果不存在hal-get-property,CLI无法进行连接适用于Linux的思科AC将敏感信息保留在内存中主页URL不能搭配AnyConnect4.3使用MacOS10.12(Sierra)IPv6地址隐私功能导致网络不稳定 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.04027 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表4:已解决 标识符CSCuv56832 组件certificate 标题AnyConnect证书日志增强 思科AnyConnect安全移动客户端版本说明,版本4.333 AnyConnect4.3.03086 AnyConnect安全移动客户端版本说明,版本4.3 标识符CSCvb43782CSCvb97610CSCuz34759CSCvb46561CSCuz55943CSCva86392CSCvb15872CSCvb37617CSCvb45916CSCvb49067CSCuv65460CSCva35797CSCvb52434CSCvb65170 组件核心层 标题升级到4.3MR1客户端导致在Windows7上出现BSOD问题 download_installAnyConnectUmbrella云更新检查通知的用户故障可能错误 gui GUI和文本消息自定义 posture-asa HostScan-(升级)在XFS文件系统(RHEL7)上不起作用 posture-ise AnyConnect4.x在关闭PRA计时器后,代理不会发送PRA更新 posture-ise AnyConnect合规性模块无法检测Norton6.x定义 posture-ise ISE2.1安全评估MacOSKasperskyLab产品 posture-ise 适用于Mac的AC安全评估模块版本4.3可能无法检测AV posture-ise 不能检测Kaspersky终端安全10.x umbrella 仅支持IPv6的网络中应打开Umbrella保护状态 vpn AC:在MacOSX中自动重新连接后会删除系统代理设置 vpn AnyConnect对CVE-2016-2177、CVE-2016-2178的评估 vpn TND策略位于可信网络中时未能断开连接 vpn OSX:无法传输ipv6无连接的分段流量 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.03086 若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表5:已解决 标识符CSCuy68051CSCva69697CSCuz27826 组件apiapi核心层 标题使用IKEv2时不显示证书过期警告客户API示例迁移为VisualStudio2015DHCP路由中断同一台服务器上的其他服务 思科AnyConnect安全移动客户端版本说明,版本4.334 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.03086 CSCva28494CSCvb43782 CSCva64096CSCvb01862CSCva84287 CSCva31341CSCvb64718CSCux64789 CSCva44991CSCvb34863CSCvb34863CSCut70079 CSCux03030 CSCuz80602 CSCva55838CSCvb02196CSCvb05479CSCvb17874CSCvb21345CSCvb36565 核心层核心层 dartguinam nvmposture-asa配置文件编辑器 umbrellaumbrellavpnvpn vpn vpn vpnvpnvpnvpnvpnvpn 关闭后DAP应禁用AC永远在线升级到4.3MR1客户端导致在Windows7上出现BSOD问题 Linux:DART中不复制安全评估日志AnyConnect4.2.x(4.x)GUI中自定义的消息格式不正确Windows10Anniversary更新中断AnyConnectNAM服务 vmagent几乎占用了MacOSX上3%的CPUHostScan未检测到MacOS10.12(Sierra)FW创建Websec客户端配置文件时,获得两次相同的错误消息 启用了ipv6的AC客户端上显示的保护状态不正确Umbrella漫游-拆分隧道延迟Umbrella漫游-拆分隧道延迟当AnyConnect故障转移到备份服务器时使用的服务器证书不受信任 使用PUBLIC代理和使用负载均衡的ASA代理(VIP)的ACOSX出现故障AnyConnectESP_ERROR_EXPIRED_SEQ-IPsec引擎遇到错误 AC探测,即便未启用相关组件不会从新安装的Windows10中删除AnyConnectDNS重新启动后未应用“应用最后的VPN本地资源规则”AnyConnectSBL未能检测智能卡证书提交IOSIKEv2凭证提示后,AnyConnect停止响应9.7.1SAML2.0AnyConnect-证书映射中断SAML身份验证 思科AnyConnect安全移动客户端版本说明,版本4.335 AnyConnect4.3.02039 AnyConnect安全移动客户端版本说明,版本4.3 CSCvb36651 CSCvb41365 CSCvb42478CSCvb50660CSCvb62962CSCva44152CSCvb29440 vpn vpn vpnvpnvpnWeb安全Web安全 9.7.1SAML2.0AnyConnect-HostScan在启用了SAML的TG上不起作用AnyConnect无法通过Windows10(1607)版本的代理进行连接 MacOS10.12-连接后AnyConnect崩溃-证书枚举无法传输无连接的分段流量(Mac上的AC4.3)OSX:Deflate压缩不起作用(无法传输数据)由于无加密的.config文件,ACWebsec崩溃AnyConnect网络安全与MS直接访问不兼容 表6:开放CSCvb42287CSCvb46561 posture-asaposture-asa 从ISE升级时丢失安全评估模块HostScan在XFS文件系统(RHEL7)上不起作用 若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.02039 已解决和未解决缺陷警告若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具。
表7:已解决 标识符 组件 标题 CSCuz59461核心层 AC客户端不发送“endpoint.anyconnect.devicetype” CSCva48371核心层 ACWebsec导致Windows10出现BSOD问题 CSCva58530download_installUbuntu:使用网络部署安装安全评估失败 思科AnyConnect安全移动客户端版本说明,版本4.336 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.01095 CSCuz80234guiCSCva64580guiCSCva40868namCSCux82427nvmCSCuy38610posture-asaCSCuz84937posture-asaCSCva36699posture-iseCSCva38809posture-iseCSCud02668Web安全CSCva67994Web安全 AC4.x自定义“正在检查合规性”消息 使用智能卡进行客户端证书身份验证时,AC4.3.x崩溃 在AnyConnect4.3上使用EAP-TLS进行计算机身份验证失败 重新访问CNAMEDNS请求的DNS缓存处理 HostScan初始化错误:Windows用户名包含非英语字母 HostScan时间戳针对Norton安全返回-
1 ISE不承认Windows10LTSB为受支持的操作系统 AC4.3安全评估模块为Windows10发送的用户代理错误 KDF中的FQDN功能:主机异常不认可https站点 ACWSPE并非允许的静态例外主机名 开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具。
AnyConnect4.3.01095 已解决和未解决缺陷警告要查找此版本已解决缺陷相关的最新信息,请参阅思科漏洞搜索工具。
表8:已解决 标识符 组件 标题 思科AnyConnect安全移动客户端版本说明,版本4.337 AnyConnect4.3.01095 AnyConnect安全移动客户端版本说明,版本4.3 CSCux46392核心层 IPv6-配置了IPv4DNS服务器时,IPsec拆分隧道无法运行 CSCuy01833核心层 除非定义了默认域,否则split-dns后缀不会添加到适配器中 CSCuz50259核心层 ACw/TND忽略CRL首选项设置
思科AnyConnect安全移动客户端版本说明,版本4.338 AnyConnect安全移动客户端版本说明,版本4.3 AnyConnect4.3.00748 AnyConnect4.3.00748 已解决和未解决缺陷警告要查找此版本已解决缺陷相关的最新信息,请参阅思科漏洞搜索工具。
表10:已解决 标识符certificate核心层核心层 guinvmnvmposture-asaposture-iseposture-iseposture-isevpnvpn 组件 标题 CSCuy12161AnyConnect应不再要求服务器证书具有密钥协议 CSCuy34417AnyConnect客户端配置文件列表不按字母顺序显示 CSCuy88042 当HostScan终端安全评估通过慢速网络链路操作失败时,请通知用户 CSCut27870 AnyConnect将在成功连接时显示感叹号 CSCux94887获取的Mac主机名应为计算机名称 CSCuy13416NVM无法获取流信息 CSCuz50866 HostScan未能检测McAfee磁盘加密 CSCuw81938AnyConnect安全评估模块在安全评估XML报告中发送非法字符 CSCux01500PM补救失败,显示错误的错误消息 CSCuz04267 AV/AS和PM补救对于标准用户不起作用 CSCuu68856IKEv2事件日志消息存在误导性 CSCuv74296 SBLdoesnotworkonWindows10(SBL在Windows10上无法正常工作) 思科AnyConnect安全移动客户端版本说明,版本4.339 AnyConnect4.3.00748 AnyConnect安全移动客户端版本说明,版本4.3 vpnvpnvpnWeb安全 CSCuw43845证书匹配规则应覆盖EKU的所有默认过滤规则 CSCux04097 Implementfailssafemechanismforhostsfile(主机文件实施故障安全机制) CSCuy78946AnyConnect不与Linux上的PEM存储区连接 CSCux63081 WebsecCertMgmt:如果p7b文件已被删除/重命名,则不会下载该文件 要查找此版本未解决缺陷相关的最新信息,请参阅思科漏洞搜索工具。
表11:开放 标识符posture-iseposture-iseposture-iseposture-isevpnvpn 标题 CM4.x不支持LANdesk“更新补救支持” 当初始PDP关闭时,循环利用的安全评估无法建立连接 某个Win7客户端上未执行USB补救 MacOSX10.9上的CMV4-AVG2015定义检查失败 VPN在确定WebsecTND之前和更改TND时被初始化 成功升级Mac后,WebSec服务无法运行 思科AnyConnect安全移动客户端版本说明,版本4.340 AnyConnect安全移动客户端版本说明,版本4.3 相关文档 相关文档 其他AnyConnect文档•思科AnyConnect安全移动客户端管理员指南,版本4.3•AnyConnect安全移动客户端功能、许可证和操作系统,版本4.3•AnyConnect安全移动客户端中使用的开源软件,版本4.4AnyConnect安全移动客户端中使用的开源软件,版本4.3•思科终端用户许可协议,AnyConnect安全移动客户端版本4.x ASA相关文档•思科ASA系列版本说明•思科ASA系列文档一览•思科ASA5500-X系列下一代防火墙配置指南•支持的VPN平台,思科ASA5500系列•HostScan支持图表 ISE相关文档•思科身份服务引擎版本说明,版本2.2•思科身份服务引擎管理员指南,版本2.2 思科AnyConnect安全移动客户端版本说明,版本4.341 相关文档 AnyConnect安全移动客户端版本说明,版本4.3 思科AnyConnect安全移动客户端版本说明,版本4.342 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:http:///go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何 其他公司之间存在合作伙伴关系。
(1110R) ©2017-2017CiscoSystems,Inc.Allrightsreserved.
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。