思科AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect安全移动客户端版本说明,版本4.
3这些版本说明提供Windows、MacOSX和Linux平台上的AnyConnect安全移动的相关信息.
AnyConnect版本4.
4.
x将成为所有4.
x漏洞的维护路径.
AnyConnect4.
0、4.
1、4.
2和4.
3客户必须升级到AnyConnect4.
4.
x,才能从未来的缺陷修复中受益.
AnyConnect4.
0.
x、4.
1.
x、4.
2.
x和4.
3.
x中发现的任何缺陷都只能在AnyConnect4.
4.
x维护版本中修复.
注释下载AnyConnect的最新版本开始之前若要下载AnyConnect的最新版本,您必须是Cisco.
com的注册用户.
步骤1点击此链接前往思科AnyConnect安全移动客户端产品支持页面:http://www.
cisco.
com/en/US/products/ps10884/tsd_products_support_series_home.
html.
步骤2登录Cisco.
com.
步骤3点击下载软件.
步骤4如果尚未选择最新版本,则展开最新版本(LatestReleases)文件夹并点击最新版本.
步骤5使用以下方法之一下载AnyConnect软件包:若要下载单一软件包,请查找要下载的软件包并点击下载(Download).
若要下载多个软件包,请点击软件包行的加入购物车(Addtocart),然后点击"下载软件"(DownloadSoftware)页面顶部的下载购物车(DownloadCart).
步骤6系统提示时,阅读并接受思科许可证协议.
步骤7选择用于保存下载文件的本地目录并点击保存(Save).
步骤8请参阅《思科AnyConnect安全移动客户端版本4.
x管理员指南》.
思科AnyConnect安全移动客户端版本说明,版本4.
31用于网络部署的AnyConnect软件包文件名AnyConnect网络部署软件包名称操作系统anyconnect-win-version-k9.
pkgWindowsanyconnect-macosx-i386-version-k9.
pkgmacOSanyconnect-linux-64-version-k9.
pkgLinux(64位)用于预部署的AnyConnect软件包文件名AnyConnect预部署软件包名称操作系统anyconnect-win-version-pre-deploy-k9.
isoWindowsanyconnect-macosx-i386-version-k9.
dmgmacOSanyconnect-predeploy-linux-64-version-k9.
tar.
gzLinux(64位)可另外下载的其他文件,它们有助于您向AnyConnect添加其他功能.
AnyConnectHostScan引擎更新4.
3.
05043的新功能AnyConnectHostScan4.
3.
05043是维护版本,包括仅针对HostScan模块作出的更新.
此版本中未对AnyConnect软件本身进行任何更新.
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.
3.
05043,第29页.
AnyConnectHostScan引擎更新4.
3.
05038的新功能AnyConnectHostScan4.
3.
05038是维护版本,包括仅针对HostScan模块作出的更新.
此版本中未对AnyConnect软件本身进行任何更新.
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.
3.
05038,第30页.
思科AnyConnect安全移动客户端版本说明,版本4.
32AnyConnect安全移动客户端版本说明,版本4.
3用于网络部署的AnyConnect软件包文件名AnyConnectHostScan引擎更新4.
3.
05033的新功能AnyConnectHostScan4.
3.
05033是维护版本,包括仅针对HostScan模块作出的更新.
此版本中未对AnyConnect软件本身进行任何更新.
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.
3.
05033,第31页.
AnyConnectHostScan引擎更新4.
3.
05028的新功能AnyConnectHostScan4.
3.
05028是维护版本,包括仅针对HostScan模块作出的更新.
此版本中未对AnyConnect软件本身进行任何更新.
对于4.
3版本的漏洞修复,请使用AnyConnect4.
4.
x,因为尚无计划针对4.
3.
x进行AnyConnect软件更新.
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.
3.
05028,第31页.
AnyConnectHostScan引擎更新4.
3.
05019的新功能AnyConnectHostScan4.
3.
05019是维护版本,包括仅针对HostScan模块作出的更新.
此版本中未对AnyConnect软件本身进行任何更新.
对于4.
3版本的漏洞修复,请使用AnyConnect4.
4.
x,因为尚无计划针对4.
3.
x进行AnyConnect软件更新.
有关此版本中与HostScan相关的警告修复列表,请参阅AnyConnectHostScan引擎更新4.
3.
05019,第32页.
AnyConnect4.
3.
05017的新功能AnyConnect4.
3.
05017是维护版本,包括增强功能,可以解决AnyConnect4.
3.
05017,第32页中所述的缺陷.
与Umbrella漫游安全插件相关的其他漏洞修复修复了Umbrella漫游安全插件中的以下漏洞(以及其他小的改进):Windows修复如果注册失败,插件可能会在没有正确策略的情况下应用DNS保护.
(仅限Windows10)网络适配器不会按正确的优先级顺序从系统返回.
支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载MacOSX修复(CSCvb49067)IPv6网络中应开启Umbrella保护状态在Umbrella插件注册期间检索终端主机名时出错支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载思科AnyConnect安全移动客户端版本说明,版本4.
33AnyConnect安全移动客户端版本说明,版本4.
3AnyConnectHostScan引擎更新4.
3.
05033的新功能AnyConnect4.
3.
04027的新功能AnyConnect4.
3.
04027是维护版本,包括增强功能,可以解决AnyConnect4.
3.
04027,第33页中所述的缺陷.
与Umbrella漫游安全插件相关的其他漏洞修复修复了Umbrella漫游安全插件中的以下漏洞(以及其他小的改进):Windows修复如果注册失败,插件可能会在没有正确策略的情况下应用DNS保护.
(仅限Windows10)网络适配器不会按正确的优先级顺序从系统返回.
支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载MacOSX修复(CSCvb49067)IPv6网络中应开启Umbrella保护状态在Umbrella插件注册期间检索终端主机名时出错支持云API可扩展性,以减少Umbrella后端云基础设施上Umbrella漫游插件的负载AnyConnect4.
3.
03086的新功能AnyConnect4.
3.
03086是一个包括以下增强功能的维护版本,可以解决AnyConnect4.
3.
03086,第34页中所述的缺陷.
作为Umbrella漫游安全模块的一部分引入了IP层实施功能.
使用此功能的要求不在《思科AnyConnect安全移动客户端管理员指南》的范围之内.
请参阅https://docs.
umbrella.
com/product/umbrella/6-adding-ip-layer-enforcement/,以获取有关IP层实施的信息.
AnyConnect4.
3.
02039的新功能AnyConnect4.
3.
02039是维护版本,包括以下功能和增强功能,可以解决AnyConnect4.
3.
02039,第36页中所述的缺陷.
配置文件编辑器的"静态例外"中添加了"主机名"选项可以使用AnyConnect的网络安全配置文件编辑器在思科云网络安全扫描中排除或包括终端流量.
使用思科AnyConnect安全移动客户端版本4.
3.
02039或更高版本,现在除IP地址外还可以添加主机名来排除扫描流量.
在配置文件编辑器的"静态例外"字段中,确定要从扫描中排除的主机名,网络安全则不会将这些HTTP/HTTPS流量转发到云网络安全代理进行检测.
如果您有多个主机名具有相同的IP地址,但仅在静态例外列表中配置了其中一个主机名,则网络安全将豁免该流量.
思科AnyConnect安全移动客户端版本说明,版本4.
34AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect4.
3.
04027的新功能如果您想豁免任何通过代理服务器的浏览器流量,则必须在HostExceptions中列出这些主机名,以使它们不会被转发.
对于流经ProxyException列表中未列出的代理的流量,不能仅配置静态例外.
AnyConnect4.
3.
01095的新功能AnyConnect4.
3.
01095是维护版本,引入了思科Umbrella漫游安全模块并可解决AnyConnect4.
3.
01095,第37页中所述的缺陷.
Umbrella漫游安全模块需要订用思科Umbrella漫游服务或OpenDNSUmbrella服务(专业、见解、平台或MSP).
思科Umbrella漫游在VPN处于非活动状态时提供DNS层安全,而OpenDNSUmbrella订用在网内和网外添加了智能代理和IP层实施功能.
另外,OpenDNSUmbrella订用提供内容过滤、多项策略、强大报告、活动目录集成等功能.
无论订用情况如何,都将使用相同的Umbrella漫游安全模块.
Umbrella漫游模块配置文件(OrgInfo.
json)会将各种部署与相对应的服务关联起来,并将自动启用相对应的保护功能.
可以通过Umbrella控制面板实时查看源自漫游安全模块的所有互联网活动.
策略和报告中的精细度级别取决于Umbrella订用情况.
有关各个服务级别订用中包含哪些功能的详细对比,请参阅https://www.
opendns.
com/enterprise-security/threat-enforcement/packages/.
使用Umbrella漫游安全和Web安全的互操作性在使用Umbrella漫游安全和网络安全模块时,要获得全部功能,必须配置主机排除并排除"网络安全"一章中定义的静态例外:http://www.
cisco.
com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect43/administration/guide/b_AnyConnect_Administrator_Guide_4-3/configure-web-security.
html.
否则,DNS保护可能会被完全绕过.
AnyConnect4.
3.
00748的新功能AnyConnect4.
3.
00748是主要版本,包括以下功能和增强功能,可以解决AnyConnect4.
3.
00748,第39页中所述的缺陷.
在网络可见性模块(NVM)中,调整从缓存向收集器发送数据的速率.
自定义NVM计时器,以便管理员可定义思科nvzFlow导出数据的时间.
NVM默认关闭广播和组播选项,并提供选择数据收集方法的选项.
在NVM中通过包括或排除某些字段进行匿名化处理,可创建匿名化配置文件,然后可将该配置文件与网络类型或连接方案关联.
其他NVM增强功能包括可以了解操作系统(OS)版本、OS容器中运行的功能以及存在哪些接口属性等.
能够禁用网络访问管理器发起的DHCP请求.
思科AnyConnect安全移动客户端版本说明,版本4.
35AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect4.
3.
01095的新功能(仅限Windows)通过USB大容量存储设备的安全评估客户端进行检测,并可以阻止或拒绝访问.
此功能依赖于OPSWATv4合规性模块.
引入了OPSWAT版本4,该版本在防恶意软件旗下结合了防病毒和反间谍软件功能.
在AnyConnect版本4.
3(或更高版本)或ISE2.
1(或更高版本)上使用ISE安全状态,可以选择使用OPSWATv3或v4.
安装StartBeforeLogon后,"网络连接"按钮将启动AnyConnectVPN和网络访问管理器UI.
可以禁止使用与未配备扩展密钥用法(EKU)的证书匹配的新配置文件编辑器的"首选项"选项.
详细了解AnyConnect日志形式证书的信息,以便更好地跟踪证书处理.
AnyConnect4.
3已迁移到VisualStudio(VS)2015版本环境,并且需要VS可再分发文件(作为安装软件包的一部分安装).
Ubuntu16.
04是合格的Linux版本.
重要互通性注意事项ISE头端与ASA头端共存如果同时使用ISE和ASA执行客户端安全评估,则两个头端上的配置文件必须匹配.
如果为终端调配了NAC代理,AnyConnect会忽略ISE1.
3服务器.
如果客户端上同时装有思科NAC代理和VPN安全评估(HostScan)模块,则思科NAC代理版本必须至少是4.
9.
4.
3或更高版本才能防止安全评估冲突.
如果在ISE中为终端调配了AnyConnect,NAC代理会忽略ISE1.
3服务器.
系统要求本节确定此版本的管理和终端要求.
有关终端操作系统支持和每项功能的许可证要求,请参阅AnyConnect安全移动客户端功能、许可证和操作系统.
思科无法保证与其他VPN第三方客户端的兼容性.
对AnyConnect配置文件编辑器的更改在安装配置文件编辑器前,必须安装Java版本6或更高版本的32位版本.
思科AnyConnect安全移动客户端版本说明,版本4.
36AnyConnect安全移动客户端版本说明,版本4.
3重要互通性注意事项AnyConnect的ISE要求ISE版本要求至少需要ISE1.
3才能将AnyConnect软件部署到终端,以及使用AnyConnect4.
0和更高版本中的新ISE安全评估模块对该终端进行安全评估.
ISE1.
3只能部署AnyConnect版本4.
0及更高版本.
更低版本的AnyConnect必须从ASA进行网络部署、使用SMS进行预部署或手动部署.
ISE许可要求若要从ISE头端部署AnyConnect并使用ISE安全评估模块,需要在ISE管理节点上安装思科ISEApex许可证.
有关ISE许可证的详细信息,请参阅《思科身份服务引擎管理员指南》的思科ISE许可证一章.
AnyConnect的ASA要求指定功能的最低ASA/ASDM版本要求必须升级到ASDM7.
5.
1才能使用NVM.
必须升级到ASDM7.
4.
2才能使用AMP启用程序.
必须升级到ASA9.
3(2)才能使用TLS1.
2.
如果要使用以下功能,必须升级到ASA9.
2(1):通过VPN执行ISE安全评估AnyConnect4.
x的ISE部署从此版本起支持ASA上的授权变更(CoA)如果要使用以下功能,必须升级到ASA9.
0:IPv6支持思科下一代"SuiteB"加密技术安全AnyConnect客户端延迟升级如果要执行以下操作,必须使用ASA8.
4(1)或更高版本:使用IKEv2.
使用ASDM编辑非VPN客户端配置文件(例如网络访问管理器、网络安全或遥感勘测).
使用思科IronPort网络安全设备支持的服务.
这些服务让您能够通过授权或拒绝所有HTTP和HTTPS请求,强制实施可接受的使用策略并保护终端不受不安全网站的侵害.
思科AnyConnect安全移动客户端版本说明,版本4.
37AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect的ISE要求部署防火墙规则.
如果部署永远在线VPN,则可能需要启用分隔隧道,并配置防火墙规则,仅允许本地打印和连接移动设备访问网络.
配置动态访问策略或组策略,让符合条件的VPN用户免于部署永远在线VPN.
当AnyConnect会话处于隔离状态时,请配置动态访问策略以在AnyConnectGUI中显示消息.
ASA内存要求使用AnyConnect4.
0或更高版本的所有ASA5500型号的建议最低闪存大小为512MB.
此配置可托管多个终端操作系统并在ASA上启用日志记录和调试.
由于ASA5505存在闪存大小限制(最大为128MB),并非所有AnyConnect软件包排列都将能够加载到此型号.
若要成功加载AnyConnect,软件包的大小需要减少到适应可用闪存的大小,即减少操作系统数、没有HostScan等.
注意在继续执行AnyConnect安装或升级前,检查可用空间大小.
可以使用以下方法之一执行相关操作:CLI-输入showmemory命令.
asa3#showmemoryFreememory:304701712bytes(57%)Usedmemory:232169200bytes(43%)Totalmemory:536870912bytes(100%)ASDM-选择"工具"(Tools)>"文件管理"(FileManagement).
"文件管理"(FileManagement)窗口会显示闪存空间.
如果ASA只有默认内部闪存大小或默认DRAM大小(对于缓存内存),则可能无法在ASA上存储和加载多个AnyConnect客户端软件包.
即使闪存有足够空间承载软件包文件,ASA也可能会在解压缩和加载客户端映像时耗尽缓存内存.
有关ASA内存要求以及升级ASA内存的其他信息,请参阅思科ASA5500系列最新版本说明.
VPN安全评估和Hostscan互通性通过VPN安全评估(HostScan)模块,思科AnyConnect安全移动客户端可以识别ASA主机中安装的操作系统、防病毒软件、反间谍软件和防火墙软件.
VPN安全评估(HostScan)模块需要思科Hostscan来收集这些信息.
CiscoHostScan作为单独的软件包提供,它定期使用新操作系统、防病毒软件、反间谍软件和防火墙软件信息进行更新.
思科建议您运行与AnyConnect版本相同的最新版本的HostScan.
从cisco.
com中可获取防病毒、反间谍软件和防火墙应用列表.
Firefox浏览器是用于打开支持图表的最轻松方式.
如果使用InternetExplorer,请将文件下载到计算机并将文件扩展名从.
zip更改为.
xlsm.
您可以使用MicrosoftExcel、MicrosoftExcelViewer或OpenOffice打开该文件.
思科AnyConnect安全移动客户端版本说明,版本4.
38AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect的ASA要求与不兼容的HostScan版本配合使用时,AnyConnect将不会建立VPN连接.
此外,思科不建议组合使用HostScan和ISE安全评估.
否则,运行两种不同的安全评估代理时会出现意外结果.
注释ISE安全评估合规性模块ISE安全评估合规性模块包含ISE安全评估支持的防病毒软件、反间谍软件和防火墙的列表.
HostScan列表按供应商编组,ISE安全评估列表则按产品类型编组.
当头端上的版本号(ISE或ASA)高于终端上的版本号时,OPSWAT就会更新.
这些升级是强制性的,无需最终用户干预即会自动进行.
库(zip文件)中的各个文件由OPSWAT公司进行数字签名,而库本身被打包为单个自解压的可执行文件,由思科证书进行代码签名.
您可以用MicrosoftExcel、MicrosoftExcelViewer或OpenOffice在以下位置查看图表:IOS对AnyConnect的支持思科支持将AnyConnectVPN用作安全网关来访问IOS版本15.
1(2)T;但是,IOS版本15.
1(2)T当前不支持以下AnyConnect功能:登录后永远在线的VPN连接失败策略提供本地打印机和系留设备访问的客户端防火墙最佳网关选择隔离AnyConnect配置文件编辑器有关IOS对AnyConnectVPN的支持的其他限制,请参阅CiscoIOSSSLVPN不支持的功能.
有关其他IOS功能支持的信息,请参阅http://www.
cisco.
com/go/fn.
AnyConnect支持的操作系统思科AnyConnect安全移动客户端所包含的模块支持以下操作系统:思科AnyConnect安全移动客户端版本说明,版本4.
39AnyConnect安全移动客户端版本说明,版本4.
3IOS对AnyConnect的支持Umbrella漫游安全AMP启用程序网络可视性模块客户体验反馈议价授权请求工具(DART)ISE终端安全评估VPN安全评估(HostScan)云网络安全网络访问管理器VPN客户端支持的操作系统是是是是是是是是是是Windows7SP1、8、8.
1和10x86(32位)和x64(64位)是是是是是是是是否是MacOSX10.
9、10.
10、10.
11和10.
121否否否是是否是否否是LinuxRedHat6、7和Ubuntu12.
04(LTS)、14.
04(LTS)和16.
04(LTS)(仅限64位)1MacOSX10.
12支持要求的最低版本是AnyConnect4.
3.
3086和4.
2.
6014.
MicrosoftWindows对AnyConnect的支持Windows要求Pentium级或更高级别的处理器.
100MB硬盘空间.
Microsoft安装程序版本3.
1.
如果是从以前的任意Windows版本升级到Windows8.
1,需要卸载AnyConnect,然后在Windows升级完成后重新安装AnyConnect.
如果是从WindowsXP升级到任意更高的Windows版本,需要执行全新安装,因为升级期间不会保留思科AnyConnect虚拟适配器.
请手动卸载AnyConnect,升级Windows,然后以手动方式或通过WebLaunch重新安装AnyConnect.
若要通过WebLaunch启动AnyConnect,必须使用Firefox3.
0+的32位版本,并启用ActiveX或安装SunJRE1.
4+.
使用Windows8或8.
1时,需要安装ASDM版本7.
02或更高版本.
思科AnyConnect安全移动客户端版本说明,版本4.
310AnyConnect安全移动客户端版本说明,版本4.
3MicrosoftWindows对AnyConnect的支持Windows限制WindowsRT不支持AnyConnect.
该操作系统不提供用于执行此功能的API.
思科已就这一问题向Microsoft提出请求.
需要此功能的用户应与Microsoft联系,表明对此很感兴趣.
其他第三方产品与Windows8不兼容会导致AnyConnect无法通过无线网络建立VPN连接.
下面就此问题提供两个示例:随Wireshark分发的WinPcap服务"远程数据包捕获协议v.
0(实验性)"不支持Windows8.
若要解决此问题,请卸载Wireshark或禁用WinPcap服务,重新启动Windows8计算机,然后重试AnyConnect连接.
不支持Windows8的过时无线网卡或无线网卡驱动程序阻止AnyConnect建立VPN连接.
若要解决此问题,请确保在Windows8计算机上安装支持Windows8的最新无线网卡或驱动程序.
AnyConnect未与Windows8上部署的新用户界面框架(称为Metro设计语言)集成,却在Windows8的桌面模式下运行.
HP保护工具无法与Windows8.
x上的AnyConnect配合使用.
不支持Windows2008;但是,我们不会阻止在此操作系统上安装AnyConnect.
此外,WindowsServer2008R2需要可选的SysWow64组件如果您在支持待机的系统上使用网络访问管理器,思科建议使用默认的Windows8.
x关联计时器值(5秒).
如果您发现Windows中的扫描列表比预期短,请增加关联计时器值,让驱动程序可以完成网络扫描和填充扫描列表.
Windows指南确保客户端系统上的驱动程序受Windows7或8支持.
不受支持的驱动程序可能会出现间歇性连接问题.
对于网络访问管理器,在Windows8或10/Server2012上使用计算机密码进行计算机身份验证不起作用,除非已将MicrosoftKB2743127中所述的注册表修复应用于客户端桌面.
此修复包括向HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa注册表项添加DWORD值LsaAllowReturningUnencryptedSecrets并将此值设置为1.
此更改允许本地安全机构(LSA)向诸如思科网络访问管理器之类的客户端提供计算机密码.
它与Windows8或10/Server2012中增加的默认安全设置有关.
使用计算机证书的计算机身份验证无需进行此更改,便可像在Windows8以前的操作系统上一样运行.
思科AnyConnect安全移动客户端版本说明,版本4.
311AnyConnect安全移动客户端版本说明,版本4.
3MicrosoftWindows对AnyConnect的支持计算机身份验证允许在用户登录之前,向网络验证客户端桌面的身份.
在此期间,管理员可以执行此客户端计算机的计划管理任务.
EAP链接功能也需要使用计算机身份验证,这样,RADIUS服务器便可以针对特定客户端同时验证用户和计算机的身份.
在此过程中,将识别公司资产并应用适当的访问策略.
例如,如果这是个人资产(PC/笔记本电脑/平板电脑),但使用的是公司凭证,终端将无法通过计算机身份验证,但可成功通过用户身份验证,并会向该用户的网络连接应用相应的网络访问限制.
注释在Windows8中,"首选项"(Preferences)>"VPN">"统计信息"(Statistics)选项卡上的"导出统计信息"(ExportStats)按钮会将文件保存在桌面.
而在其他Windows版本中,系统会询问用户要将文件保存在什么位置.
AnyConnectVPN与3G数据卡兼容,这种数据卡可通过WWAN适配器与Windows7或更高版本建立连接.
Linux对AnyConnect的支持Linux要求x86指令集.
64位处理器.
32MBRAM.
20MB硬盘空间.
安装需要具备超级用户权限.
libstdc++用户必须拥有libstdc++.
so.
6(GLIBCXX_3.
4)或更高版本,但必须低于版本4.
Java5(1.
5)或更高版本.
唯一适用于网络安装的版本为SunJava.
必须安装SunJava并将浏览器配置为使用SunJava而不是默认软件包.
zlib-用于支持SSLdeflate压缩xterm-仅在通过WebLaunch从ASA无客户端门户对AnyConnect进行初始部署时需要.
gtk2.
0.
0.
gdk2.
0.
0.
libpango1.
0.
iptables1.
2.
7a或更高版本.
随内核2.
4.
21或2.
6提供的tun模块.
思科AnyConnect安全移动客户端版本说明,版本4.
312AnyConnect安全移动客户端版本说明,版本4.
3Linux对AnyConnect的支持Mac对AnyConnect的支持Mac要求AnyConnect需要50MB的硬盘空间.
要使用Mac正确操作,AnyConnect的显示分辨率至少需要为1024x640像素.
Mac准则MacOSX10.
8推出了一项称为Gatekeeper的新功能,该功能可限制允许在系统上运行的应用.
您可选择允许从以下位置下载的应用:MacAppStoreMacAppStore和已确定的开发商任何地点默认设置为MacAppStoreandidentifieddevelopers(已签名的应用).
AnyConnect是签名的应用,但并非以Apple证书进行签名.
这意味着您必须选择"任何地点"(Anywhere)设置或使用Ctrl键绕过选定的设置,以从预部署安装实现AnyConnect的安装和运行.
进行网络部署或已安装AnyConnect的用户不受影响.
有关详细信息,请参阅:http://www.
apple.
com/macosx/mountain-lion/security.
html.
WebLaunch或操作系统升级(例如10.
7到10.
8)会按预期安装.
只有预部署安装因为Gatekeeper的原因而需要额外的配置.
注释AnyConnect许可有关最新的最终用户许可协议,请参阅《思科最终用户许可协议,AnyConnect安全移动客户端版本4.
x》.
有关我们的开源许可确认,请参阅AnyConnect安全移动客户端中使用的开源软件.
若要从ISE头端部署AnyConnect并使用ISE安全评估模块,需要在ISE管理节点上安装思科ISEApex许可证.
有关ISE许可证的详细信息,请参阅思科身份服务引擎的思科ISE许可证一章.
若要从ASA头端部署AnyConnect并使用VPN和VPN安全评估(HostScan)模块,需要使用AnyConnect4.
XPlus或Apex许可证、提供试用版许可证,请参阅思科AnyConnect订购指南.
有关AnyConnect4.
XPlus和Apex许可证的概述及各种功能所需的许可证说明,请参阅AnyConnect安全移动客户端功能、许可证和操作系统.
思科AnyConnect安全移动客户端版本说明,版本4.
313AnyConnect安全移动客户端版本说明,版本4.
3Mac对AnyConnect的支持AnyConnect安装概述部署AnyConnect指安装、配置和升级AnyConnect客户端及其相关文件.
可通过以下方法为远程用户部署思科AnyConnect安全移动客户端:预部署-新安装和升级可以由最终用户执行,也可以由企业软件管理系统(SMS)执行.
网络部署-AnyConnect软件包在头端(ASA或ISE服务器)加载.
当用户连接到ASA或ISE时,AnyConnect会部署到客户端.
对于新安装,用户可连接到头端以下载AnyConnect客户端.
客户端可手动或自动安装(通过网络启动).
更新由已安装AnyConnect的系统上运行的AnyConnect完成,或者通过将用户定向至ASA无客户端门户完成.
云更新-在部署Umbrella漫游安全模块后,可以使用上述方法之一以及云更新来更新任何AnyConnect模块.
通过云更新,可自动从Umbrella云基础设施获得软件升级,且更新跟踪将取决于该软件升级,而非管理员的任何操作.
默认情况下,将禁用通过云更新进行自动更新.
部署AnyConnect时,可以将用于启用额外功能的可选模块以及用于配置VPN和其他功能的客户端配置文件包含在内.
请注意以下事项:可以预部署所有AnyConnect模块和配置文件.
预部署时,必须特别注意模块安装顺序和其他细节.
客户体验反馈模块和VPN安全评估模块使用的Hostscan软件包不能从ISE进行网络部署.
ISE安全评估模块所使用的合规性模块不能从ASA进行网络部署.
有关部署AnyConnect模块的详细信息,请参阅《思科AnyConnect安全移动客户端版本4.
3管理员指南》.
只要升级到新的AnyConnect软件包,请务必使用CCO提供的最新版本更新本地化MST文件.
注释从3.
1MR10AnyConnect客户端升级/不兼容问题将AnyConnect3.
1.
10010自动部署到终端后,无法连接到使用不兼容的AnyConnect版本4.
0、4.
1、4.
1MR2、4.
2和4.
3配置的安全网关.
如果尝试从AnyConnect3.
1MR10版本升级到AnyConnect4.
1MR4(或更高版本)或高于3.
1.
10010的3.
1版本以外的任何版本,将收到不允许升级的通知.
有关详细信息,请参阅CSCuv12386.
从AnyConnect3.
0或更高版本升级从AnyConnect安全移动客户端版本3.
0或更高版本升级时,AnyConnect会执行以下操作:思科AnyConnect安全移动客户端版本说明,版本4.
314AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect安装概述升级核心客户端的所有之前版本并保留所有VPN配置.
升级AnyConnect所使用的任何HostScan文件.
从AnyConnect2.
5及更低版本升级从AnyConnect的任何2.
5.
x版本升级时,AnyConnect安全移动客户端会执行以下操作:升级核心客户端的所有之前版本并保留所有VPN配置.
升级AnyConnect所使用的任何HostScan文件.
如果安装网络访问管理器,AnyConnect会保留所有CSSC5.
x配置,以供网络访问管理器使用,并随后删除CSSC5.
x.
不会升级或删除CiscoIPsecVPN客户端.
但是,AnyConnect客户端可在计算机上与IPsecVPN客户端共存.
不会升级并无法与CiscoScanSafeAnyWhere+共存.
必须在安装AnyConnect安全移动客户端前卸载AnyWhere+.
如果从传统CiscoVPN客户端升级,物理适配器的MTU值可能已降低到1300.
应针对每个适配器将MTU值还原为默认值(通常为1500),以在使用AnyConnect时获得最优性能.
不支持使用ASA或WebLaunch从AnyConnect2.
2升级.
必须先卸载AnyConnect2.
2,然后手动或使用SMS安装新版本.
注释在64位Windows上进行基于Web的安装可能会失败此问题适用于Windows7和8上的InternetExplorer10和11.
当Windows注册表项HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\TabProcGrowth设置为0时,ActiveX在AnyConnect网络部署期间会出现问题.
有关详细信息,请参阅http://support.
microsoft.
com/kb/2716529.
解决方案为:运行InternetExplorer的32位版本.
将注册表项编辑为非零值,或从注册表删除该值.
在Windows8上,如果运行64位版本,从Windows开始屏幕启动InternetExplorer.
如果运行32位版本,则从桌面启动.
注释思科AnyConnect安全移动客户端版本说明,版本4.
315AnyConnect安全移动客户端版本说明,版本4.
3从AnyConnect2.
5及更低版本升级AnyConnect支持策略思科仅根据最近发布的4.
x版本提供修复补丁和增强功能.
签订了AnyConnect4.
x条款/合同、条款/合同有效且正在运行已发布AnyConnect4.
x版本的任何客户均可获得TAC支持.
如果使用过时的软件版本遇到问题,系统可能会要求您验证当前的维护版本是否可解决问题.
只有已安装最新修复补丁的AnyConnect4.
x版本才能访问软件中心.
我们建议您下载适合您部署的所有映像,因为我们无法保证您想要部署的版本将来是否仍可供下载.
规定和限制当安装了网络访问管理器时,Microsoft无意中阻止了Windows10的更新当安装了网络访问管理器时,Microsoft旨在阻止对较早版本Windows的更新,但无意中也阻止了Windows10和CreatorsEdition(RS2).
由于发生错误(MicrosoftSysdev11911272),您必须首先卸载网络访问管理器模块,才能升级到CreatorsEditor(RS2).
然后,可以在升级后重新安装该模块.
Microsoft计划于2017年6月推出针对此错误的修复.
Windows10Defender误报-思科AnyConnect适配器问题当升级到Windows10CreatorUpdate(2017年4月)时,您可能会收到WindowsDefender消息,说AnyConnect适配器出现问题.
WindowsDefender指示您在"设备性能和运行状况"(DevicePerformanceandHealth)部分下启用适配器.
实际上,不使用该适配器时应将其禁用,不应采取手动操作.
这种误报错误会以Sysdev#11295710代码报告给Microsoft.
AnyConnect4.
4MR1(或更高版本)和4.
3MR5与Windows10Creators版本(RS2)兼容.
与MicrosoftWindows10的AnyConnect兼容性AnyConnect4.
1MR4(4.
1.
04011)及更高版本与Windows10正式版兼容.
技术支持中心(TAC)支持从2015年7月29日开始提供.
为获得最佳效果,我们建议在Windows10系统上执行AnyConnect的全新安装,而不要从Windows7/8/8.
1升级.
如果计划从已预安装AnyConnect的Windows7/8/8.
1升级,请确保先升级AnyConnect,然后再升级操作系统.
在升级到Windows10之前,必须卸载网络访问管理器模块.
在系统升级完成后,可以在系统上重新安装网络访问管理器.
还可以选择完全卸载AnyConnect,然后在升级到Windows10后,重新安装一个受支持的版本.
新拆分包含隧道行为(CSCum90946)过去,如果拆分-包含(split-include)网络是本地子网的超网,则不会通过隧道传输本地子网流量,除非配置的拆分-包含(split-include)网络与本地子网完全匹配.
随着对CSCum90946的解析,当拆分-思科AnyConnect安全移动客户端版本说明,版本4.
316AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect支持策略包含(split-include)网络是本地子网的超网时,本地子网流量可通过隧道传输,除非在访问列表(ACE/ACL)中还配置了拆分-包含(split-include)(拒绝0.
0.
0.
0/32或::/128).
如果在拆分-包含(split-include)中配置了超网并且所需行为是要允许LocalLan访问,则需要对新行为进行以下配置:访问列表(ACE/ACL)必须同时包含针对超网的许可操作以及针对0.
0.
0.
0/32或::/128的拒绝操作.
在AnyConnect配置文件中启用"本地LAN访问"(LocalLANAccess)(在配置文件编辑器的"首选项第1部分"[PreferencesPart1]菜单中).
(另外,您还可以使用该选项将其设为用户可控制.
)Microsoft正在逐步淘汰SHA-1支持2017年2月14日后,WindowsInternetExplorer11/Edge浏览器或WindowsAnyConnect终端使用SHA-1证书的安全网关或以SHA-1为中间证书的证书可能不再被视为有效.
2017年2月14日后,Windows终端可能认为使用SHA-1证书的安全网关或中间证书不再可信.
我们强烈建议您的安全网关不要使用SHA-1身份证书,也不要再使用SHA-1作为任何中间证书.
Microsoft已对其原有的记录和计时计划进行修改.
他们发布了有关如何测试2017年2月的变更是否会影响您的环境的详细信息.
对于使用SHA-1安全网关或中间证书或运行旧版AnyConnect的客户,思科无法对AnyConnect的正常运行做出任何保证.
思科强烈建议客户密切关注AnyConnect的最新维护版本,以确保随时获取所有可用的修复补丁.
签有有效AnyConnectPlus、Apex和仅VPN条款/合同的客户,可通过Cisco.
com软件中心获取最新版本AnyConnect4.
x及更高版本.
不再对AnyConnect版本3.
x实施主动维护,亦不应再使用它们进行任何部署.
在Microsoft逐步淘汰SHA-1的同时,思科已确认AnyConnect4.
3和4.
4(及更高版本)可以继续正常运行.
长期来看,Microsoft计划在所有环境下的Windows中都不再信任SHA-1,但他们当前的公告尚未就此提供任何细节或时间信息.
根据淘汰的确切日期,许多较早版本的AnyConnect随时可能无法再正常运行.
有关更多信息,请参阅Microsoft公告.
注释使用SHA512证书进行身份验证时,身份验证失败(对于Windows7、8和8.
1用户),当客户端使用SHA512证书进行身份验证时,身份验证失败,即使客户端日志显示该证书处于使用状态,亦不例外.
ASA日志可正确显示AnyConnect未发送任何证书.
Windows的这些版本要求您在TLS1.
2中启用对SHA512证书的支持,系统默认情况下不支持该证书.
要了解如何对这些SHA512证书提供支持,请参阅https://support.
microsoft.
com/en-us/kb/2973337.
不再支持RC4TLS密码套件从AnyConnect版本4.
2.
01035开始,因安全策略增强功能而不再支持RC4TLS密码套件.
思科AnyConnect安全移动客户端版本说明,版本4.
317AnyConnect安全移动客户端版本说明,版本4.
3Microsoft正在逐步淘汰SHA-1支持OpenSSL密码套件更改由于OpenSSL标准开发团队将部分密码套件标记为已被泄露,在AnyConnect3.
1.
05187以外,我们不再对这些密码套件提供支持.
不受支持的密码套件如下:DES-CBC-SHA、RC4-SHA和RC4-MD5.
同样,我们的加密工具包已中断对RC4密码的支持;因此,我们对其的相应支持也将随版本3.
1.
13011和4.
2.
01035等终止.
网络可视性模块与LittleSnitch防火墙不兼容网络可视性模块与MacOSX上的LittleSnitch防火墙不兼容.
MacOSXElCapitan10.
11对AnyConnect的支持MacOSXElCapitan10.
11操作系统支持思科AnyConnect安全移动客户端.
在ISE安全评估中使用日志跟踪在全新安装后,您会按预期看到ISE安全评估日志跟踪消息.
但是,如果进入ISE安全评估配置文件编辑器并将"启用代理日志跟踪"(EnableAgentLogTrace)文件更改为0(禁用),则必须执行AnyConnect服务重新启动来获得预期结果.
在Mac上使用ISE安全评估的互通性如果使用MacOSX10.
9或更高版本并想要使用ISE安全评估,可能需要执行以下操作来避免出现问题:在安全评估期间,关闭证书验证以避免出现"无法联系策略服务器"(failedtocontactpolicyserver")错误.
禁用强制网络门户应用;否则,发现探测会被阻止,且应用仍会处于安全评估前的ACL状态.
不支持MacOSX上的Firefox证书存储MacOSX上的Firefox证书存储在存储时提供允许所有用户修改存储内容的权限,这让未授权用户或进程能够将非法CA添加到受信任的根存储中.
Anyconnect不再将Firefox存储用于服务器验证或客户端证书.
如有必要,请向您的用户说明如何从Firefox证书存储库中导出AnyConnect证书,以及如何将它们导入到MacOSX密钥链.
以下步骤是可能需要告知AnyConnect用户的内容示例.
1导航到Firefox>首选项(Preferences)>高级(Advanced)的"证书"(Certificates)选项卡,然后点击查看证书(ViewCertificates).
2选择用于AnyConnect的证书,然后点击导出(Export).
思科AnyConnect安全移动客户端版本说明,版本4.
318AnyConnect安全移动客户端版本说明,版本4.
3OpenSSL密码套件更改您的AnyConnect证书很可能在"颁发机构"(Authorities)类别下.
请与您的证书管理员核实,因为这些证书可能在其他类别("您的证书"[YourCertificates]或"服务器"[Servers])之下.
3选择一个位置用于保存证书,例如,位于桌面的文件夹.
4在"格式"(Format)下拉菜单中,选择X.
509证书(DER)(X.
509Certificate[DER]).
如果需要,将.
der扩展名添加到证书名称.
如果使用/需要多个AnyConnect证书和/或私钥,请对每个证书重复上述流程).
注释5启动秘钥链.
导航到"文件"(File)、"导入项目.
.
.
"(ImportItems.
.
.
),然后选择从Firefox导出的证书.
在"目标密钥链:"(DestinationKeychain:)中,选择所需的密钥链.
您公司使用的登录密钥链可能与本例中所用的登录密钥链不同.
请咨询证书管理员,了解应将您的证书导入哪个密钥链.
6在"目标密钥链:"(DestinationKeychain:)中,选择所需的密钥链.
您公司使用的登录密钥链可能与本例中所用的登录密钥链不同.
请咨询证书管理员,了解应将您的证书导入哪个密钥链.
思科AnyConnect安全移动客户端版本说明,版本4.
319AnyConnect安全移动客户端版本说明,版本4.
3不支持MacOSX上的Firefox证书存储7对AnyConnect使用或需要的其他证书重复前述步骤.
AnyConnectUI因缺少依赖性libpangox出错在许多较新的Linux分发版本中,AnyConnect用户界面可能会无法启动,并出现以下错误:errorwhileloadingsharedlibraries:libpangox-1.
0.
so.
0:cannotopensharedobjectfile:Nosuchfileordirectory缺失的库已过时且不再可用.
这会影响其他应用,而不仅仅是影响AnyConnect.
Pango已发布其他公司构建且可在线获得的兼容库的源代码.
要解决此问题,请查找并安装以下任一软件包pangox-compat-0.
0.
2-2.
el7.
x86_64.
rpm或pangox-compat-0.
0.
2-3.
fc20.
x86_64.
rpm.
SSLv3阻止HostScan正常工作(CSCue04930)在ASDM中选择SSLv3"仅限SSLv3"(SSLv3only)或"协商SSLv3"(NegotiateSSLv3)选项时,HostScan不会正常工作("配置"[Configuration]>"远程访问VPN"[RemoteAccessVPN]>"高级"[Advanced]>"SSL设置"[SSLSettings]>要作为服务器协商的安全设备的SSL版本).
ASDM中会显示警告消息,用于提醒管理员.
修改sysctl网络设置导致的问题我们发现存在AppleBroadbandTuner应用(从2005年起)与MacOSX10.
9配合使用的实例.
该应用更改sysctl.
conf中的网络设置,这可能导致连接问题.
该应用设计适用于更低版本的MacOS.
我们怀疑当前默认操作系统设置将宽带网络纳入考虑范围,因此大多数用户将无需采取任何措施.
思科AnyConnect安全移动客户端版本说明,版本4.
320AnyConnect安全移动客户端版本说明,版本4.
3AnyConnectUI因缺少依赖性libpangox出错和AnyConnect3.
1.
04074一起运行经过修改的sysctl设置可能会生成以下消息:TheVPNclientdriverencounteredanerror.
.
pleaserestart验证若要验证问题原因是否为sysctl网络设置,请打开终端窗口并输入:sysctl-a|grepmaxsockbuf如果结果包含远低于默认值8388608的值,例如:kern.
ipc.
maxsockbuf:512000则此值可能已被AppleBroadbandTuner应用在/etc/sysctl.
conf中覆盖修复编辑/etc/sysctl.
conf,对设置kern.
ipc.
maxsockbuf的行添加注释,然后重新启动计算机.
或如果除BroadbandTuner应用设置的自定义值外没有其他自定义值,则重命名或删除sysctl.
conf.
Apple已知晓此问题,并已提交漏洞ID15542576.
Safari的WebLaunch问题Safari的WebLaunch存在问题.
OSX10.
9(Mavericks)随附的Safari版本中的默认安全设置阻止AnyConnectWebLaunch正常工作.
若要配置Safari允许使用WebLaunch,请如下所述,将ASA的URL编辑为不安全模式.
1打开Safari>首选项(Preferences)>安全(Security)>管理网站设置(ManageWebsiteSettings).
2点击ASA并选择在不安全模式下运行.
ActiveX升级可能会禁用WebLaunch可使用受限用户帐户通过WebLaunch自动升级AnyConnect软件,但前提是不需要对ActiveX控件进行更改.
有时,由于安全修复或新增功能等原因,该控件将更改.
如果通过受限用户帐户调用时,该控件要求升级,那么管理员必须使用AnyConnect预安装程序、SMS、GPO或其他管理部署方法部署该控件.
Java7问题Java7可能会导致AnyConnect安全移动客户端、HostScan、CSD和无客户端SSLVPN(WebVPN)出现问题.
有关问题和解决方法的说明,请参阅故障排除技术说明与AnyConnect,CSD/Hostscan和思科AnyConnect安全移动客户端版本说明,版本4.
321AnyConnect安全移动客户端版本说明,版本4.
3Safari的WebLaunch问题WebVPN相关的Java7问题-故障排除指南.
详细信息请查阅"安全"(Security)>"思科Hostscan"(CiscoHostscan)下的思科文档.
InternetExplorer、Java7和AnyConnect3.
1.
1互通性InternetExplorer的受支持版本在以下情况下停止运行:当用户尝试连接到ASA时、当终端上安装了Java7时,当ASA上安装并启用了HostScan时、当ASA上安装并启用了AnyConnect3.
1.
1时.
如果安装的是ActiveX或更低版本的Java7,此情况不会发生.
若要避免此问题,请在终端上使用Java的受支持版本,即低于Java7的版本.
请参阅BugToolkit和缺陷CSCuc48299进行验证.
配置"所有网络通过隧道"(TunnelAllNetworks)时应用隐式DHCP过滤器在配置"所有网络通过隧道"(TunnelAllNetworks)的情况下,为了让本地DHCP流量能够不受阻碍地传输,AnyConnect在AnyConnect客户端连接时将向本地DHCP服务器添加特定路由.
为了防止此路由出现数据泄露,AnyConnect还对主机计算机的局域网适配器应用隐式过滤器,在该路由中阻止除DHCP流量外的所有流量.
系留设备上的AnyConnectVPN思科仅在通过蓝牙或USB连接的AppleiPhone上通过AnyConnectVPN客户端资格审查.
对于其他连接设备提供的网络连接,应在部署前面向AnyConnectVPN客户端进行验证.
AnyConnect智能卡支持AnyConnect在以下环境中支持智能卡提供的凭证:Windows7、Windows8和Windows10中的MicrosoftCAPI1.
0和CAPI2.
0.
macOS上的密钥链AnyConnect不支持Linux或PKCS#11设备上的智能卡.
注释AnyConnect虚拟测试环境思科使用以下虚拟机环境执行部分AnyConnect客户端测试:VMWareESXiHypervisor(vSphere)4.
0.
1及更高版本VMWareFusion2.
x、3.
x和4.
x我们不支持在虚拟环境中运行AnyConnect;但是,我们预期AnyConnect会在我们执行测试的VMWare环境中正常运行.
思科AnyConnect安全移动客户端版本说明,版本4.
322AnyConnect安全移动客户端版本说明,版本4.
3InternetExplorer、Java7和AnyConnect3.
1.
1互通性如果您在虚拟环境中遇到任何AnyConnect问题,请报告给我们.
我们将尽力解决这些问题.
UTF-8字符对AnyConnect密码的支持与ASA8.
4(1)或更高版本配合使用的AnyConnect3.
0或更高版本在使用RADIUS/MSCHAP和LDAP协议发送的密码中支持UTF-8字符.
禁用自动更新可能会因版本冲突而阻止连接如果对运行AnyConnect的客户端禁用自动更新,ASA必须安装相同的AnyConnect版本或更低版本,否则客户端无法连接到VPN.
若要避免此问题,请在ASA上配置相同版本或更低版本的AnyConnect软件包,或通过启用自动更新将客户端升级到新版本.
网络访问管理器与其他连接管理器之间的互通性当网络访问管理器运行时,它会对网络适配器进行独占控制,并会阻止其他软件连接管理器(包括Windows本地连接管理器)尝试建立连接.
因此,如果希望AnyConnect用户使用终端计算机上的其他连接管理器(例如iPassConnectMobilityManager),则必须通过网络访问管理器GUI上的"禁用客户端"(DisableClient)选项,或通过停止网络访问管理器服务,来禁用网络访问管理器.
网络接口卡驱动程序与网络访问管理器不兼容Intel无线网络接口卡驱动程序版本12.
4.
4.
5与网络访问管理器不兼容.
如果此驱动程序与网络访问管理器安装在同一终端上,可能会导致不一致的网络连接和Windows操作系统突然关闭.
避免SHA2证书验证失败(CSCtn59317)AnyConnect客户端利用证书的Windows密码运营商(CSP)对IPsec/IKEv2VPN连接的IKEv2身份验证阶段所需数据进行哈希计算和签名.
如果CSP不支持SHA2算法,且为伪随机功能(PRF)SHA256、SHA384或SHA512配置了ASA,并同时为证书或证书和AAA身份验证配置了连接配置文件(隧道组),则证书身份验证失败.
用户收到"证书验证失败"(CertificateValidationFailure)消息.
对于属于不支持SHA2类算法的CSP的证书,此验证失败仅发生在Windows上.
其他支持的操作系统不存在此问题.
若要避免此问题,可以将ASA上IKEv2策略的PRF配置为md5或sha(SHA1).
或者,可以将证书CSP值修改为有效的本地CSP,例如Microsoft增强RSA和AES加密提供程序.
请勿将此变通方法应用于智能卡证书.
您不能更改CSP名称.
应联系智能卡提供商,获取支持SHA2算法的更新CSP.
如果未能正确执行下述变通操作,则可能会损坏用户证书.
指定证书更改时,请格外谨慎.
注意您可以使用MicrosoftCertutil.
exe实用程序修改证书CSP值.
Certutil是管理WindowsCA的命令行实用程序,在MicrosoftWindowsServer2003管理工具包中提供.
您可以从以下URL下载工具包:思科AnyConnect安全移动客户端版本说明,版本4.
323AnyConnect安全移动客户端版本说明,版本4.
3UTF-8字符对AnyConnect密码的支持http://www.
microsoft.
com/downloads/en/details.
aspxFamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en按以下步骤运行Certutil.
exe和更改证书CSP值:1打开终端计算机上的命令窗口.
2使用以下命令,查看用户存储中的证书及其当前的CSP值:certutil-store-userMy以下示例显示了通过此命令显示的证书内容:Certificate0SerialNumber:3b3be91200020000854bIssuer:CN=cert-issuer,OU=BostonSales,O=ExampleCompany,L=SanJose,S=CA,C=US,E=csmith@example.
comNotBefore:2/16/201110:18AMNotAfter:5/20/20248:34AMSubject:CN=CarolSmith,OU=SalesDepartment,O=ExampleCompany,L=SanJose,S=CA,C=US,E=csmith@example.
comNon-rootCertificateTemplate:CertHash(sha1):8627371be6775faa8eade620a31473b4ee7f8926KeyContainer={F62E9BE8-B32F-4700-9199-67CCC86455FB}Uniquecontainername:46ab1403b52c6305cb226edd5276360f_c50140b9-ffef-4600-ada6-d09eb97a30f1Provider=MicrosoftEnhancedRSAandAESCryptographicProviderSignaturetestpassed3识别证书的属性.
在此示例中,CN是CarolSmith.
您会在下一步中需要此信息.
4使用以下命令修改证书CSP.
以下示例使用主题值选择要修改的证书.
您也可以使用其他属性.
在Windows7或更高版本上,使用此命令:certutil-csp"MicrosoftEnhancedRSAandAESCryptographicProvider"-f-repairstore-userMycarolsmith5重复第2步并验证证书出现的新CSP值.
为HostScan配置防病毒应用防病毒应用可能会将安全评估模块包括的部分应用以及HostScan软件包的行为错误解释为恶意.
在安装安全评估模块或HostScan软件包之前,将防病毒软件配置到"白名单"或将以下HostScan应用归为安全例外项:cscan.
execiscod.
execstub.
exeIKEv2不支持MicrosoftInternetExplorer代理IKEv2不支持公共侧MicrosoftInternetExplorer代理.
如果您需要支持该功能,请使用SSL.
根据安全网关发送的配置指令,IKEv2和SSL均支持专用侧代理.
IKEv2应用从网关发送的代理配置,随后的HTTP流量应遵循该代理配置.
思科AnyConnect安全移动客户端版本说明,版本4.
324AnyConnect安全移动客户端版本说明,版本4.
3为HostScan配置防病毒应用IKEv2可能要求对组策略进行MTU调整AnyConnect有时会接收并丢弃某些路由器的数据包片段,这会导致某些网络流量无法通过.
若要避免此问题,请降低MTU值.
我们建议使用1200.
以下示例展示如何使用CLI执行此操作:hostname#configthostname(config)#group-policyDfltGrpPolicyattributeshostname(config-group-policy)#webvpnhostname(config-group-webvpn)#anyconnectmtu1200若要使用ASDM设置MTU,请转到配置(Configuration)>网络(客户端)访问(Network[Client]Access)>组策略(GroupPolicies)>添加(Add)或编辑(Edit)>高级(Advanced)>SSLVPN客户端(SSLVPNClient).
使用DTLS时会自动调整MTU如果DTLS启用失效对等项检测(DPD),客户端会自动确定路径MTU.
如果之前使用ASA降低了MTU,则应将该设置还原为默认值(1406).
在建立隧道连接期间,客户端使用特殊DPD数据包自动调整MTU.
如果仍有问题,请如之前那样,使用ASA中的MTU配置来限制MTU.
网络访问管理器和组策略WindowsActiveDirectory无线组策略管理部署到特定ActiveDirectory域中的PC上的无线设置和所有无线网络.
安装网络访问管理器时,管理员必须了解可能影响网络访问管理器行为的特定无线组策略对象(GPO).
管理员应在执行完整GPO部署前针对网络访问管理器测试GPO策略设置.
以下GPO条件可能会阻止网络访问管理器按预期运行:使用Windows7或更高版本时,仅对允许的网络使用组策略配置文件(OnlyuseGroupPolicyprofilesforallowednetworks)选项.
与网络访问管理器配合使用的FreeRADIUS配置若要使用网络访问管理器,可能需要调整FreeRADIUS配置.
默认禁用所有与ECDH相关的密码,以防出现漏洞.
在/etc/raddb/eap.
conf中,更改cipher_list值.
在无线接入点之间漫游时需要进行完整身份验证当客户端在同一网络的无线接入点之间漫游时,运行Windows7或更高版本的移动终端必须执行完整的EAP身份验证,而不能利用更加快速的PMKID重新关联.
因此,在某些情况下,如果有效配置文件需要,AnyConnect会提示用户为每次完整身份验证输入凭证.
思科AnyConnect安全移动客户端版本说明,版本4.
325AnyConnect安全移动客户端版本说明,版本4.
3IKEv2可能要求对组策略进行MTU调整IPv6网络流量的思科云网络安全行为用户准则除非已指定IPv6地址、域名、地址范围或通配符,否则IPv6网络流量会被发送至扫描代理并由扫描代理执行DNS查找,以确定是否存在与用户尝试连接的URL对应的IPv4地址.
如果扫描代理找到IPv4地址,它会使用该地址进行连接.
如果未找到IPv4地址,则会终止连接.
如果希望所有IPv6流量绕过扫描代理,可以为所有IPv6流量添加此静态例外:/0.
执行此操作会使所有IPv6流量绕过所有扫描代理.
这意味着IPv6流量不受思科云网络安全的保护.
阻止局域网中的其他设备显示主机名在用户使用AnyConnect在远程局域网上与Windows7或更高版本建立VPN会话后,用户局域网中其他设备上的网络浏览器会显示受保护远程网络上的主机的名称.
但是,其他设备无法访问这些主机.
若要确保AnyConnect主机阻止主机名(包括AnyConnect终端主机的名称)在子网间泄露,请将该终端配置为永不成为主要或备用浏览器.
1在"搜索程序和文件"(SearchProgramsandFiles)文本框中输入regedit.
2导航到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters\3双击MaintainServerList.
"编辑字符串"(EditString)窗口将打开.
1输入No.
2点击OK.
3关闭"注册表编辑器"(RegistryEditor)窗口.
证书吊销消息在分发点仅内部可访问的情况下,如果AnyConnect尝试验证指定LDAP证书吊销列表(CRL)分发点的服务器证书,系统会在身份验证后显示AnyConnect证书吊销警告弹出窗口.
如果要避免显示此弹出窗口,请执行以下任一操作:在没有任何隐私CRL要求的情况下获取证书.
在InternetExplorer中禁用服务器证书吊销检查.
在InternetExplorer中禁用服务器证书吊销检查可能会对操作系统的其他用途产生严重安全影响.
注意思科AnyConnect安全移动客户端版本说明,版本4.
326AnyConnect安全移动客户端版本说明,版本4.
3IPv6网络流量的思科云网络安全行为用户准则本地化文件中的消息可以长达多行如果尝试在本地化文件中搜索消息,这些消息可以长达多行,如以下示例所示:msgid"""Theserviceproviderinyourcurrentlocationisrestrictingaccesstothe""SecureGateway.
"MacOSX版AnyConnect部署于特定类型路由器之后时的性能当MacOSX版AnyConnect客户端尝试与运行IOS的网关建立SSL连接时,或者当该AnyConnect客户端尝试使用特定类型的路由器(例如思科虚拟办公室[CVO]路由器)与ASA建立IPsec连接时,某些网络流量可以通过该连接,而其他流量则无法通过.
AnyConnect可能会错误地计算MTU.
若要解决此问题,请从MacOSX命令行使用以下命令,将AnyConnect适配器的MTU手动设置为较低的值:sudoifconfigutun0mtu1200(适用于MacOSXv10.
7及更高版本)防止Windows用户规避永远在线功能在Windows计算机上,具有有限或标准权限的用户有时可能对其程序数据文件夹具有写入访问权限.
这让他们能够删除AnyConnect配置文件,由此规避永远在线功能.
若要避免这种情况,请将计算机配置为限制对C:\ProgramData文件夹的访问,或至少配置为限制对Cisco子文件夹的访问.
避免使用无线承载网络使用Windows7或更高版本的无线承载网络功能会让AnyConnect变得不稳定.
使用AnyConnect时,不建议启用此功能或运行启用此功能的前端应用(例如Connectify或虚拟路由器).
AnyConnect要求ASA配置为接受TLSv1流量AnyConnect要求ASA接受TLSv1流量,而不是SSLv3流量.
SSLv3密钥派生算法在使用MD5和SHA-1时会弱化密钥派生.
SSLv3的后续协议TLSv1解决了SSLv3中存在的这一问题及其他安全问题.
因此,AnyConnect客户端无法使用"sslserver-version"的以下ASA设置建立连接:sslserver-versionsslv3sslserver-versionsslv3-only在安装时与TrendMicro发生冲突如果设备上有TrendMicro,网络访问管理器将因驱动程序冲突而不会安装.
可卸载TrendMicro或取消选中trendmicrocommonfirewalldriver来绕过该问题.
思科AnyConnect安全移动客户端版本说明,版本4.
327AnyConnect安全移动客户端版本说明,版本4.
3本地化文件中的消息可以长达多行HostScan报告内容受支持的防病毒软件、反间谍软件和防火墙产品都不报告上次扫描时间信息.
HostScan报告以下信息:对于防病毒软件和反间谍软件产品描述产品版本文件系统保护状态(主动扫描)数据文件时间(上次更新时间和时间戳)对于防火墙产品描述产品版本是否已启用防火墙长时间重新连接(CSCtx35606)如果启用IPv6,且InternetExplorer中启用了代理设置的自动发现或当前网络环境不支持代理设置的自动发现,那么可能在Windows中体验到长时间重新连接.
解决方法是,在当前网络环境不支持代理自动发现的情况下,断开VPN连接未使用的所有物理网络适配器或在IE中禁用代理自动发现.
在版本3.
1.
03103中,具有多宿主系统的用户也可能会体验到长时间重新连接.
具有有限权限的用户无法升级ActiveX在Windows7或更高版本上,具有有限权限的用户帐户无法升级ActiveX控件,并因此无法使用网络部署方法升级AnyConnect客户端.
作为最安全的选项,思科建议用户通过连接到头端并升级来从应用内部升级客户端.
如果之前使用了管理员帐户在客户端上安装ActiveX控件,则用户可以升级ActiveX控件.
注释在Java安装程序失败时使用MacOSX上的手动安装选项如果用户在Mac上从ASA头端使用WebLaunch来启动AnyConnect,且Java安装程序失败,将出现显示手动安装(ManualInstall)链接的对话框.
此时,用户应执行以下操作:1点击手动安装(ManualInstall).
将出现对话框,显示保存包含OSX安装程序的.
dmg文件的选项.
思科AnyConnect安全移动客户端版本说明,版本4.
328AnyConnect安全移动客户端版本说明,版本4.
3HostScan报告内容2打开文件并使用查找器浏览到安装卷来安装磁盘映像(.
dmg)文件.
3打开终端窗口并使用CD命令导航到包含已保存文件的目录.
打开.
dmg文件并运行安装程序.
4安装后,依次选择应用>思科>思科AnyConnect安全移动客户端以发起AnyConnect会话,或者使用Launchpad.
没有主动密钥缓存(PKC)或CCKM支持网络访问管理器不支持PKC或CCKM缓存.
在Windows7上,无法使用非思科无线网卡进行快速漫游.
AnyConnect安全移动客户端的应用编程接口AnyConnect安全移动客户端包括应用编程接口(API),可供想要编写自己的客户端程序的用户使用.
API软件包包含文档、源文件和库文件,可支持CiscoAnyConnectVPN客户端的C++接口.
可以使用库和示例程序在Windows、Linux和MAC平台上构建.
Windows平台的生成文件(或项目文件)也包括在内.
对于其他平台,它包括展示如何编译示例代码的平台特定脚本.
网络管理员可以将应用(GUI、CLI或嵌入式应用)链接到此类文件和库.
您可以从Cisco.
com下载API.
有关AnyConnectAPI的支持问题,请发送邮件到以下地址:anyconnect-api-support@cisco.
com.
AnyConnect警告警告用于描述思科软件版本中的意外行为或缺陷.
思科漏洞搜索工具(https://tools.
cisco.
com/bugsearch/)提供此版本中下列未解决和已解决的警告的相关详细信息.
需要使用思科帐户才能访问该漏洞搜索工具.
如果没有,请在https://tools.
cisco.
com/RPF/register/register.
do中注册.
AnyConnectHostScan引擎更新4.
3.
05043已解决警告用于描述思科软件版本中的意外行为或缺陷.
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息.
需要使用思科帐户才能访问该漏洞搜索工具.
如果没有,请在https://tools.
cisco.
com/RPF/register/register.
do中注册.
标题组件标识符AnyConnectHostScan在从SEPv12升级后不检测SEPv14opswat-asaCSCvf69693思科AnyConnect安全移动客户端版本说明,版本4.
329AnyConnect安全移动客户端版本说明,版本4.
3没有主动密钥缓存(PKC)或CCKM支持开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnectHostScan引擎更新4.
3.
05038已解决警告用于描述思科软件版本中的意外行为或缺陷.
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息.
需要使用思科帐户才能访问该漏洞搜索工具.
如果没有,请在https://tools.
cisco.
com/RPF/register/register.
do中注册.
标题组件标识符HostScan不检测OSX上的Cylance保护opswat-asaCSCvb91798Hostscan/Opswat未能检测ESET6.
3/6.
4AVopswat-asaCSCvc54119在macOS上的DAP跟踪中未检测到KasperskyASopswat-asaCSCvc95834HostScanv4.
3.
05019不检测适用于Macv2.
3.
0的McAfee终端保护中的McAfeeFWopswat-asaCSCvd09527ENH:HostScan在macOS上添加了对SymantecEndpointProtection14的支持opswat-asaCSCvd49209HostScan不检测macOS上的BitDefender防病毒软件opswat-asaCSCvd85556HS不检测RHEL7.
2中的Sophos防病毒(Linux)软件opswat-asaCSCve37361HostScan4.
3.
05028无法检测TrendMicroWorryFreeBusinessSecurityAgent19.
xopswat-asaCSCve65939HostScan未能检测Symantec终端保护14opswat-asaCSCvf09519cstubshouldvalidateservercertificatesforasslconnection(cstub应验证用于ssl连接的服务器证书)ASA安全评估CSCub32322从ISE升级-缺少安全评估模块posture-asaCSCvb42287启用了webvpn或加密ikev2时,ASA显示良性LUA错误posture-asaCSCvd34711思科AnyConnect安全移动客户端版本说明,版本4.
330AnyConnect安全移动客户端版本说明,版本4.
3AnyConnectHostScan引擎更新4.
3.
05038开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnectHostScan引擎更新4.
3.
05033已解决警告用于描述思科软件版本中的意外行为或缺陷.
思科漏洞搜索工具包含此版本中有关未解决和已解决的警告的详细信息.
需要使用思科帐户才能访问该漏洞搜索工具.
如果没有,请在https://tools.
cisco.
com/RPF/register/register.
do中注册.
标题组件标识符HostScan不检测OSX上的Cylance保护opswat-asaCSCvb91798HostScan/OPSWAT未能检测ESET6.
3/6.
4AVopswat-asaCSCvc54119HostScanv4.
3.
05019不检测适用于Macv2.
3.
0的McAfee终端保护中的McAfeeFWopswat-asaCSCvd09527HostScan不检测MacOSX上的Bitdefender防病毒软件opswat-asaCSCvd85556从ISE升级-缺少安全评估模块posture-asaCSCvb42287启用了webvpn或加密ikev2时,ASA显示良性LUA错误posture-asaCSCvd34711开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnectHostScan引擎更新4.
3.
05028若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具.
表1:已解决标题组件标识符显示McAfeeVirusScan和HIP的HostScan被检测为AS和AVopswat-asaCSCvc29995思科AnyConnect安全移动客户端版本说明,版本4.
331AnyConnect安全移动客户端版本说明,版本4.
3AnyConnectHostScan引擎更新4.
3.
05033HostScan-添加对AvastMacSecurity12.
x的支持opswat-asaCSCvc35888HostScan4.
3MR5不检测McAfee终端安全威胁防御10.
2/10.
5中的McAfeeFWopswat-asaCSCvc61772Cscan崩溃-HostScanv4.
3.
05019posture-asaCSCvd51118若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnectHostScan引擎更新4.
3.
05019若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具.
表2:已解决标题组件标识符针对hostscan_4.
3.
05017启用DAP时,Windows7AnyConnect用户无法进行连接opswat-asaCSCvc62819若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnect4.
3.
05017若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具.
表3:已解决标题组件标识符AnyConnect和VerizonJetpack(Netgear)导致Windows10出现BSOD问题核心层CSCva28598对于Mac,卸载"ISE客户端调配"(ISEClientProvisioning)下的NAC代理不会卸载NACdownload_installCSCvc12767NAM不应绑定到OpenVPN适配器namCSCus31169NAM过滤器驱动程序BSOD出自Windows10上的休眠文件namCSCvb88421HostScan未检测到McAfeeTotalProtection14.
0的组件opswat-asaCSCvb36328思科AnyConnect安全移动客户端版本说明,版本4.
332AnyConnect安全移动客户端版本说明,版本4.
3AnyConnectHostScan引擎更新4.
3.
05019标题组件标识符ENH:HostScan-添加对TrendMicroTitaniumMaximumSecurityv11的支持opswat-asaCSCvb58501ENH:HostScan-添加对KasperskyAnti-Virus17.
x的支持opswat-asaCSCvb93906ENH:HostScan-添加对BitdefenderAntivirusPlus2017的支持opswat-asaCSCvb93911ENH:HostScan-添加对NOD32Antivirusv10的支持opswat-asaCSCvb93914HostScan不检测Mac10.
2.
1的McAfee终端安全opswat-asaCSCvb96961ENH:HostScan添加对SymantecEndpointProtection14的支持opswat-asaCSCvb99331LumensionAntivirusv8.
3.
0.
73-activescan=internalerroropswat-asaCSCvc00397ENH:HostScan-添加对VirusBusterCloud11.
x(日语)的支持opswat-asaCSCvc02708ENH:HostScan-添加对virusbusterCorp11(日语)的支持opswat-asaCSCvc04355SCCM补救故障:您正在尝试的补救出现故障opswat-iseCSCvb34133HostScan发送多个endpoint.
certificate.
user["XX"].
subject_dc标记posture-asaCSCuu85646支持LANDesk10.
x安全和修补程序管理器posture-iseCSCva86546如果不存在hal-get-property,CLI无法进行连接vpnCSCux13191适用于Linux的思科AC将敏感信息保留在内存中vpnCSCvb63859主页URL不能搭配AnyConnect4.
3使用vpnCSCvc04354MacOS10.
12(Sierra)IPv6地址隐私功能导致网络不稳定vpnCSCvc05423若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnect4.
3.
04027若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具.
表4:已解决标题组件标识符AnyConnect证书日志增强certificateCSCuv56832思科AnyConnect安全移动客户端版本说明,版本4.
333AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect4.
3.
04027标题组件标识符升级到4.
3MR1客户端导致在Windows7上出现BSOD问题核心层CSCvb43782AnyConnectUmbrella云更新检查通知的用户故障可能错误download_installCSCvb97610GUI和文本消息自定义guiCSCuz34759HostScan-(升级)在XFS文件系统(RHEL7)上不起作用posture-asaCSCvb46561AnyConnect4.
x在关闭PRA计时器后,代理不会发送PRA更新posture-iseCSCuz55943AnyConnect合规性模块无法检测Norton6.
x定义posture-iseCSCva86392ISE2.
1安全评估MacOSKasperskyLab产品posture-iseCSCvb15872适用于Mac的AC安全评估模块版本4.
3可能无法检测AVposture-iseCSCvb37617不能检测Kaspersky终端安全10.
xposture-iseCSCvb45916仅支持IPv6的网络中应打开Umbrella保护状态umbrellaCSCvb49067AC:在MacOSX中自动重新连接后会删除系统代理设置vpnCSCuv65460AnyConnect对CVE-2016-2177、CVE-2016-2178的评估vpnCSCva35797TND策略位于可信网络中时未能断开连接vpnCSCvb52434OSX:无法传输ipv6无连接的分段流量vpnCSCvb65170若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnect4.
3.
03086若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具.
表5:已解决标题组件标识符使用IKEv2时不显示证书过期警告apiCSCuy68051客户API示例迁移为VisualStudio2015apiCSCva69697DHCP路由中断同一台服务器上的其他服务核心层CSCuz27826思科AnyConnect安全移动客户端版本说明,版本4.
334AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect4.
3.
03086关闭后DAP应禁用AC永远在线核心层CSCva28494升级到4.
3MR1客户端导致在Windows7上出现BSOD问题核心层CSCvb43782Linux:DART中不复制安全评估日志dartCSCva64096AnyConnect4.
2.
x(4.
x)GUI中自定义的消息格式不正确guiCSCvb01862Windows10Anniversary更新中断AnyConnectNAM服务namCSCva84287Acnvmagent几乎占用了MacOSX上3%的CPUnvmCSCva31341HostScan未检测到MacOS10.
12(Sierra)FWposture-asaCSCvb64718创建Websec客户端配置文件时,获得两次相同的错误消息配置文件编辑器CSCux64789启用了ipv6的AC客户端上显示的保护状态不正确umbrellaCSCva44991Umbrella漫游-拆分隧道延迟umbrellaCSCvb34863Umbrella漫游-拆分隧道延迟vpnCSCvb34863当AnyConnect故障转移到备份服务器时使用的服务器证书不受信任vpnCSCut70079使用PUBLIC代理和使用负载均衡的ASA代理(VIP)的ACOSX出现故障vpnCSCux03030AnyConnectESP_ERROR_EXPIRED_SEQ-IPsec引擎遇到错误vpnCSCuz80602AC探测mus.
cisco.
com,即便未启用相关组件vpnCSCva55838不会从新安装的Windows10中删除AnyConnectDNSvpnCSCvb02196重新启动后未应用"应用最后的VPN本地资源规则"vpnCSCvb05479AnyConnectSBL未能检测智能卡证书vpnCSCvb17874提交IOSIKEv2凭证提示后,AnyConnect停止响应vpnCSCvb213459.
7.
1SAML2.
0AnyConnect-证书映射中断SAML身份验证vpnCSCvb36565思科AnyConnect安全移动客户端版本说明,版本4.
335AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect4.
3.
030869.
7.
1SAML2.
0AnyConnect-HostScan在启用了SAML的TG上不起作用vpnCSCvb36651AnyConnect无法通过Windows10(1607)版本的代理进行连接vpnCSCvb41365MacOS10.
12-连接后AnyConnect崩溃-证书枚举vpnCSCvb42478无法传输无连接的分段流量(Mac上的AC4.
3)vpnCSCvb50660OSX:Deflate压缩不起作用(无法传输数据)vpnCSCvb62962由于无加密的.
config文件,ACWebsec崩溃Web安全CSCva44152AnyConnect网络安全与MS直接访问不兼容Web安全CSCvb29440表6:开放从ISE升级时丢失安全评估模块posture-asaCSCvb42287HostScan在XFS文件系统(RHEL7)上不起作用posture-asaCSCvb46561若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnect4.
3.
02039已解决和未解决缺陷警告若要查找有关此版本中已解决警告的最新信息,请参阅思科漏洞搜索工具.
表7:已解决标题组件标识符AC客户端不发送"endpoint.
anyconnect.
devicetype"核心层CSCuz59461ACWebsec导致Windows10出现BSOD问题核心层CSCva48371Ubuntu:使用网络部署安装安全评估失败download_installCSCva58530思科AnyConnect安全移动客户端版本说明,版本4.
336AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect4.
3.
02039AC4.
x自定义"正在检查合规性"消息guiCSCuz80234使用智能卡进行客户端证书身份验证时,AC4.
3.
x崩溃guiCSCva64580在AnyConnect4.
3上使用EAP-TLS进行计算机身份验证失败namCSCva40868重新访问CNAMEDNS请求的DNS缓存处理nvmCSCux82427HostScan初始化错误:Windows用户名包含非英语字母posture-asaCSCuy38610HostScan时间戳针对Norton安全返回-1posture-asaCSCuz84937ISE不承认Windows10LTSB为受支持的操作系统posture-iseCSCva36699AC4.
3安全评估模块为Windows10发送的用户代理错误posture-iseCSCva38809KDF中的FQDN功能:主机异常不认可https站点Web安全CSCud02668ACWSPE并非允许的静态例外主机名Web安全CSCva67994开放若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
AnyConnect4.
3.
01095已解决和未解决缺陷警告要查找此版本已解决缺陷相关的最新信息,请参阅思科漏洞搜索工具.
表8:已解决标题组件标识符思科AnyConnect安全移动客户端版本说明,版本4.
337AnyConnect安全移动客户端版本说明,版本4.
3AnyConnect4.
3.
01095IPv6-配置了IPv4DNS服务器时,IPsec拆分隧道无法运行核心层CSCux46392除非定义了默认域,否则split-dns后缀不会添加到适配器中核心层CSCuy01833ACw/TND忽略CRL首选项设置错误核心层CSCuz50259用户名不是英语形式时(日语或俄语),vpn下载失败download_installCSCuw28279各个PC中的AnyConnectsetup.
exe选择程序大小不规范guiCSCuz08974AnyConnectNVM句柄/acnvmagent.
exe*32泄漏nvmCSCva21660合规性模块3.
6.
10591.
2出现ISEAnyConnect配置问题posture-iseCSCva05994ISE安全评估模块不应依赖于NAMposture-iseCSCuy02579在OSX上,DNS查找未进入Ipsec隧道vpnCSCuw99688优化(Windows):不移除IPv6前缀路由vpnCSCva05893表9:开放标题组件标识符启用了ipv6的AC客户端上显示的保护状态不正确umbrellaCSCva44991网络/VPN更改后,"保留"状态拖延的时间过长umbrellaCSCva46737若要查找有关此版本中解决缺陷的最新信息,请参阅思科漏洞搜索工具.
无忧云怎么样?无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点,目前商家开启了夏日清凉补贴活动,商家的机器还是非常...
妮妮云的知名度应该也不用多介绍了,妮妮云旗下的云产品提供商,相比起他家其他的产品,云产品还是非常良心的,经常出了一些优惠活动,前段时间的八折活动推出了很多优质产品,近期商家秒杀活动又上线了,秒杀产品比较全面,除了ECS和轻量云,还有一些免费空间、增值代购、云数据库等,如果你是刚入行安稳做站的朋友,可以先入手一个119/元季付的ECS来起步,非常稳定。官网地址:www.niniyun.com活动专区...
2021年恒创科技618活动香港美国服务器/云服务器/高防全场3折抢购,老客户续费送时长,每日限量秒杀。云服务器每款限量抢购,香港美国独服/高防每款限量5台/天,香港节点是CN2线路还不错。福利一:爆品秒杀 超低价秒杀,秒完即止;福利二:云服务器 火爆机型 3折疯抢;福利三:物理服务器 爆款直降 800元/月起;福利四:DDOS防护 超强防御仅 1750元/月。点击进入:2021年恒创科技618活...