Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide

• 向终端预部署一个配置有 永远在线 的配置文件，以限制只能连接到预定义的 ASA。 预部署可

以防止与欺诈服务器联系。

• 限制管理员权限，以便用户无法终止进程。 具有管理权限的 PC 用户可以通过停止代理而忽略

永远在线 策略。 如果想要确保 永远在线 绝对安全，您必须拒绝给用户分配本地管理权限。

• 限制对 Windows 计算机上思科子文件夹的访问，通常是 C:\ProgramData。

• 具有有限或标准权限的用户有时可能对其程序数据文件夹具有写访问权限。 他们可以利用这种

访问权限删除 AnyConnect 配置文件，从而避开 永远在线 功能。

• 为 Windows 用户预部署一个组策略对象 (GPO)，以防止具有有限权限的用户终止 GUI。 为 Mac

OS 用户预部署相应的措施。

配置永远在线 VPN

过程

步骤 1

步骤 2 （可选）

步骤 3 （可选）

。

在 AnyConnect VPN 客户端配置文件中配置永远在线

开始之前

永远在线 VPN 要求在 ASA 上配置有效、受信任的服务器证书；否则它将失败并记录表示证书无效
的事件。 此外，确保服务器证书能通过严格的证书信任模式可防止永远在线 VPN 配置文件的下载
锁定与欺诈服务器的 VPN 连接。

过程

步骤 1 打开 VPN 配置文件编辑器，从导航窗格中选择 Preferences (Part 2)（首选项 [第 1 部分]）。

步骤 2 选择 Automatic VPN Policy（自动 VPN 策略）。

步骤 3

步骤 4 选择 Always On（永远在线）。

步骤 5 （可选）选择或取消选择 Allow VPN Disconnect（允许 VPN 断开连接）。

步骤 6 （可选）

步骤 7 （可选）

   Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

配置 VPN 接入

需要使用永远在线的 VPN 连接