Cisco Cisco AnyConnect Secure Mobility Client v2.x Prospecto

• Strict Certificate Trust(엄격한 인증서 신뢰) <StrictCertificateTrust>

이 매개변수를 선택한 경우, 원격 보안 게이트웨이를 인증할 때 AnyConnect는 확인할 수 없는
모든 인증서를 허용하지 않습니다. 이러한 인증서를 수락하도록 사용자에게 프롬프트를 표시
하지 않고 대신 클라이언트는 자체 서명된 인증서를 사용하여 보안 게이트웨이 연결에 실패하
고

로컬 정책에서 신뢰할 수 없는 서버 인증서 수락을 금지합니다. 연결이 설정되지 않습니다.

라고 표시

합니다. 이 매개변수를 선택하지 않은 경우, 클라이언트는 사용자에게 인증서를 수락하라는 프
롬프트를 표시합니다. 이는 기본 동작입니다.

다음과 같은 이유로 인해 AnyConnect 클라이언트에 대해 엄격한 인증서 신뢰를 활성화하는 것
이 좋습니다.

• 대상이 있는 악용이 증가함에 따라 로컬 정책에서 엄격한 인증서 신뢰를 활성화하면 사용

자가 공용 액세스 네트워크와 같이 신뢰할 수 없는 네트워크에서 연결 중인 경우 "중간자"
공격을 방지하는 데 도움이 됩니다.

• 완전히 확인 가능하고 신뢰할 수 있는 인증서를 사용하는 경우에도 AnyConnect 클라이언

트는 기본적으로 엔드 유저가 확인 불가능한 인증서를 수락하는 것을 허용합니다. 엔드 유
저가 중간자 공격의 영향을 받는 경우, 악의적인 인증서를 수락하라는 프롬프트가 표시될
수 있습니다. 엔드 유저에서 이 결정사항을 제거하려면 엄격한 인증서 신뢰를 활성화합니
다.

• Restrict Preference Caching(환경 설정 캐싱 제한) <RestrictPreferenceCaching>

설계에 따라 AnyConnect는 디스크에 민감한 정보를 캐시하지 않습니다. 이 매개변수를 활성화
하면 AnyConnect 환경 설정에 저장된 모든 유형의 사용자 정보로 이 정책을 확장합니다.

◦ Credentials(자격 증명) — 해당 사용자 이름과 두 번째 사용자 이름은 캐시되지 않습니다.

◦ Thumbprints(지문) — 클라이언트와 서버 인증서 지문이 캐시되지 않습니다.

◦ CredentialsAndThumbprints — 인증서 지문과 사용자 이름이 캐시되지 않습니다.

◦ All(모두) — 자동 환경 설정은 캐시되지 않습니다.

◦ false(거짓0 — 모든 환경 설정은 디스크에 기록됩니다(기본값).

• Exclude Pem File Cert Store(PEM 파일 인증서 저장소 제외)(Linux 및 Mac)

<ExcludePemFileCertStore>

클라이언트가 서버 인증서를 확인하고 클라이언트 인증서를 검색하기 위해 PEM 파일 인증서
저장소를 사용하는 것을 방지합니다.

이 저장소는 FIPS 인증 OpenSSL을 사용하며 클라이언트 인증서 인증을 위해 인증서를 얻는 위
치에 대한 정보를 지니고 있습니다. PEM 파일 인증서 저장소에서 원격 사용자가 FIPS 규정 준
수 인증서 저장소를 사용하는지 확인하도록 허용합니다.

• Exclude Mac Native Cert Store(Mac 기본 인증서 저장소 제외)(Mac만 해당)

<ExcludeMacNativeCertStore>

클라이언트가 서버 인증서를 확인하고 클라이언트 인증서를 검색하기 위해 Mac 네이티브(키
집합) 인증서 저장소를 사용하는 것을 방지합니다.

   Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0

AnyConnect 프로파일 편집기

로컬 정책 매개변수 및 값