Руководство Администратора для Cisco Cisco AnyConnect Secure Mobility Client v3.x
• 如果无法检索 CRL(例如由于无法访问 CRL 分发点),并且在 AnyConnect 本地策略文件
中启用 Strict Certificate Turst,与安全网关的连接也会无条件失败。 否则,如果禁用 Strict
Certificate Turst,则系统可能会提示该用户绕过此错误。
Certificate Turst,则系统可能会提示该用户绕过此错误。
启用 Always On 时,AnyConnect 无法执行 CRL 检查。 此外,如果 CRL 分发点
不是公开可访问,则 AnyConnect 可能会遇到服务中断。
不是公开可访问,则 AnyConnect 可能会遇到服务中断。
注释
• Restrict Web Launch <RestrictWebLaunch>
阻止用户使用不符合 FIPS 的浏览器来发起 WebLaunch。 其实现途径是阻止客户端获取用于发
起 AnyConnect 隧道的安全 Cookie。 客户端向用户显示一条信息性消息。
起 AnyConnect 隧道的安全 Cookie。 客户端向用户显示一条信息性消息。
• Strict Certificate Trust <StrictCertificateTrust>
如果选中此项,则在对远程安全网关进行身份验证时,AnyConnect 不允许它无法验证的任何证
书。 客户端并不提示用户接受这些证书,而是无法使用自签证书连接到安全网关并显示
书。 客户端并不提示用户接受这些证书,而是无法使用自签证书连接到安全网关并显示
Local
policy prohibits the acceptance of untrusted server certificates. A connection will
not be established.
。 如果未选中,客户端将提示用户接受证书。 这是默认行为。
我们强烈建议您为 AnyConnect 客户端启用 Strict Certificate Trust,原因如下:
• 随着有针对性攻击的日益增多,在本地策略中启用 Strict Certificate Trust 有助于在用户从
不受信任网络(例如公共访问网络)连接时,防止受到“中间人”攻击。
• 即使您使用完全可验证且受信任的证书,默认情况下 AnyConnect 客户端也允许最终用户
接受不可验证的证书。 如果最终用户受到中间人攻击,他们可能会被提示接受恶意证书。
要从最终用户删除此决定,请启用 Strict Certificate Trust。
要从最终用户删除此决定,请启用 Strict Certificate Trust。
• 限制首选项缓存 <RestrictPreferenceCaching>
根据设计,AnyConnect 不将敏感信息缓存到磁盘。 启用此参数会将本策略扩展到在 AnyConnect
首选项中存储的任何类型的用户信息。
首选项中存储的任何类型的用户信息。
Credentials - 不缓存用户名和辅助用户名。
Thumbprints - 不缓存客户端和服务器的证书拇指指纹。
CredentialsAndThumbprints - 不缓存证书拇指指纹和用户名。
All - 不缓存任何自动首选项。
false - 所有首选项都写入磁盘(默认值)。
• Exclude Pem File Cert Store (Linux and Mac) <ExcludePemFileCertStore>
防止客户端使用 PEM 文件证书存储区来验证服务器证书和搜索客户端证书。
存储库使用支持 FIPS 的 OpenSSL,并具有关于在哪里可以获取客户端证书身份验证所需证书
的信息。 允许 PEM 文件证书存储区可确保远程用户使用符合 FIPS 的证书存储区。
的信息。 允许 PEM 文件证书存储区可确保远程用户使用符合 FIPS 的证书存储区。
• Exclude Mac Native Cert Store (Mac only) <ExcludeMacNativeCertStore>
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
83
AnyConnect 配置文件编辑器
本地策略参数和值