Wie kann ich das automatische Verbindungs-VPN bei der Verwendung von AnyConnect deaktivieren?

4635
ChaimKut

Ich verwende Cisco AnyConnect (4.2.05015) unter Win10 Enterprise, um meine WLAN-Verbindungen und VPN-Verbindungen zu verwalten. Derzeit versucht AnyConnect bei jeder WLAN-Verbindung automatisch, eine Verbindung zu einem meiner VPN-Zugangspunkte herzustellen. Ich möchte dieses Verhalten deaktivieren. AnyConnect sollte nur dann eine Verbindung zu VPN herstellen, wenn ich die entsprechende Schaltfläche "Verbinden" drücke, aber es sollte nicht versuchen, automatisch eine Verbindung zu VPN herzustellen. Wie kann ich das erreichen?

Update C: / ProgramData / Cisco / Cisco AnyConnect Secure Mobility Client / Profil /

 <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="false">true</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="false">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">true</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport> <AutoReconnect UserControllable="true">true <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment> <AutomaticVPNPolicy>true <TrustedDNSDomains>...</TrustedDNSDomains> <TrustedNetworkPolicy>Disconnect</TrustedNetworkPolicy> <UntrustedNetworkPolicy>Connect</UntrustedNetworkPolicy> <AlwaysOn>false </AlwaysOn> </AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <CertificateMatch> <KeyUsage> <MatchKey>Key_Encipherment</MatchKey> <MatchKey>Digital_Signature</MatchKey> </KeyUsage> <ExtendedKeyUsage> <ExtendedMatchKey>ClientAuth</ExtendedMatchKey> </ExtendedKeyUsage> <DistinguishedName> <DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled" MatchCase="Enabled"> <Name>ISSUER-CN</Name> <Pattern>Seamless Access CA</Pattern> </DistinguishedNameDefinition> </DistinguishedName> </CertificateMatch> <EnableAutomaticServerSelection UserControllable="true">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> <AllowManualHostInput>true</AllowManualHostInput> </ClientInitialization>

(TrustedDNSDomains wurde aus Datenschutzgründen entfernt).

1
Ist die vertrauenswürdige Netzwerkerkennung im VPN-Profil aktiviert? Mahesh vor 6 Jahren 0
@ Mahesh du bist wahrscheinlich richtig. Ich verwende einen Laptop mit dem Image meines Unternehmens, und es sieht so aus, als würde es den AnyConnect Profile Editor oder den Adaptive Security Device Manager nicht enthalten. Irgendwelche Ideen, wie ich meine VPN-Profile ändern kann? Vielleicht über die Windows-Registry? ChaimKut vor 6 Jahren 0
Das Ändern des Profils ist keine gute Idee, da das Profil jedes Mal aktualisiert wird, wenn Sie eine Verbindung zu einem VPN-Zugangspunkt herstellen. Wenn der Administrator die TND-Funktion jedoch für den Benutzer steuerbar gemacht hat, können Sie das erreichen, wonach Sie suchen. Wenn Sie auf der Benutzeroberfläche auf VPN klicken (eigentlich ein anklickbarer Link), werden die Benutzereinstellungen angezeigt. Wenn der Administrator die TND-Funktion für den Benutzer steuerbar gemacht hat, können Sie die Funktion im Einstellungsfenster deaktivieren. Dies hilft, keine Automatisierungsverbindung bei sich ändernden WLAN-Netzwerken herzustellen. Mahesh vor 6 Jahren 0
@ Mahesh Leider sieht es so aus, als ob mein Administrator dies deaktiviert hat. Wenn Sie Ihre Lösung in eine der folgenden "Antworten" kopieren / einfügen, werde ich sie auf jeden Fall als offizielle Antwort akzeptieren. ChaimKut vor 6 Jahren 0
Bevor wir zu dem Schluss kommen, dass TND in Ihrem Fall die automatische Verbindung verursacht, können Sie die Frage mit `bearbeiten`Informationen im VPN-Profil. Das VPN-Profil ist eine XML-Datei unter `C: \ ProgramData \ Cisco \ Cisco AnyConnect Secure Mobility Client \ Profile '. Mahesh vor 6 Jahren 0
@ Mahesh Ich habe die Frage entsprechend aktualisiert. ChaimKut vor 6 Jahren 0

1 Antwort auf die Frage

3
Mahesh

Trusted Network Detection (TND) ist keine vom Benutzer kontrollierbare Sicherheitsfunktion. Sie wird von Ihrem VPN Access Point-Administrator über das VPN-Profil erzwungen.

Wenn die DNS-Domäne des Clients nicht unter die im VPN-Profil aufgelisteten Domänen fällt, betrachtet AnyConnect, dass sich der Client unter einer nicht vertrauenswürdigen Domäne befindet und auf der Grundlage der TND-Richtlinie im VPN-Profil Maßnahmen ergreift. In Ihrem Fall besteht eine nicht vertrauenswürdige Netzwerkrichtlinie darin, eine VPN-Verbindung herzustellen (was für ohnehin nicht vertrauenswürdige Netzwerke ohnehin eine Maßnahme sein sollte). Und ja, es ist sehr wahrscheinlich, dass AnyConnect automatisch eine VPN-Verbindung einleitet, wenn Sie aufgrund der TND-Funktion ein WLAN-Netzwerk wechseln.

Hätte Ihr Administrator AlwaysOn auch für die AutomaticVPNPolicy konfiguriert, werden Sie vom Internetzugriff gesperrt, sofern keine VPN-Verbindung besteht.

PS: Die Benutzerkontrolle ist für die TND-Funktion nicht relevant und meine früheren irreführenden Kommentare entschuldigen.

Verwandte Probleme