Exigences

Passez en revue les exigences avant de déployer le Tanium Client sur les endpoints. En outre, passez en revue les exigences spécifiques pour le service partagé Tanium Client Management avant de l’installer et de l’utiliser pour déployer et surveiller l’intégrité des clients.

Exigences en matière de version client et système hôte

Le T : Tableau 1 récapitule les exigences de base de Tanium Core Platform pour les systèmes hôtes des endpoints sur lesquels vous installez le Tanium Client. Les exigences en matière de ressources matérielles varient en fonction des actions que vous déployez sur les endpoints ; contactez l’assistance Tanium sur [email protected] pour obtenir des conseils.

Les modules Tanium et les services partagés peuvent avoir des exigences supplémentaires pour le Tanium Client et les hôtes de endpoint. Le T : Tableau 2 fournit des liens vers les sections du guide d’utilisation qui répertorient ces exigences.

Les endpoints Windows doivent disposer des certificats racine d’autorité de certification (AC) suivants parce qu’ils sont tenus de vérifier l’intégrité des binaires du Tanium Client :

DigIcert Assured ID Racine CA (thumprint 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43)
DigIcert High Assurance EV Racine CA (thumbprint 5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25)
DigIcert SHA2 Assured ID CA (thumbprint E12D2E8D47B64F469F518802DFBD99C0D86D3C6A)
Signature du code d’identification DigIcert SHA2 Assuré CA (thumbprint 92C1588E85AF2201CE7915E8538B492F605B80C6)

T : Tableau 1 : Versions de système d’exploitation prises en charge pour les hôtes du client Tanium
Système d’exploitation	Version du système d’exploitation	Version du client Tanium	Remarques
Microsoft Windows Server	Actuellement pris en charge par les versions de canal semi-annuelles de Windows Server Windows Server 2019 Windows Server 2016 Windows Server 2012, 2012 R2 Windows Server 2008 R2	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476	Les version Standard, Enterprise et Datacenter sont prises en charge, avec ou sans l’option Server Core activée. L’option Nano Server n’est pas prise en charge.
Microsoft Windows Server	Windows Server 2008	7.2.314.3584 7.2.314.3476
Microsoft Windows Server	Actuellement pris en charge par les versions de canal semi-annuelles de Windows Server Windows Server 2019 Windows Server 2016 Windows Server 2012, 2012 R2 Windows Server 2008 R2	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955	Les version Standard, Enterprise et Datacenter sont prises en charge, avec ou sans l’option Server Core activée. L’option Nano Server n’est pas prise en charge.
Poste de travail Microsoft Windows	Windows 10 Windows 8 Windows 7	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
Poste de travail Microsoft Windows	Windows Vista	7.2.314.3584 7.2.314.3476
Poste de travail Microsoft Windows	Windows 10 Windows 8 Windows 7	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
macOS	macOS 11.0 Big Sur macOS 10.15 Catalina macOS 10.14 Mojave macOS 10.13 High Sierra macOS 10.12 Sierra OS X 10.11.1+ El Capitan	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3608 7.2.314.3476 7.2.314.3236	Le Tanium Client pour macOS est compilé sous la forme x86 pour les processeurs Intel uniquement. (macOS 11) Le Tanium Client s’est avéré fonctionner correctement sur les endpoints macOS qui utilisent les processeurs ARM M1 avec Rosetta 2. Tanium a l’intention de publier un binaire universel pour l’exécution du code natif sur les processeurs Intel et Apple ARM. (macOS 10.15 ou version ultérieure) Apple a introduit l’exigence de notarisation de l’application en tant que processus de sécurité dans macOS 10.15. Si vous activez l’exigence, vous devez installer Tanium Client 7.2.314.3608 ou une version ultérieure sur les endpoints qui exécutent macOS 10.15 ou une version ultérieure. (macOS 10.14 ou version ultérieure) La Tanium Core Platform nécessite un certain content pack pour gérer les endpoints qui exécutent macOS 10.14 Mojave ou une version ultérieure : Tanium Core Platform 7.0 ou version ultérieure : contenu par défaut Tanium™ 7.1.7 ou version ultérieure Tanium Core Platform 6.5 : contenu initial Tanium™ 6.5.17 ou version ultérieure
macOS	OS X 10.10 Yosemite	7.2.314.3476 7.2.314.3236
macOS	macOS 11.0 Big Sur macOS 10.15 Catalina macOS 10.14 Mojave macOS 10.13 High Sierra macOS 10.12 Sierra OS X 10.11.1+ El Capitan	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955	Le Tanium Client pour macOS est compilé sous la forme x86 pour les processeurs Intel uniquement. (macOS 11) Le Tanium Client s’est avéré fonctionner correctement sur les endpoints macOS qui utilisent les processeurs ARM M1 avec Rosetta 2. Tanium a l’intention de publier un binaire universel pour l’exécution du code natif sur les processeurs Intel et Apple ARM.
Linux	Amazon Linux 2 LTS (2017.12)	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
	Amazon Linux 1 AMI (2016.09, 2017.12, 2018.03)	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
	Debian 10.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063
	Debian 9.x, 8.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
	Debian 7.x, 6.x	7.2.314.3632 7.2.314.3584 7.2.314.3476
	Oracle Linux 8.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.2.314.3632
	Oracle Linux 7.x, 6.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.2.314.3632
	Oracle Linux 5.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476 7.2.314.3236
	Red Hat Enterprise Linux (RHEL) 8.x CentOS 8.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584
	Red Hat Enterprise Linux (RHEL) 7.x, 6.x CentOS 7.x, 6.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
	Red Hat Enterprise Linux (RHEL) 5.x CentOS 5.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476 7.2.314.3236	(CentOS 5.x) Les endpoints CentOS 5.x sont inclus dans les informations récapitulatives sur l’intégrité du client dans Client Management, mais vous ne pouvez pas utiliser Direct Connect pour accéder aux informations détaillées sur l’intégrité du client.
	SUSE Linux Enterprise Server (SLES) 15 openSUSE 15.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632
	SUSE Linux Enterprise Server (SLES) 12 openSUSE 12.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584
	SUSE Linux Enterprise Server (SLES) 11.3, 11.4 openSUSE 11.3, 11.4	7.2.314.3632 7.2.314.3584
	Ubuntu 20.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063
	Ubuntu 18.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
	Ubuntu 16.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
	Ubuntu 14.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584 7.2.314.3476
Linux	Amazon Linux 2 LTS (2017.12)	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Amazon Linux 1 AMI (2016.09, 2017.12, 2018.03)	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Debian 10.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063
	Debian 9.x, 8.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Oracle Linux 8.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063
	Oracle Linux 7.x, 6.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Oracle Linux 5.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Red Hat Enterprise Linux (RHEL) 8.x CentOS 8.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Red Hat Enterprise Linux (RHEL) 7.x, 6.x CentOS 7.x, 6.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Red Hat Enterprise Linux (RHEL) 5.x CentOS 5.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955	(CentOS 5.x) Les endpoints CentOS 5.x sont inclus dans les informations récapitulatives sur l’intégrité du client dans Client Management, mais vous ne pouvez pas utiliser Tanium™ Direct Connect pour accéder aux informations détaillées sur l’intégrité du client.
	SUSE Linux Enterprise Server (SLES) 15 openSUSE 15.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	SUSE Linux Enterprise Server (SLES) 12 openSUSE 12.x	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Ubuntu 20.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063
	Ubuntu 18.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Ubuntu 16.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
	Ubuntu 14.04 LTS	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955
AIX	IBM AIX 7.2 IBM AIX 7.1 TL1SP10 et versions ultérieures	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.2.314.3632 7.2.314.3584	Le Tanium Client pour AIX nécessite un système d’exploitation 64 bits et l’ensemble de fichiers d’environnement d’exécution IBM XL C++ (xlC.rte), et, dans la plupart des cas, l’ensemble de fichiers des bibliothèques d’exécution IBM LLVM (libc++.rte). Pour connaître les exigences spécifiques pour chaque ensemble de fichiers et les étapes d’installation, reportez-vous à la section Préparer le déploiement sur des endpoints Linux, macOS ou UNIX (pour le déploiement à l’aide de Client Management) ou Déployer le Tanium Client sur les endpoints AIX à l’aide d’un fichier de package.. Les informations récapitulatives sur l’intégrité du client dans Client Management incluent les endpoints AIX, mais vous ne pouvez pas utiliser Direct Connect pour accéder aux informations détaillées sur l’intégrité du client. Vous ne pouvez pas télécharger le programme d’installation AIX à partir de Client Management. Pour obtenir les programmes d’installation pour AIX, contactez l’assistance Tanium.
Solaris	Oracle Solaris 11 SPARC Oracle Solaris 11 x86 Oracle Solaris 10 U8 SPARC ou version ultérieure Oracle Solaris 10 U8 x86 ou version ultérieure	7.4.5.1204 7.4.4.1362 7.4.4.1250 7.4.2.2073 7.4.2.2063 7.4.2.2033 7.4.1.1955 7.2.314.3632 7.2.314.3584	Le Tanium Client pour Solaris nécessite SUNWgccruntime. Les informations récapitulatives sur l’intégrité du client dans Client Management incluent les endpoints Solaris, mais vous ne pouvez pas utiliser Direct Connect pour accéder aux informations détaillées sur l’intégrité du client. Vous ne pouvez pas télécharger le programme d’installation Solaris à partir de Client Management. Pour obtenir les programmes d’installation pour Solaris, contactez l’assistance Tanium.

Exigences de module et de service

Cliquez sur les liens dans le tableau suivant pour afficher la version minimale du Tanium Client (dépendances Tanium) et les exigences des endpoints client pour chaque module Tanium et service partagé.

T : Tableau 2 : Exigences spécifiques au module et au service pour le Tanium Client et les endpoints
Produit	Dépendances Tanium	Exigences relatives au endpoint
Actif²	Dépendances Tanium	Endpoints
Gestion des clients	Dépendances Tanium (après cette section)	Les sections suivantes : Tableau 1 (dans cette section) Exigences relatives au port pour Client Management Exclusions de sécurité pour Client Management
Conformité²	Dépendances Tanium	Endpoints
Connexion	Dépendances Tanium	Endpoints
Déploiement²	Dépendances Tanium	Endpoints
Connexion directe²	Dépendances Tanium	Endpoints
Découverte²	Dépendances Tanium	Endpoints
Configuration Endpoint¹	Dépendances Tanium	Endpoints
Notifications de l’utilisateur final	Dépendances Tanium	Endpoints
Enforce	Dépendances Tanium	Endpoints
Contrôle d’intégrité	Dépendances Tanium	Endpoints
Impact²	Dépendances Tanium	Endpoints
Réponse aux incidents	Dépendances Tanium	Endpoints
Surveillance de l’intégrité²	Dépendances Tanium	Endpoints
Interact	Dépendances Tanium	Endpoints
Carte²	Dépendances Tanium	Endpoints
Quarantaine du réseau	Dépendances Tanium	Endpoints
Correctif²	Dépendances Tanium	Endpoints
Pperformance²	Dépendances Tanium	Endpoints
Protection	Dépendances Tanium	Endpoints
Réputation	Dépendances Tanium	Endpoints
Révélation²	Dépendances Tanium	Endpoints
Réponse aux menaces²	Dépendances Tanium	Endpoints
Tendances	Dépendances Tanium	Endpoints
¹Tanium™ Endpoint Configuration est automatiquement installé lorsque vous installez Client Management 1.5 ou version ultérieure. ² Cette solution nécessite la configuration des endpoints, pour déployer les outils et les modifications de configuration sur les endpoints. Vous devez mettre à niveau Client Management vers la version 1.5 ou ultérieure pour prendre en charge la dernière version de cette solution. Pour plus d’informations sur Endpoint Configuration, consultez le Guide d’utilisation de Tanium Endpoint Configuration.

Dépendances de Tanium Client Management

Le téléchargement de programmes d’installation du client à partir de Client Management ne nécessite pas une installation préexistante de Tanium Client.

L’utilisation des fonctionnalités d’intégrité du client, y compris l’utilisation de Tanium™ Direct Connect pour accéder aux informations détaillées sur l’intégrité du client, nécessite un Tanium Client pris en charge (reportez-vous à la section Versions de système d’exploitation prises en charge pour les hôtes du client Tanium).

Pour utiliser le service Client Management, assurez-vous que votre environnement répond aux exigences suivantes.

T : Tableau 3 : Exigences de Client Management
Composant	Exigences
Tanium™ Core Platform	7.3 ou plus récent
Serveur de module Tanium™	Client Management est installé et s’exécute en tant que service sur l’ordinateur hôte du serveur du module. L’impact sur le serveur du module est minime et dépend de l’utilisation. Pour plus d’informations, consultez le Guide d’installation de Tanium Core Platform : Host system sizing guidelines.
Tanium™ Client	Client Management ne nécessite pas une installation préexistante de Tanium Client. L’utilisation des fonctionnalités d’intégrité du client, y compris l’utilisation de Direct Connect pour accéder aux informations détaillées sur l’intégrité du client, nécessite un Tanium Client pris en charge (reportez-vous à la section Versions de système d’exploitation prises en charge pour les hôtes du client Tanium).
Produits Tanium	Si vous avez cliqué sur Install with Recommended Configurations (Installer avec les configurations recommandées) lorsque vous avez installé Client Management, le serveur Tanium a installé automatiquement tous vos modules sous licence en même temps. Sinon, vous devez installer manuellement les autres modules que vous utilisez, comme décrit dans le Guide d’utilisation de Tanium Console : Gérer les modules Tanium. Client Management exige que les versions minimales données pour fonctionner avec les modules suivants : Tanium™ Interact 2.4.50 ou version ultérieure Tanium™ Discover 3.1 ou version ultérieure (ciblez les endpoints en fonction des balises Discover) Tanium™ Trends 3.6 ou version ultérieure (affichez les graphiques sur la page Home (Accueil) de Client Management) Tanium Direct Connect 1.4.3 ou version ultérieure (connectez-vous aux endpoints pour accéder aux informations détaillées sur l’intégrité du client)

Compatibilité entre les serveurs de la Tanium Core Platform et les Tanium Clients

Les Tanium Clients peuvent se connecter uniquement aux serveurs Tanium Core Platform (serveur Tanium, serveur de module Tanium et Tanium Zone Server) qui exécutent la même version de protocole Tanium™ que les clients ou une version ultérieure que celle des clients. Les serveurs et les clients à la version 7.3 ou antérieure exécutent le protocole Tanium 314. Les serveurs et les clients à la version 7.4 ou antérieure exécutent le protocole Tanium 315. Effectivement, cela signifie que les serveurs sont rétrocompatibles avec les clients antérieurs ; par exemple, les serveurs de la version 7.4 prennent en charge Tanium Client 7.2, mais Tanium Client 7.4 ne peut pas se connecter aux serveurs de la version 7.2.

Pour plus d’informations sur le protocole Tanium, consultez le Guide de référence du déploiement de Tanium Core Platform : Présentation de TLS dans Tanium Core Platform.

Les numéros de version des serveurs Tanium Core Platform et des Tanium Clients ont le format <major release>.<minor release>.<point release>, par exemple 7.4.5. Les clients peuvent se connecter aux serveurs lorsque leurs numéros de version majeure et mineure correspondent, indépendamment du fait que les numéros de version ponctuelle correspondent ou non. Par exemple, Tanium Client 7.4.5 peut se connecter au serveur Tanium 7.4.2.

Pour s’assurer que toutes les fonctionnalités et correctifs d’une version sont disponibles pour les serveurs Tanium Core Platform et Tanium Clients, mettez à niveau les deux aux mêmes versions majeure, mineure et ponctuelle.
N’installez pas Tanium Client sur le même hôte qu’un serveur Tanium Core Platform. Si vous choisissez d’installer le client sur les machines du serveur Tanium Core Platform, vous devez prendre des précautions pour empêcher ces serveurs d’être ciblés dans les actions d’endpoint qui pourraient être perturbatrices pour l’environnement Tanium, et pour empêcher les utilisateurs non autorisés d’accéder aux serveurs en tant qu’endpoints. Vous ne pouvez pas installer le client sur une appliance Tanium, et vous ne pouvez pas utiliser Tanium Client Management pour installer le client sur le serveur de module Tanium.

Comptes de endpoints

Compte de service Tanium Client

Sous Windows, le service Tanium Client est installé en tant que service qui s’exécute dans le contexte du compte système local.

Sous AIX, Linux, macOS et Solaris, le Tanium Client est installé en tant que service système, qui doit s’exécuter avec un ID utilisateur (UID) de 0.

Permissions de compte pour Client Management

Lors de l’installation du client à l’aide de Client Management, vous devez disposer d’un compte configuré avec les autorisations appropriées sur chaque endpoint. Vous ajoutez des informations d’identification pour ces comptes pendant le processus de déploiement (reportez-vous à la section Configurer les informations d’identification du client). Ces comptes et autorisations sont nécessaires uniquement pendant le déploiement, et ils peuvent être supprimés ou modifiés après le déploiement réussi des clients.

Pour protéger les informations d’identification utilisées pour le déploiement du client, utilisez l’une des méthodes suivantes :

Utilisez un compte temporaire qui est supprimé après le déploiement.
Désactivez ou modifiez le mot de passe du compte une fois le déploiement du client terminé.

Endpoints Windows

Sur chaque endpoint Windows, vous devez avoir un compte avec des droits d’administrateur local, ou un compte local ou de domaine configuré qui possède les capacités suivantes :

Se connecter à distance au endpoint et s’authentifier auprès de SMB
Créer des dossiers dans le répertoire C:\Program Files (x86)\ pour Windows 64 bits, ou dans le répertoire C:\Program Files\ pour Windows 32 bits.
Écrire et exécuter des fichiers dans le répertoire C:\Program Files (x86)\Tanium\ pour Windows 64 bits, ou dans le répertoire C:\Program Files\Tanium\ pour Windows 32 bits

Endpoints non-Windows

Sur chaque endpoint non-Windows, vous devez avoir un compte configuré qui peut se connecter à distance au endpoint et s’authentifier avec SSH. Vous devez utiliser l’une des options suivantes pour configurer un utilisateur avec des privilèges élevés pour effectuer l’installation :

L’utilisateur racine
Un utilisateur qui est répertorié dans le fichier sudoers sur chaque endpoint, pour autoriser le compte que vous utilisez pour l’installation à utiliser sudo.

Si vous limitez les commandes utilisateur dans le fichier sudoers, contactez l’assistance Tanium pour vous aider à déterminer les commandes nécessaires à autoriser.

Des distributions spécifiques ou votre environnement spécifique peuvent avoir des exigences d’authentification spécifiques.

Amazon Linux : Amazon Linux nécessite une authentification basée sur clé. Sur le endpoint, assurez-vous d’activer l’authentification basée sur une clé SSH et d’activer NOPASSWD dans le fichier sudoers pour le compte d’utilisateur admin. Ajoutez ce nom d’utilisateur et ce mot de passe à la liste des informations d’identification. Cette configuration garantit que la clé, et non un mot de passe, est utilisée pour élever les autorisations d’administration de l’utilisateur afin que l’utilisateur puisse installer le Tanium Client et démarrer le service.

Connectivité réseau, ports et pare-feu.

Exigences TCP/IP pour le Tanium Client

Taas utilise Les composants Tanium Core Platform utilisent TCP/IP pour communiquer via les réseaux IPv4 et IPv6. Tanium Core Platform 7.2 ou les versions antérieures prennent en charge uniquement IPv4. Contactez l’assistance Tanium si vous avez besoin de la prise en charge d’IPv6 dans la version 7.3 ou une version ultérieure. Collaborez avec votre administrateur réseau pour vous assurer que les instances TaaScomposants Tanium ont des adresses IP et peuvent utiliser le système de noms de domaine (DNS) pour résoudre les noms d’hôte.

Exigences de port pour le Tanium Client

Les ports suivants sont les ports par défaut qui sont requis pour la communication du Tanium Client.

T : Tableau 4 : Exigences de port par défautport pour le Tanium Client
Composant	Port	Protocole	Direction	Objectif
Serveur Tanium	17472	TCP	Entrant/Sortant	Utilisé pour la communication entre le serveur Tanium et le Tanium Client.
Zone Server	17472	TCP	Entrant/Sortant	Utilisé pour la communication entre le zone Server et le Tanium Client.
Tanium Client	17472	TCP	Entrant/Sortant	Utilisé pour la communication entre le Tanium Client et TaaS le serveur Tanium ou le zone Server, et entre le Tanium Client et les clients peer.
Tanium Client	17473	TCP	Bouclage	Utilisé pour l’API du Tanium Client (ne nécessite généralement pas de règle de pare-feu)

Travaillez avec votre administrateur de sécurité réseau pour vous assurer que les pare-feux et les applications de sécurité ne bloquent pas le port 17472, lequel le port que le Tanium Client utilise pour la communication avec TaaS le serveur Tanium ou le zone Server, et avec les clients peer (le port par défaut est 17472). Vous pouvez modifier le port que les clients utilisent pour communiquer avec le serveur en configurant le paramètre ServerPort. Vous pouvez également modifier le port que les clients utilisent pour la communication peer en configurant le paramètre ListenPort. Si vous ne configurez pas ListenPort (PortÉcoute), les clients utilisent par défaut ServerPort (PortServeur) pour la communication entre peers. Les paramètres de peering client par défaut garantissent que les clients forment des chaînes linéaires uniquement dans les limites des réseaux locaux (LAN). Par conséquent, les pare-feux doivent permettre une communication TCP bidirectionnelle sur le port d’écoute entre les clients qui se trouvent sur le même LAN, mais pas nécessairement entre tous les clients sur votre réseau étendu (WAN) d’entreprise. Pour plus d’informations sur les exigences de port réseau dans Tanium, consultez le Guide de référence du déploiement de Tanium Core Platform : Ports réseau Tanium Guide de déploiement de Tanium as a Service : Exigences de sécurité réseau et hôte. Pour plus d’informations sur les paramètres de peering du client, reportez-vous à la section Guide de déploiement de Tanium Client : Configuration du peering des Tanium Clients.

macOS :

Le service Tanium Client est signé pour autoriser automatiquement la communication via le pare-feu macOS par défaut. Toutefois, le processus d’installation du client ne modifie pas les pare-feux basés sur l’hôte qui pourraient être utilisés. Pour plus d’informations sur la gestion des pare-feux macOS, reportez-vous à la section Règles de pare-feu macOS.

Sur les endpoints qui exécutent macOS 10.14 (Mojave) ou une version ultérieure, vous devrez peut-être configurer une règle de pare-feu pour empêcher les utilisateurs finaux de voir une fenêtre contextuelle pour autoriser les connexions pendant une mise à niveau du Tanium Client. Reportez-vous à la section Gérer les fenêtres contextuelles pour les mises à niveau du Tanium Client.

Linux : Pour plus d’informations sur la gestion des pare-feux Linux, reportez-vous à la section Règles de pare-feu Linux.

La figure suivante illustre un déploiement avec des Tanium Clients externes et internes. Dans cet exemple, les clients externes se trouvent dans des réseaux privés virtuels (VPN) et n’établissent pas de peering les uns avec les autres (reportez-vous à la section Configurer des sous-réseaux isolés). Chaque client externe dispose d’une connexion principale au Tanium Zone Server. Les clients internes établissent un peering les uns avec les autres dans les chaînes linéaires, et chaque chaîne se connecte au serveur Tanium par l’intermédiaire d’un leader en amont et en aval.

F : Figure 5 : Connectivité du Tanium Client

La figure suivante illustre un déploiement dans lequel les Tanium Clients ont des connexions directes du endpoint au TaaS sur le port 17486 pour les modules Tanium qui utilisent le service partagé Tanium™ Direct Connect. Par conséquent, les pare-feux doivent autoriser le trafic sur le port 17486 ainsi que sur le port 17472. Les clients des réseaux privés virtuels (VPN) n’établissent pas de peering les uns avec les autres et chacun de ces clients dispose d’une connexion principale au TaaS (reportez-vous à la section Configurer des sous-réseaux isolés). Les clients qui établissent un peering entre eux se connectent au TaaS par l’intermédiaire de leaders amont et aval aux extrémités opposées de leurs chaînes linéaires.

F : Figure 6 : Connectivité du Tanium Client

Le serveur Tanium et le zone Server utilisent également le port 17472. Par conséquent, si vous installez le client sur le même hôte que le serveur dans un déploiement Windows, le port d’écoute pour la communication client-à-client augmente automatiquement jusqu’à 17473 sur cet hôte pour éviter les conflits de port. Cette installation n’est pas une bonne pratique (reportez-vous à la section Compatibilité entre les serveurs de la Tanium Core Platform et les Tanium Clients).

Si vous configurez le Tanium Client pour sélectionner aléatoirement un nouveau port d’écoute à intervalles, vous devez configurer des pare-feux de endpoint pour autoriser les connexions entrantes sur n’importe quel port que le Tanium Client demande. Consultez la section Randomiser les ports d’écoute.

Configurez les politiques de pare-feu pour ouvrir des ports pour le trafic Tanium avec des règles basées sur TCP au lieu de règles basées sur l’identité de l’application. Par exemple, sur un pare-feu Palo Alto Networks, configurez les règles avec des objets de service ou des groupes de services au lieu d’objets d’application ou de groupes d’applications.

Certains modules et services partagés Tanium ont des exigences de port supplémentaires pour le Tanium Client : consultez le Guide de référence du déploiement de Tanium Core Platform : Exigences de port spécifiques au module et au service.

Le numéro de port de l’API client est supérieur d’un chiffre à celui du port d’écoute client-client, ce qui signifie que, par défaut, le port de l’API est 17473. Toutefois, si le port d’écoute change, le port d’API change également. Par exemple, si vous définissez ListenPort (PortÉcoute) sur 17473, le port de l’API client devient 17474. Comme l’API se trouve sur l’interface de bouclage (hôte local), le port de l’API ne nécessite généralement pas de règle de pare-feu pour autoriser le trafic.

Exigences relatives au port pour Client Management

Les ports suivants sont requis pour la communication de Client Management.

T : Tableau 7 : Exigences relatives au port pour Client Management
Source	Destination	Port	Protocole	Objectif
Serveur du module	Endpoints (non-Windows)	22	TCP	Utilisé pour la communication SSH depuis le serveur du module vers le endpoint cible pendant l’installation du client.
Serveur du module	Endpoints(Windows)	135	TCP	Utilisé pour la communication WMI depuis le serveur du module vers le endpoint cible pendant l’installation du client.
Serveur du module	Endpoints(Windows)	445	TCP	Utilisé pour la communication SMB depuis le serveur du module vers le endpoint cible pendant l’installation du client.
Tanium Client (interne)	Serveur du module	17475	TCP	Utilisé pour la connexion directe aux endpoints pour des informations détaillées sur l’intégrité du client.
Tanium Client (externe)	Zone Server¹	17486	TCP	Utilisé pour la connexion directe aux endpoints pour des informations détaillées sur l’intégrité du client. Le numéro de port par défaut est 17486. Si nécessaire, vous pouvez spécifier un numéro de port différent lorsque vous configurez le proxy de zone.
Serveur du module	Zone Server¹	17487	TCP	Utilisé par le zone Server pour les connexions du serveur du module. Le numéro de port par défaut est 17487. Si nécessaire, vous pouvez spécifier un numéro de port différent lorsque vous configurez le proxy de zone.
Serveur du module	Zone Server¹	17488	TCP	Permet la communication entre le zone Server et le serveur du module. Sur TanOS, le programme d’installation du proxy de zone de Direct Connect ouvre automatiquement le port 17488 sur le Zone Server. Ce port doit être ouvert manuellement sous Windows.
¹Ces ports sont requis uniquement lorsque vous utilisez un zone Server.

T : Tableau 7 : Exigences relatives au port pour Client Management
Source	Destination	Port	Protocole	Objectif
Tanium Client	TaaS	17486	TCP	Utilisé pour la connexion directe aux endpoints pour des informations détaillées sur l’intégrité du client.

Pour plus d’informations sur la préparation des endpoints pour l’installation à distance, reportez-vous à la section Préparer le déploiement sur des endpoints Linux, macOS ou UNIX et Préparer le déploiement sur les endpoints Windows.

Exceptions de sécurité du système hôte

Certains environnements utilisent un logiciel de sécurité pour surveiller et bloquer les processus système hôte inconnus. Collaborez avec votre équipe réseau et sécurité pour définir les exclusions qui permettent aux composants et processus de TaaSTanium Core Platform de fonctionner de manière fluide et à des performances optimales.

Exclusions de sécurité pour le Tanium Client

Pour le Tanium Client, vous devez généralement configurer un logiciel de sécurité pour exempter les répertoires d’installation du Tanium Client de l’inspection en temps réel et configurer une politique pour ignorer les entrées et sorties des binaires Tanium.

Les outils et fichiers suivants ont des exigences spécifiques pour le Tanium Client :

Objets de stratégie de groupe Microsoft (GPO) ou autres outils de gestion centralisée pour la gestion des pare-feux hôtes : Vous devrez peut-être créer des règles pour autoriser le trafic TCP entrant et sortant à travers le port que le client utilise pour le trafic Tanium (par défaut 17472) sur tous les endpoints gérés. Reportez-vous à la section Connectivité réseau, ports et pare-feu..
Système de prévention d’intrusion d’hôte (HIPS) McAfee : Marquez le Tanium Client comme Trusted for Firewall (De confiance pour le pare-feu) et Trusted for IPS (De confiance pour IPS), conformément à McAfee KB71704.
Fichier d’analyse hors ligne Windows Update (Wsusscn2.cab) : Le Tanium Client utilise Wsusscn2.cab afin d’évaluer les endpoints concernant les correctifs de sécurité des applications et de système d’exploitation installés ou manquants. Si vos solutions de sécurité des endpoints analysent les fichiers d’archives, reportez-vous à Microsoft KB pour plus d’informations sur la configuration de ces outils afin qu’ils interagissent correctement avec le fichier Wsusscn2.cab.

Certains modules et services partagés Tanium ont leurs propres exclusions de sécurité pour le Tanium Client. Pour plus d’informations, voir Tanium Core Platform Deployment Reference Guide: Host system security exclusion (Exclusions de sécurité du système hôte).

T : Tableau 8 répertorie les répertoires du Tanium Client que le logiciel antivirus ou d’autres applications de sécurité basées sur l’hôte doivent exclure des analyses en temps réel ou en accès direct. Incluez les sous-répertoires de ces emplacements lorsque vous créez les règles d’exception. Les chemins de répertoire répertoriés sont les paramètres par défaut. Si vous avez modifié les emplacements du répertoire pour des chemins d’accès autres que ceux par défaut, créez des règles qui sont basées sur les emplacements réels.

T : Tableau 8 : Exclusions de sécurité pour les répertoires Tanium Client
SE des endpoints	Répertoire d’installation
Windows 32 bits	\Program Files\Tanium\Tanium Client
Windows 64 bits	\Program Files (x86)\Tanium\Tanium Client
macOS	/Library/Tanium/TaniumClient
Linux, Solaris, AIX	/opt/Tanium/TaniumClient

Les applications de sécurité doivent autoriser (pas bloquer, mettre en quarantaine ou autrement traiter) les processus système suivants. La <Tanium Client> variable indique le répertoire d’installation du Tanium Client, qui est configurable pendant l’installation du client.

T : Tableau 9 : Exclusions de sécurité pour les processus système sur les endpoints du Tanium Client
SE des endpoints	Processus
Windows, macOS, Linux	<Tanium Client>répertoire /Tools/StdUtils ou tous les fichiers qu’il contient, y compris : 7za.exe (Windows) ou 7za (macOS, Linux) runasuser.exe (Windows uniquement) runasuser64.exe (Windows uniquement) TaniumExecWrapper.exe (Windows) ou TaniumExecWrapper (macOS, Linux) TaniumFileInfo.exe (Windows uniquement) TPowerShell.exe (Windows uniquement)
macOS, Linux, Solaris, AIX	TaniumClient
macOS, Linux, Solaris, AIX	taniumclient
macOS, Linux	distribute-tools.sh
	TaniumCX
	python
Windows	TaniumClient.exe
	TaniumCX.exe
	TPython.exe
	<Tanium Client>\Python27\*.dll
	<Tanium Client>\Python38\*.dll

Exclusions de sécurité pour Client Management

Si vous utilisez le service Tanium Client Management, votre administrateur de sécurité doit créer les exclusions supplémentaires suivantes pour permettre aux processus de Client Management de s’exécuter sans interférence.

La <Tanium Client> variable fait référence au répertoire d’installation du Tanium Client, qui est configurable pendant le déploiement du client.

La variable <Module Server> fait référence au répertoire d’installation du serveur de module Tanium.

T : Tableau 10 : Exclusions de sécurité de Client Management
Dispositif cible	Remarques	Processus
Serveur du module		<Module Server>\services\client-management-service\node.exe
Serveur du module		<Module Server>\services\twsm-v1\twsm.exe
Endpoints Windows x86	Pendant l’installation du client	\Program Files\Tanium\TaniumClientBootstrap.exe
	Pendant l’installation du client	\Program Files\Tanium\SetupClient.exe
	Pendant l’installation du client	<Tanium Client>\SetupClient.exe
		<Tanium Client>\TaniumClientExtensions.dll
		<Tanium Client>\TaniumClientExtensions.dll.sig
		<Tanium Client>\extensions\TaniumDEC.dll
		<Tanium Client>\extensions\TaniumDEC.dll.sig
		<Tanium Client>\TaniumCX.exe
Endpoints Windows x64	Pendant l’installation du client	\Program Files (x86)\Tanium\TaniumClientBootstrap.exe
	Pendant l’installation du client	\Program Files (x86)\Tanium\SetupClient.exe
	Pendant l’installation du client	<Tanium Client>\SetupClient.exe
		<Tanium Client>\TaniumClientExtensions.dll
		<Tanium Client>\TaniumClientExtensions.dll.sig
		<Tanium Client>\extensions\TaniumDEC.dll
		<Tanium Client>\extensions\TaniumDEC.dll.sig
		<Tanium Client>\TaniumCX.exe
Endpoints macOS	Pendant l’installation du client	/Library/Tanium/TaniumClientBootstrap
	Pendant l’installation du client	/Library/Tanium/SetupClient
	Pendant l’installation du client	<Tanium Client>/SetupClient
		<Tanium Client>/libTaniumClientExtensions.dylib
		<Tanium Client>/libTaniumClientExtensions.dylib.sig
		<Tanium Client>/extensions/libTaniumDEC.dylib
		<Tanium Client>/extensions/libTaniumDEC.dylib.sig
		<Tanium Client>/TaniumCX
Endpoints Linux	Pendant l’installation du client	/opt/Tanium/TaniumClientBootstrap
	Pendant l’installation du client	/opt/Tanium/SetupClient
	Pendant l’installation du client	<Tanium Client>/SetupClient
		<Tanium Client>/libTaniumClientExtensions.so
		<Tanium Client>/libTaniumClientExtensions.so.sig
		<Tanium Client>/extensions/libTaniumDEC.so
		<Tanium Client>/extensions/libTaniumDEC.so.sig
		<Tanium Client>/TaniumCX
Endpoints Solaris et AIX	Pendant l’installation du client	/opt/Tanium/TaniumClientBootstrap
	Pendant l’installation du client	/opt/Tanium/SetupClient
	Pendant l’installation du client	<Tanium Client>/SetupClient

T : Tableau 10 : Exclusions de sécurité de Client Management
Dispositif cible	Processus
Endpoint Windows x86	<Tanium Client>\TaniumClientExtensions.dll
	<Tanium Client>\TaniumClientExtensions.dll.sig
	<Tanium Client>\extensions\TaniumDEC.dll
	<Tanium Client>\extensions\TaniumDEC.dll.sig
	<Tanium Client>\TaniumCX.exe
Endpoints Windows x64	<Tanium Client>\TaniumClientExtensions.dll
	<Tanium Client>\TaniumClientExtensions.dll.sig
	<Tanium Client>\extensions\TaniumDEC.dll
	<Tanium Client>\extensions\TaniumDEC.dll.sig
	<Tanium Client>\TaniumCX.exe
Endpoints macOS	<Tanium Client>/libTaniumClientExtensions.dylib
	<Tanium Client>/libTaniumClientExtensions.dylib.sig
	<Tanium Client>/extensions/libTaniumDEC.dylib
	<Tanium Client>/extensions/libTaniumDEC.dylib.sig
	<Tanium Client>/TaniumCX
Endpoints Linux	<Tanium Client>/libTaniumClientExtensions.so
	<Tanium Client>/libTaniumClientExtensions.so.sig
	<Tanium Client>/extensions/libTaniumDEC.so
	<Tanium Client>/extensions/libTaniumDEC.so.sig
	<Tanium Client>/TaniumCX

URL Internet

Si le logiciel de sécurité est déployé dans l’environnement pour surveiller et bloquer les URL inconnues, votre administrateur de sécurité peut devoir ajouter les URL suivantes à la liste approuvée.

https://content.tanium.com

Exigences relatives au rôle d’utilisateur pour Client Management

Les tableaux suivants répertorient les permissions de rôle requises pour utiliser Client Management. Pour plus d’informations sur les permissions de rôle et les content sets associés, reportez-vous au Guide d’utilisation de Tanium Core Platform : Gestion du RBAC.

Pour installer Client Management, vous devez disposer de la permission de micro admin Import Signed Content (Importer le contenu signé) (Tanium Core Platform 7.4 ou version ultérieure) ou du rôle réservé d’administrateur.

T : Tableau 11 : Permissions du rôle d’utilisateur Client Management
Permission	Administrateur de Client Management¹	Utilisateur de Client Management¹	Utilisateur de l’API Client Management	Auditeur de Client Management	Opérateur de Client Management	Utilisateur en lecture seule de Client Management¹
Afficher Clientmanagement Afficher les interfaces Client Management
Lecture des configurations Client Management Lire les configurations du client et de déploiement
Écriture des configurations de Client Management Créer et modifier les configurations de client et de déploiement
Lecture des informations d’identification de Client Management Lire la liste des informations d’identification, mais ne pas afficher les mots de passe associés ou les données clés
Écriture des informations d’identification de Client Management Créer et modifier les listes d’informations d’identification
Lecture des déploiements de Client Management Afficher les données sur les déploiements client
Écriture des déploiements de Client Management Créer des déploiements du Tanium Client vers des endpoints non gérés
Direct Connect Client Management Connectez-vous à un endpoint à l’aide de Direct Connect et lisez les données de cet endpoint
Opérer Client Management Télécharger les packages d’installation pour le Tanium Client
Écriture des paramètres de Client Management Écrire l’accès aux paramètres globaux dans le module Client Management
Journal d’audit de lecture de Client Management Lire le journal d’audit avec API
API d’utilisation de Client Management Écrire l’accès aux paramètres globaux dans le module Client Management
Lecture de session Direct Connect Permet aux utilisateurs d’afficher les connexions des endpoints
Écriture de session Direct Connect Permet aux utilisateurs de créer et de gérer les connexions des endpoints
¹ Ce rôle fournit les permissions de module pour Tanium Trends. Vous pouvez afficher quelles permissions de tendances sont accordées à ce rôle dans Tanium Console. Pour plus d’informations, reportez-vous au Guide d’utilisation de Tanium Trends : Exigences du rôle d’utilisateur.

T : Tableau 12 : Permissions de rôle d’utilisateur avancé et Micro administrateur Client Management fournies
Permission	Type de rôle	Content set pour permission
Read System Status	Micro Admin
Read Sensor	Avancés	Tanium Client Management
Read Sensor	Avancés	Réservé
Read Sensor	Avancés	Base
Read Sensor	Avancés	Extensions client
Read Sensor	Avancés	Connexion directe
Read Action	Avancés	Réservé
Read Action	Avancés	Connexion directe
Write Action	Avancés	Réservé
Write Action	Avancés	Connexion directe
Execute Plugin	Avancés	Tanium Client Management
Execute Plugin	Avancés	Réservé
Read Package	Avancés	Réservé
Read Package	Avancés	Connexion directe
Write Package	Avancés	Réservé
Write Package	Avancés	Connexion directe
Read Saved Question (Lire question enregistrée)	Avancés	Tanium Client Management
Read Saved Question (Lire question enregistrée)	Avancés	Réservé
Read Saved Question (Lire question enregistrée)	Avancés	Connexion directe
Lire le groupe de filtres	Avancés	Tanium Client Management
Lire le groupe de filtres	Avancés	Réservé
Lire le groupe de filtres	Avancés	Groupes de filtres par défaut

T : Tableau 13 : Rôles facultatifs pour Client Management
Rôle	Active
Utilisateur en lecture seule de Discover	Pour le compte de service : déployez vers les endpoints en fonction des étiquettes Discover

Pour plus d’informations et de descriptions sur les permissions et les content sets, reportez-vous au Guide d’utilisation de Tanium Core Platform : Gestion des rôles.