Paramètres du serveur de Tanium Core Platform

Les paramètres pour les serveurs de Tanium Core Platform ne s’appliquent pas aux déploiements de Tanium en tant que service.

Vous configurez les paramètres du système hôte de la plupart des serveurs de Tanium Core Platform pendant l’installation. Lors du dépannage d’un problème, l’assistance Tanium peut vous demander d’examiner ou de confirmer ces paramètres, mais vous demandera rarement de les modifier. Si l’assistance vous demande de modifier les paramètres, vous pouvez en changer de nombreux via Tanium Console dans Tanium Core Platform version 7.4 ou ultérieure (reportez-vous au Guide d’utilisation de Tanium Console : gestion des paramètres du serveur Tanium (local)). Les sections suivantes décrivent comment configurer les paramètres par des moyens autres que la console.

Vous pouvez contacter l’assistance Tanium à l’adresse [email protected].

Appliance Tanium 

Le tableau suivant répertorie les emplacements de la base de données de configuration pour les paramètres que vous configurez lors de l’installation des serveurs de Tanium Core Platform. Vous pouvez utiliser les menus TanOS pour ajouter, supprimer ou modifier des paramètres avec les conseils de l’assistance Tanium ([email protected]).

T :  Tableau 1 : Emplacements de la base de données de configuration pour les paramètres du serveur de Tanium Core Platform
Composant Emplacement DB
Serveur Tanium /opt/Tanium/TaniumServer/server.db
Serveur du module /opt/Tanium/TaniumModuleServer/server.db
Zone Server
/opt/Tanium/TaniumZoneServer/zoneserver.db
Téléchargeur Tanium /opt/Tanium/TaniumServer/tdownloader.db
/opt/Tanium/TaniumModuleServer/tdownloader.db

Modifier les paramètres de serveur

  1. Connectez-vous à la console TanOS en tant qu’utilisateur tanadmin.
  2. Entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium).
  3. Entrez 2 pour accéder au menu Tanium Configuration Settings (Paramètres de configuration Tanium).
  4. Utilisez le menu pour afficher et modifier les paramètres de composant serveur Tanium.



Serveur Tanium

T :  Tableau 2 : Paramètres du serveur Tanium
Paramètres Recommandations
AddressMask Valeur hexadécimale d’un CIDR sous-réseau délimitant les clients appartenant à une chaîne.

Ne modifiez pas ce paramètre, sauf si votre assistance Tanium vous le demande.

AllowedHubs Le hub de zone Server autorisé à se connecter à ce serveur Tanium. Le hub Zone Server est situé sur l’appliance du serveur Tanium et ce paramètre a pour valeur : 127.0.0.1.
AuthPluginTimeoutSeconds La valeur par défaut est 60.
AuthenticationPlugin Chaîne spécifiant le module d’authentification enfichable (PAM).
ConsoleSettingsJSON Chemin vers le fichier de paramètres de Tanium Console.
LogPath L’emplacement des journaux du serveur Tanium. La valeur par défaut est /opt/Tanium/TaniumServer/Logs.
LogVerbosityLevel Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log normal.
  • 41 : Recommandé pendant le dépannage.
  • >= 91 : Niveau de log le plus détaillé. Activer pour de courtes périodes uniquement.
ModuleServer Adresse IP du serveur du module.
ModuleServerPort Port du serveur du module. La valeur par défaut est 17477.
PKIDatabasePassword Vous devez ajouter manuellement ce paramètre pour empêcher un accès non autorisé au fichier pki.db contenant les clés racine du serveur Tanium, les clés de signature de message et les clés TLS. Définir le Value Type (Type de valeur) sur protected (protégé) et spécifiez un mot de passe pour crypter le fichier pki.db. Le fichier se trouve dans le dossier d’installation du serveur Tanium et une copie réside dans le sous-dossier /backups. Pour plus de détails sur ces clés, reportez-vous au Guide d’utilisation de Tanium Console : gestion des clés Tanium.
ReportingTLSCertPath Paramètre pour les connexions entrantes. Chemin vers le certificat TLS créé lors de l’installation. Ce certificat est utilisé dans les connexions TLS initiées par le client Tanium, le hub Tanium Zone Server ou le Tanium Zone Server.
ReportingTLSKeyPath Paramètre pour les connexions entrantes. Chemin vers le fichier de clé privée utilisé dans les connexions TLS. Ce paramètre doit être présent pour activer TLS.
ReportingTLSMode Configure TLS pour les connexions sortantes que le serveur Tanium initie. Les valeurs possibles sont :
  • 0 (TLS non utilisé)
  • 1 (TLS requis)
  • 2 (TLS facultatif)

Les appliances du serveur Tanium utilisent un tunnel IPSec au lieu de TLS pour sécuriser le trafic de synchronisation LDAP de l’appliance et de la base de données Tanium. Les serveurs utilisent TLS pour sécuriser toutes les autres communications entre eux.

RequireIncomingEncryption Paramètre pour les connexions entrantes. Implicitement défini sur 0 par défaut. Pour définir une valeur différente, vous devez ajouter le paramètre.
  • 0 (TLS non requis)
  • 1 (TLS requis)

Important : Lorsque RequireIncomingEncryption est défini sur 1, seules les demandes de connexion TLS sont traitées, de sorte que seuls les clients Tanium disposant de TLS activé puissent s’inscrire et être gérés. Ne pas définir sur 1 avant que tous les clients Tanium qui ont été déployés ne soient configurés pour utiliser TLS (ReportingTLSMode=1 or ReportingTLSMode=2), et que vous ne soyez prêt à déployer le client Tanium vers de nouveaux endpoints avec TLS configuré avant l’inscription initiale.

ServerPort Port du serveur Tanium. Le serveur écoute les clients Tanium sur ce port. La valeur par défaut est 17472. Ne modifiez pas le paramètre ServerPort dans le fichier de configuration TaniumServer.ini ; utilisez plutôt le menu Tanium Operations > Change Tanium Port (Opérations Tanium > Modifier le port Tanium).
ServerSOAPPort Console Tanium et port API SOAP. La valeur par défaut est 8443. Le port 443 redirige vers ce port 8443.
SQLConnectionString Informations de connexion du serveur de base de données. Voici quelques exemples :

Pour PostGresQL, reportez-vous à la documentation PostgreSQL pour connaître les mots clés pris en charge, comme dbname, port et user.

Si vous modifiez ce paramètre, vous devez redémarrer le serveur Tanium.

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK
SSLHonorCipherOrder La valeur par défaut est 1.
TrustedCertPath Chemin vers le fichier de certificat utilisé pour les connexions sécurisées vers le port de la console Tanium.
Version Numéro de version du serveur Tanium.

Téléchargeur Tanium du serveur Tanium

T :  Tableau 3 : Paramètres du téléchargeur Tanium (TDL) du serveur Tanium
Paramètres Recommandations
BypassCRLCheckHostList Utilisez ce paramètre pour répertorier les serveurs auxquels le serveur Tanium peut faire confiance sans vérifier une liste de révocation de certificats (CRL). Le serveur Tanium effectue une vérification CRL sur tous les serveurs qui ne sont pas dans cette liste et ne télécharge pas les fichiers d’un serveur qui échoue à la vérification. Spécifiez les serveurs par FQDN ou adresse IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
BypassProxyHostList Doit être défini avec une liste séparée par des virgules de FQDN ou d’adresses IP spécifiant tous les serveurs Tanium et le serveur du module, 127.0.0.1 et localhost. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]). Spécifiez des valeurs littérales. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques.

Remarque : des améliorations ont été apportées dans les versions récentes afin de contourner automatiquement le serveur proxy pour ces adresses hôtes :

7.0.314.6573+ — Bypass automatique 127.0.0.1 et localhost.

7.1.314.3204+ — Bypass automatique 127.0.0.1 et localhost.

7.2.314.3181+ — Bypass automatique du serveur Tanium, 127.0.0.1 et localhost.

7.3.314.2866+ — Bypass automatique du serveur Tanium, 127.0.0.1 et localhost.

LogVerbosityLevel Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log normal.
  • 41 : Recommandé pendant le dépannage.
  • >= 91 : Niveau de log le plus détaillé. Activer pour de courtes périodes uniquement.
ProxyServer Adresse IP du serveur proxy.

Remarque : par défaut, TDownloader (Téléchargeur Tanium) résout l’adresse du serveur proxy en tant qu’adresse IPv4. Si le serveur proxy possède une adresse IPv6, vous devez l’entrer entre parenthèses (par exemple, [2001:db8::1]) et configurer le paramètre TDownloader (Téléchargeur Tanium) ForceIPV6 sur 1.

ProxyPort Port d’écoute du serveur proxy.
ProxyType Les options sont Basic (Basique), NTLM, ou None (Aucun).
ProxyUserid Pour un serveur proxy qui nécessite une authentification, saisissez l’ID utilisateur pour établir la connexion avec le serveur proxy.
ProxyPassword Pour un serveur proxy qui nécessite une authentification, saisissez le mot de passe de l’utilisateur ProxyUserid pour établir la connexion avec le serveur proxy.
TrustedCertPath Chemin d’accès au bundle de l’autorité de certification (CA) du certificat TLS (Transport Layer Security) des certificats de confiance.
TrustedHostList Par défaut, le serveur Tanium valide le certificat SSL/TLS des serveurs distants lors de l’établissement des connexions à ceux-ci (par ex. pour télécharger des fichiers). Pour contourner la validation du certificat pour des serveurs spécifiques, saisissez leur adresse FQDN ou IP. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).

Dans un déploiement actif-actif, vous n’avez pas besoin d’ajouter les serveurs Tanium à la liste. Les serveurs se font automatiquement confiance, ainsi qu’au trafic de 127.0.0.1 ou localhost.

Contactez l’assistance Tanium avant de modifier ce paramètre.

ForceIPV6 Ajoutez ce paramètre manuellement si vous en avez besoin, mais uniquement avec les conseils de l’assistance Tanium ([email protected]). Dans les déploiements où le trafic entre les serveurs Tanium Core Platform et Internet passe par un serveur proxy, le téléchargeur Tanium résout l’adresse proxy comme adresse IPv4 par défaut. Si le serveur proxy possède une adresse IPv6, ajoutez le paramètre ForceIPV6 avec la valeur de 1.

Serveur de module Tanium

T :  Tableau 4 : Paramètres du serveur du module
Paramètres Recommandations
LogVerbosityLevel Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log normal.
  • 41 : Recommandé pendant le dépannage.
  • >= 91 : Niveau de log le plus détaillé. Activer pour de courtes périodes uniquement.
ServerPort Port du serveur du module. La valeur par défaut est 17477.
Version Numéro de version du serveur de module Tanium.

Téléchargeur Tanium du serveur du module

T :  Tableau 5 : Paramètres du téléchargeur Tanium du serveur du module
Paramètres Recommandations
BypassCRLCheckHostList Utilisez ce paramètre pour répertorier les serveurs auxquels le serveur Tanium peut faire confiance sans vérifier une liste de révocation de certificats (CRL). Le serveur Tanium effectue une vérification CRL sur tous les serveurs qui ne sont pas dans cette liste et ne télécharge pas les fichiers d’un serveur qui échoue à la vérification. Spécifiez les serveurs par FQDN ou adresse IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
BypassProxyHostList Doit être défini avec une liste séparée par des virgules de FQDN ou d’adresses IP spécifiant tous les serveurs Tanium et le serveur du module, 127.0.0.1 et localhost. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]). Spécifiez des valeurs littérales. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques.

Remarque : des améliorations ont été apportées dans les versions récentes afin de contourner automatiquement le serveur proxy pour ces adresses hôtes :

7.0.314.6573+ — Bypass automatique 127.0.0.1 et localhost.

7.1.314.3204+ — Bypass automatique 127.0.0.1 et localhost.

7.2.314.3181+ — Bypass automatique du serveur Tanium, 127.0.0.1 et localhost.

7.3.314.2866+ — Bypass automatique du serveur Tanium, 127.0.0.1 et localhost.

LogVerbosityLevel Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log normal.
  • 41 : Recommandé pendant le dépannage.
  • >= 91 : Niveau de log le plus détaillé. Activer pour de courtes périodes uniquement.
ProxyServer Adresse IP du serveur proxy.

Remarque : par défaut, TDownloader (Téléchargeur Tanium) résout l’adresse du serveur proxy en tant qu’adresse IPv4. Si le serveur proxy possède une adresse IPv6, vous devez l’entrer entre parenthèses (par exemple, [2001:db8::1]) et configurer le paramètre TDownloader (Téléchargeur Tanium) ForceIPV6 sur 1.

ProxyPort Port d’écoute du serveur proxy.
ProxyType Les options sont Basic (Basique), NTLM, ou None (Aucun).
ProxyUserid Pour un serveur proxy qui nécessite une authentification, saisissez l’ID utilisateur pour établir la connexion avec le serveur proxy.
ProxyPassword Pour un serveur proxy qui nécessite une authentification, saisissez le mot de passe de l’utilisateur ProxyUserid pour établir la connexion avec le serveur proxy.
TrustedCertPath Chemin d’accès au bundle de l’autorité de certification (CA) du certificat TLS (Transport Layer Security) des certificats de confiance.
TrustedHostList Par défaut, le serveur du module valide le certificat SSL/TLS des serveurs distants lors de l’établissement des connexions à ceux-ci (par exemple, pour le téléchargement des mises à jour logicielles du module). Pour contourner la validation du certificat pour des serveurs spécifiques, saisissez leur adresse FQDN ou IP. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).

Contactez l’assistance Tanium avant de modifier ce paramètre.

ForceIPV6 Ajoutez ce paramètre manuellement si vous en avez besoin, mais uniquement avec les conseils de votre assistance Tanium ([email protected]). Dans les déploiements où le trafic entre les serveurs Tanium Core Platform et Internet passe par un serveur proxy, le téléchargeur Tanium résout l’adresse proxy comme adresse IPv4 par défaut. Si le serveur proxy possède une adresse IPv6, ajoutez le paramètre ForceIPV6 avec la valeur de 1.

Tanium Zone Server

T :  Tableau 6 : Paramètres du Zone Server
Paramètres Recommandations
AllowedHubs Une liste CSV des adresses IP des hubs Zone Server autorisés à communiquer avec ce zone Server.
EnforceAllowedHubs Définissez la valeur sur 1.
HubPriorityList Ce paramètre s’applique uniquement à Tanium Core Platforme 7.4 ou ultérieure. Le paramètre spécifie l' adresse FQDN ou IP du hub de zone Server préféré pour l’envoi du contenu du client Tanium (telles que les définitions de capteur, les informations de configuration et les fichiers d’action) au zone Server. Tant que ce hub est disponible, le zone Server ne reçoit pas de contenu d’autres hubs. Si le hub préféré tombe en panne, le zone Server ne reçoit pas de contenu des autres concentrateurs disponibles.
LogVerbosityLevel Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log normal.
  • 41 : Recommandé pendant le dépannage.
  • >= 91 : Niveau de log le plus détaillé. Activer pour de courtes périodes uniquement.
ReportingTLSCertPath Paramètre pour les connexions entrantes. Chemin vers le certificat TLS. Ce certificat est utilisé dans les connexions TLS initiées par le client Tanium.
ReportingTLSKeyPath Paramètre pour les connexions entrantes. Chemin vers le fichier de clé privée utilisé dans les connexions TLS. Ce paramètre doit être présent pour activer TLS.
ReportingTLSMode Configure TLS pour les connexions sortantes que le serveur initie. Sur un hub Zone Server, vous configurez cette option pour activer TLS pour le hub Zone Server vers le segment Zone Server. Automatiquement défini sur 2 lorsque vous effectuez la configuration du Zone Server TLS.
  • 0 (TLS non utilisé)
  • 1 (TLS requis)
  • 2 (TLS facultatif)
RequireIncomingEncryption Paramètre pour les connexions entrantes. Automatiquement défini sur 0 lorsque vous effectuez la configuration du Zone Server TLS.
  • 0 (TLS non requis)
  • 1 (TLS requis)

Important : Lorsque RequireIncomingEncryption est défini sur 1, seules les demandes de connexion TLS sont traitées, de sorte que seuls les clients Tanium disposant de TLS activé puissent s’inscrire et être gérés. Ne pas définir sur 1 avant que tous les clients Tanium qui ont été déployés ne soient configurés pour utiliser TLS (ReportingTLSMode=1 or ReportingTLSMode=2), et que vous ne soyez prêt à déployer le client Tanium vers de nouveaux endpoints avec TLS configuré avant l’inscription initiale.

ServerName Nom de domaine complet du serveur Tanium (FQDN).
ServerPort Port du serveur Tanium. La valeur par défaut est 17472.
Version Numéro de version du Zone Server Tanium.
ZoneHubFlag 0 si pas le hub ; 1 si le hub.

Windows

Le tableau suivant répertorie les emplacements du registre Windows pour les paramètres que vous configurez lors de l’installation des serveurs de Tanium Core Platform. Pour afficher ou modifier les paramètres, utilisez Interface de ligne de commande (CLI).

T :  Tableau 7 : Emplacements du registre Windows
Composant Emplacement du registre Windows
Serveur Tanium HKLM\Software\Wow6432Node\Tanium\Tanium Server
Serveur du module HKLM\Software\Wow6432Node\Tanium\Tanium Module Server
Zone Server
Hub de Zone Servers
HKLM\Software\Wow6432Node\Tanium\Tanium ZoneServer
Téléchargeur Tanium HKLM\Software\Wow6432Node\Tanium\Downloader

Serveur Tanium

T :  Tableau 8 : Paramètres du serveur Tanium
Nom Type de registre Windows Données
AddressMask REG_DWORD Valeur hexadécimale d’un CIDR sous-réseau délimitant les clients IPv4 appartenant à une chaîne linéaire. Ne modifiez pas cette valeur de registre, sauf si votre assistance Tanium vous demande de le faire.
AddressPrefixIPv6 REG_DWORD Préfixe IPv6 représenté comme un nombre décimal compris entre 0 et 128 inclus, délimitant les clients appartenant à une chaîne linéaire. La valeur par défaut 0 ne spécifie pas de peering. Contactez l’assistance Tanium à l’adresse [email protected] pour déterminer la valeur optimale pour le peering dans les réseaux IPv6. Tanium Core Platform 7.3 et versions ultérieures.
AllowedHubs REG_SZ Saisissez une liste séparée par des virgules des hubs Zone Server autorisés à communiquer avec ce serveur Tanium. Spécifiez les hubs par FQDN ou adresse IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]). Notez que vous pouvez configurer la clé AllowLocalHubs en tant qu’exception à la liste AllowedHubs.
AllowLocalHubs REG_DWORD Par défaut, cette clé n’est pas présente dans le registre mais a une valeur de 1, ce qui permet à n’importe quel hub Zone Server local de communiquer avec le serveur Tanium indépendamment du paramètre AllowedHubs. Ajoutez cette clé de registre manuellement si vous en avez besoin, mais uniquement avec l’aide de votre assistance Tanium. Définir la valeur sur 0 permet aux hubs Zone Server locaux de communiquer avec le serveur Tanium uniquement s’ils sont répertoriés dans AllowedHubs.
BypassCRLCheckHostList REG_SZ Serveurs auxquels le serveur Tanium fait confiance sans vérifier une liste de révocation de certificats (CRL). Le serveur Tanium effectue une vérification CRL sur tous les serveurs qui ne sont pas dans cette liste et ne télécharge pas les fichiers d’un serveur qui échoue à la vérification. Spécifiez les serveurs par FQDN ou adresse IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
BypassProxyHostList REG_SZ Hôtes contournant le serveur proxy. Par exemple, n’utilisez pas de serveur proxy pour le trafic entre serveurs Tanium dans un cluster actif/actif.

Un serveur proxy peut causer des problèmes avec d’autres trafics vers un serveur Tanium de destination. Par exemple, une configuration de package peut spécifier des URI de fichier qui sont locales au serveur Tanium pour télécharger du contenu. Il est important de contourner le serveur proxy pour ces URI, sinon le téléchargement échouera.

Saisissez les exceptions en tant que FQDN ou adresses IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]. Dans la plupart des cas, les exceptions que vous devez spécifier sont localhost, 127.0.0.1 (IPv4), [::1] (IPv6) et tous les FQDN et adresses IP de serveurs Tanium. Par exemple :

ts1.example.com, ts2.example.com,localhost,127.0.0.1, [::1],10.10.10.11,10.10.10.15

Spécifiez des valeurs littérales. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques.

ConsoleSettingsJSON REG_SZ Chemin vers le fichier de paramètres de la console.
DBUserDomain REG_SZ Le domaine pour le compte de service qui se connecte au serveur de base de données. Spécifié lorsque vous avez terminé l’assistant d’installation.
DBUserName REG_SZ Nom d’utilisateur pour le compte de service qui se connecte au serveur de base de données. Spécifié lorsque vous avez terminé l’assistant d’installation.
EnforceAllowedHubs REG_DWORD La valeur par défaut 1 spécifie que le serveur Tanium applique le paramètre AllowedHubs : seuls les hubs Zone Server répertoriés dans AllowedHubs peuvent communiquer avec le serveur Tanium. La valeur 0 permet à n’importe quel hub Zone Server de communiquer avec le serveur Tanium, indépendamment du paramètre AllowedHubs.
LogPath REG_SZ Chemin vers les journaux du serveur Tanium.
LogVerbosityLevel REG_DWORD Spécifiez l’une des valeurs décimales suivantes pour le niveau de Log :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log pendant un fonctionnement normal.
  • 41 : Niveau de log conforme aux meilleures pratiques au cours d’un dépannage.
  • 91 ou supérieur : Activer les niveaux de log les plus détaillés pour de courtes périodes uniquement.
ModuleServer REG_SZ FQDN du serveur du module.
ModuleServerPort REG_DWORD Port du serveur du module. La valeur par défaut est 17477.
Chemin REG_SZ Chemin d’installation.
PGDLLPath REG_SZ Chemin vers les bibliothèques PostgreSQL Server.
PGRoot REG_SZ Chemin vers le répertoire d’installation de Postgres.
PKIDatabasePassword REG_SZ Vous devez ajouter manuellement ce paramètre pour empêcher un accès non autorisé au fichier pki.db contenant les clés racine du serveur Tanium, les clés de signature de message et les clés TLS. Définir le Value Type (Type de valeur) sur protected (protégé) et spécifiez un mot de passe pour crypter le fichier pki.db. Le fichier se trouve dans le dossier d’installation du serveur Tanium et une copie réside dans le sous-dossier /backups. Pour plus de détails sur ces clés, reportez-vous au Guide d’utilisation de Tanium Console : gestion des clés Tanium.
ProxyPassword REG_SZ Pour un proxy de base qui nécessite une authentification, ce paramètre est le mot de passe du compte utilisé lors de l’établissement d’une connexion avec le serveur proxy. Le mot de passe est stocké en texte simple dans le registre.

Ce paramètre ne s’applique pas aux serveurs proxy NTLM utilisant les informations d’identification du contexte utilisateur qui exécute le service du serveur Tanium.

ProxyPort REG_SZ Port d’écoute du serveur proxy.
ProxyType REG_SZ Basique ou NTLM.
ProxyServer REG_SZ Adresse IP du serveur proxy. Par défaut, le service téléchargeur Tanium (TDownloader) qui gère les téléchargements pour le serveur Tanium et le serveur du module Tanium résout l’adresse du serveur proxy en tant qu’adresse IPv4. Si le serveur proxy possède une adresse IPv6, vous devez l’entrer entre parenthèses (par exemple, [2001:db8::1]) et, sur les systèmes Windows, configurer le registre du téléchargeur Tanium avec une clé ForceIPV6 définie sur 1.
ProxyUserid REG_SZ Pour un proxy de base qui nécessite une authentification, ce paramètre est le nom d’utilisateur du compte utilisé lors de l’établissement d’une connexion avec le serveur proxy. Le mot de passe est stocké en texte simple dans le registre.

Ce paramètre ne s’applique pas aux serveurs proxy NTLM utilisant les informations d’identification du contexte utilisateur qui exécute le service du serveur Tanium.

PythonPath REG_SZ Paramètre obsolète qui n’est plus utilisé.
ServerName REG_SZ La liaison aux adaptateurs réseau que le serveur Tanium utilise pour écouter les inscriptions de client IPv4. La valeur par défaut 0.0.0.0 indique une liaison à tous les adaptateurs réseau. Ne modifiez pas cette valeur de registre, sauf si l’assistance Tanium vous demande de le faire.
ServerNameIPv6 REG_SZ Ajoutez cette clé de registre manuellement si vous en avez besoin, mais uniquement avec l’aide de l’assistance Tanium. Par défaut, la clé est masquée et a une valeur de [::], indiquant que le serveur Tanium se lie à tous les adaptateurs réseau pour écouter les inscriptions de client IPv6. Pour une liaison à un adaptateur réseau spécifique, ajoutez la clé et saisissez l’adresse IPv6 de l’adaptateur entre crochets (par exemple, [2001:db8::1]).
ServerPort REG_DWORD Port du serveur Tanium. Le serveur écoute les clients Tanium sur ce port. Spécifié lorsque vous avez terminé l’assistant d’installation. La valeur par défaut est 17472.
ServerSOAPPort REG_DWORD Console Tanium et port API SOAP. Spécifié lorsque vous avez terminé l’assistant d’installation. La valeur par défaut est 443.
SQLConnectionString REG_SZ Informations de connexion du serveur de base de données. Voici quelques exemples :

Pour PostGresQL, reportez-vous à la documentation PostgreSQL pour connaître les mots-clés pris en charge, comme dbname, port et user.

Si vous modifiez ce paramètre, vous devez redémarrer le serveur Tanium : reportez-vous au Guide d’utilisation de Tanium Console : Gérer le service du serveur Tanium.

TrustedCertPath REG_SZ Chemin vers le fichier de certificat utilisé pour les connexions sécurisées vers le port de la console Tanium. Le certificat est sélectionné lorsque vous avez terminé l’assistant d’installation.
TrustedHostList REG_SZ Par défaut, le serveur Tanium valide le certificat SSL/TLS des serveurs distants lors de l’établissement des connexions à ceux-ci (par ex. pour télécharger des fichiers). Pour contourner la validation du certificat pour des serveurs spécifiques, saisissez leur adresse FQDN ou IP. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).

Dans un déploiement actif/actif, vous n’avez pas besoin d’ajouter les serveurs Tanium à la liste. Les serveurs se font automatiquement confiance, ainsi qu’au trafic de 127.0.0.1 ou localhost.

Contactez l’assistance Tanium avant de modifier ce paramètre.

Version REG_SZ Numéro de version du serveur Tanium.

Serveur de module Tanium

T :  Tableau 9 : Paramètres du serveur du module
Nom Type Données
LogVerbosityLevel REG_DWORD Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log pendant un fonctionnement normal.
  • 41 : Niveau de log conforme aux meilleures pratiques au cours d’un dépannage.
  • 91 ou supérieur : Activer les niveaux de log les plus détaillés pour de courtes périodes uniquement.
Chemin REG_SZ Chemin d’installation.
PythonPath REG_SZ Paramètre obsolète qui n’est plus utilisé.
ServerName REG_SZ La liaison aux adaptateurs réseau que le serveur de module Tanium utilise pour écouter les connexions IPv4. La valeur par défaut 0.0.0.0 indique une liaison à tous les adaptateurs réseau.
ServerNameIPv6 REG_SZ Tanium Core Platform 7.3 et versions ultérieures. Vous devez ajouter cette clé de registre manuellement si vous en avez besoin, mais uniquement avec l’aide de l’assistance Tanium. Par défaut, la clé est masquée et a une valeur de [::], indiquant que le serveur de module Tanium se connecte à tous les adaptateurs réseau pour écouter les connexions IPv6. Pour une liaison à un adaptateur réseau spécifique, ajoutez la clé et saisissez l’adresse IPv6 de l’adaptateur entre crochets (par exemple, [2001:db8::1]).
ServerPort REG_DWORD Port du serveur de module Tanium. La valeur par défaut est 17477.
Version REG_SZ Numéro de version du serveur de module Tanium.

L’ordinateur hôte du serveur du module a une entrée de registre pour le serveur Tanium : 

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Tanium\Tanium Server

Les paramètres de cette entrée de registre concernent la configuration du serveur proxy.

T :  Tableau 10 : Paramètres du serveur proxy sur le serveur du module
Nom Type Données
BypassCRLCheckHostList REG_SZ Serveurs auxquels le serveur Tanium fait confiance sans vérifier une liste de révocation de certificats (CRL). Le serveur Tanium effectue une vérification CRL sur tous les serveurs qui ne sont pas dans cette liste et ne télécharge pas les fichiers d’un serveur qui échoue à la vérification. Spécifiez les serveurs par FQDN ou adresse IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
BypassProxyHostList REG_SZ Hôtes contournant le serveur proxy. Par exemple, n’utilisez pas de serveur proxy pour le trafic entre serveurs Tanium dans un cluster actif/actif.

Un serveur proxy peut causer des problèmes avec d’autres trafics vers un serveur Tanium de destination. Par exemple, une configuration de package peut spécifier des URI de fichier qui sont locales au serveur Tanium pour télécharger du contenu. Il est important de contourner le serveur proxy pour ces URI, sinon le téléchargement échouera.

Saisissez les exceptions en tant que FQDN ou adresses IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]. Dans la plupart des cas, les exceptions que vous devez spécifier sont localhost, 127.0.0.1 (IPv4), [::1] (IPv6) et tous les FQDN et adresses IP de serveurs Tanium. Par exemple :

ts1.example.com, ts2.example.com,localhost,127.0.0.1, [::1],10.10.10.11,10.10.10.15

Spécifiez des valeurs littérales. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques.

ProxyPassword REG_SZ

Pour un proxy de base qui nécessite une authentification, ce paramètre est le mot de passe du compte utilisé lors de l’établissement d’une connexion avec le serveur proxy. Le mot de passe est stocké en texte simple dans le registre.

Ce paramètre ne s’applique pas aux serveurs proxy NTLM utilisant les informations d’identification du contexte utilisateur qui exécute le service du serveur Tanium.

ProxyPort REG_SZ Port d’écoute du serveur proxy.
ProxyType REG_SZ Basique ou NTLM.
ProxyServer REG_SZ Adresse IP du serveur proxy. Par défaut, le service téléchargeur Tanium (TDownloader) qui gère les téléchargements pour le serveur Tanium et le serveur du module Tanium résout l’adresse du serveur proxy en tant qu’adresse IPv4. Si le serveur proxy possède une adresse IPv6, vous devez l’entrer entre parenthèses (par exemple, [2001:db8::1]) et, sur les systèmes Windows, configurer le registre du téléchargeur Tanium avec une clé ForceIPV6 définie sur 1.
ProxyUserid REG_SZ Pour un proxy de base qui nécessite une authentification, ce paramètre est le nom d’utilisateur du compte utilisé lors de l’établissement d’une connexion avec le serveur proxy. Le mot de passe est stocké en texte simple dans le registre.

Ce paramètre ne s’applique pas aux serveurs proxy NTLM utilisant les informations d’identification du contexte utilisateur qui exécute le service du serveur Tanium.

TrustedHostList REG_SZ Par défaut, le serveur du module valide le certificat SSL/TLS des serveurs distants lors de l’établissement des connexions à ceux-ci (par exemple, pour le téléchargement des mises à jour logicielles du module). Pour contourner la validation du certificat pour des serveurs spécifiques, saisissez leur adresse FQDN ou IP. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).

Contactez l’assistance Tanium avant de modifier ce paramètre.

Téléchargeur Tanium

L’entrée Téléchargeur Tanium (TDownloader) est utilisée pour le niveau de verbosité des journaux et la prise en charge IPv6.

T :  Tableau 11 : Paramètres téléchargeur Tanium
Nom Type Données
LogVerbosityLevel REG_DWORD Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log pendant un fonctionnement normal.
  • 41 : Niveau de log conforme aux meilleures pratiques au cours d’un dépannage.
  • 91 ou supérieur : Activer les niveaux de log les plus détaillés pour de courtes périodes uniquement.
ForceIPV6 REG_DWORD Tanium Core Platform 7.3 et versions ultérieures. Ajoutez cette clé de registre manuellement si vous en avez besoin, mais uniquement avec l’aide de l’assistance Tanium. Dans les déploiements où le trafic entre les serveurs Tanium Core Platform et Internet passe par un serveur proxy, le téléchargeur Tanium résout l’adresse proxy comme adresse IPv4 par défaut. Si le serveur proxy possède une adresse IPv6, ajoutez la clé ForceIPV6 et définissez sa valeur sur 1.

Zone Server

T :  Tableau 12 : Paramètres du Zone Server
Nom Type Données
AllowedHubs REG_SZ Saisissez une liste séparée par des virgules des hubs Zone Server autorisés à communiquer avec ce zone Server. Spécifiez les hubs par FQDN ou adresse IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
EnableFileCache REG_SZ Ce paramètre s’applique uniquement à Tanium Core Platforme 7.4 ou ultérieure. Si vous avez installé le hub Server sur un hôte dédié au lieu du serveur Tanium, définissez la valeur sur 1 pour permettre au hub de mettre en cache les fichiers de package pour les actions et fichiers demandés via l’API Client Tanium. Il fournit ces ressources aux clients Tanium sans avoir à les demander à nouveau au serveur Tanium. Pour limiter la taille du cache, définissez le hub_hot_cache_limit_in_MB.

Dans Tanium Core Platform 7.4 ou une version ultérieure, le cache du hub est désactivé par défaut (la valeur est 0) parce que le concentrateur est généralement installé sur le serveur Tanium, qui possède son propre cache.

EnforceAllowedHubs REG_DWORD La valeur par défaut 1 spécifie que le Zone Server applique le paramètre AllowedHubs : seuls les hubs de Zone Servers répertoriés dans AllowedHubs peuvent communiquer avec le Zone Server. La valeur 0 permet à n’importe quel hub de Zone Servers de communiquer avec le Zone Server, indépendamment du paramètre AllowedHubs.
hub_hot_cache_limit_in_MB   Ce paramètre s’applique uniquement si le hub de zone Server est installé sur un hôte dédié au lieu du serveur Tanium. Le hub utilise son cache pour transmettre le contenu du client Tanium au zone Server sans avoir à demander à nouveau le contenu du serveur Tanium. Le contenu contient des fichiers de package pour les actions et fichiers demandés par l’API du client Tanium. Utilisez le paramètre hub_hot_cache_limit_in_MB pour limiter la taille du cache. En tant que meilleure pratique, définissez la limite selon la valeur la plus faible entre 200 Go et 60 % de l’espace disque disponible sur le disque où le concentrateur est installé.

Dans Tanium Core Platform 7.4 ou une version ultérieure, le cache de hub est désactivé par défaut et n’utilise donc pas d’espace disque. Si vous activez le cache en définissant la valeur EnableFileCache sur 1, la valeur par défaut hub_hot_cache_limit_in_MB la valeur est 0 (20 % d’espace disque). Ne pas activer le cache de hub si le hub est installé sur le serveur Tanium, qui utilise son propre cache.

HubPriorityList REG_SZ Ce paramètre s’applique uniquement à Tanium Core Platforme 7.4 ou ultérieure. Le paramètre spécifie l' adresse FQDN ou IP du hub de zone Server préféré pour l’envoi du contenu du client Tanium (telles que les définitions de capteur, les informations de configuration et les fichiers d’action) au zone Server. Tant que ce hub est disponible, le zone Server ne reçoit pas de contenu d’autres hubs. Si le hub préféré tombe en panne, le zone Server ne reçoit pas de contenu des autres concentrateurs disponibles. En général, vous utilisez ce paramètre pour les déploiements actifs/actifs comportant des paires de Zone Servers et de hubs où chaque hub se connecte à chaque Zone Server. Dans les déploiements actifs/actifs, l’ajout de HubPriorityList est la meilleure pratique (« best practice ») pour garantir que chaque Zone Server reçoit le contenu de son hub le plus proche. La configuration de ce paramètre optimise également l’utilisation du hub en veillant à ce que chaque concentrateur serve un zone Server au lieu d’un hub servant les deux serveurs.
LogPath REG_SZ Chemin vers les journaux Tanium Zone Server.
LogVerbosityLevel REG_DWORD Spécifiez l’une des valeurs décimales suivantes pour le niveau de verbosité des journaux :
  • 0 : Journalisation désactivée.
  • 1 : Niveau de log pendant un fonctionnement normal.
  • 41 : Niveau de log conforme aux meilleures pratiques au cours d’un dépannage.
  • 91 ou supérieur : Activer les niveaux de log les plus détaillés pour de courtes périodes uniquement.
Chemin REG_SZ Chemin d’installation.
ServerName REG_SZ Nom de domaine complet du serveur Tanium.
ServerPort REG_DWORD Port du serveur Tanium. Spécifié lorsque vous avez terminé l’assistant d’installation. La valeur par défaut est 17472.
ServiceUserDomain REG_SZ Le service Windows Zone Server s’exécute dans le cadre d’un compte de service. Cette entrée contient le domaine spécifié pendant l’installation.
ServiceUserName REG_SZ Le service Windows Zone Server s’exécute dans le cadre d’un compte de service. Cette entrée contient le nom d’utilisateur spécifié pendant l’installation.
Version REG_SZ Numéro de version du Zone Server Tanium.
ZoneHubFlag REG_DWORD La valeur indique si cette instance Zone Server est (1) ou n’est pas (0) un hub Zone Server.
zs_hot_cache_limit_in_MB   Le zone Server met en cache le contenu fourni aux clients Tanium sans avoir à demander à nouveau le contenu du serveur Tanium. Le contenu contient des fichiers de package pour les actions et fichiers demandés par l’API du client Tanium. Utilisez le paramètre zs_hot_cache_limit_in_MB pour limiter la taille du cache. En tant que meilleure pratique, définissez la limite selon la valeur la plus faible entre 200 Go et 60 % de l’espace disque disponible sur le disque où le concentrateur est installé.