Sécurisation du serveur Tanium, du zone Server et de l’accès au client Tanium

Tanium en tant que service (TaaS) utilise le protocole TLS (Transport Layer Security) pour sécuriser les connexions entre les composants de Tanium Core Platform. Vous ne pouvez pas modifier les certificats numériques et les clés que TaaS utilise pour la communication TLS.

Présentation de TLS dans Tanium Core Platform

Tanium Core Platform version 7.2 ou ultérieure utilise les protocoles suivants pour la communication entre les composants de la plateforme :

  • Protocole Tanium : ce protocole d’application appartient à Tanium et utilise TLS 1.2 pour chiffrer la communication. Vous ne pouvez pas utiliser des appareils réseau tels que des pare-feu pour déchiffrer et inspecter le trafic du protocole Tanium.
  • Hypertext Transfer Protocol Secure (HTTPS) : Tanium Core Platform utilise TLS 1.2 pour chiffrer la communication HTTPS entre les composants de la plateforme. Les composants négocient la version TLS pour les connexions HTTPS avec des serveurs externes, mais appliquent TLS 1.2 comme version minimale.

Le tableau suivant répertorie les connexions entre les composants de Tanium Core Platform et le protocole que chaque connexion utilise. Les numéros correspondent aux connexions indiquées dans la F : Figure 2.

T :  Tableau 1 : Communication TLS dans Tanium Core Platform
  Connexion Protocole
1  Systèmes utilisateur API ou Tanium Console aux serveurs Tanium HTTPS
2 Systèmes utilisateur API ou Tanium Console aux serveurs externes (tels que content.tanium.com) HTTPS
3 (Windows uniquement) Serveurs Tanium à la base de données Tanium dans les déploiements où la base de données n’est pas sur l’hôte du serveur Tanium Aucun chiffrement par défaut, mais la configuration du chiffrement est une bonne pratique (« best practice »). Consultez votre administrateur de base de données.
4 Serveur Tanium au serveur de module Tanium HTTPS
5 Serveur du module aux serveurs externes HTTPS
6 Serveur Tanium au serveur Tanium dans un déploiement actif/actif Protocole Tanium *

* Les appliances Tanium utilisent IPsec pour sécuriser le trafic de base de données Tanium et le trafic de synchronisation LDAP (Lightweight Directory Access Protocol).

7 Serveurs Tanium aux serveurs externes HTTPS
8 Serveurs Tanium au hub Zone Server

F : Figure 2 montre le hub Zone Server installé sur un hôte qui est séparé des hôtes du serveur Tanium pour illustrer que la connexion est chiffrée. Toutefois, dans la plupart des déploiements, vous installez les hubs sur les mêmes hôtes que les serveurs Tanium.

Protocole Tanium
9 Hub Zone Server au Zone Server Protocole Tanium
10 Tanium Clients (externes) au Zone Server Protocole Tanium
11 Tanium Clients (internes) aux serveurs Tanium Protocole Tanium
12 Tanium Client à Tanium Client (externe et interne) Protocole Tanium *

* S’applique uniquement à Tanium Client version 7.4 ou ultérieure.

Dans la figure suivante, les lignes bleues indiquent les connexions du protocole Tanium, les lignes vertes indiquent les connexions HTTPS et les lignes orange indiquent les connexions qui utilisent d’autres protocoles de chiffrement (comme décrit dans le T :  Tableau 1) :

F : Figure 2 :  Communication TLS dans Tanium Core Platform

Pour gérer les certificats et les clés que Tanium Core Platform utilise pour le trafic HTTPS, reportez-vous à la section Sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

Tanium Core Platform prend en charge TLS pour des connexions supplémentaires que les divers modules Tanium et services partagés requièrent. Pour plus de détails, consultez les guides d’utilisation de vos produits Tanium à l’adresse docs.tanium.com.

La communication TLS commence lorsqu’un client TLS initie une poignée de main TLS pour établir une connexion sécurisée avec un serveur. Voici des exemples dans le contexte de Tanium Core Platform :

  • Le zone Server agit comme client lors de l’enregistrement auprès du serveur Tanium.
  • Le client Tanium agit comme client lors de l’enregistrement auprès de la zone Server ou du serveur Tanium.
  • Un serveur Tanium agit en tant que client lors de l’exécution d’une synchronisation active/active avec un autre serveur Tanium.

Pendant la poignée de main TLS, le client et le serveur génèrent une clé de session partagée unique, qu’ils utilisent pour sécuriser la communication pendant la durée de leur session. Vous pouvez configurer TLS comme étant facultative pour certaines versions des serveurs de Tanium Core Platform et Tanium Clients, comme indiqué dans le T :  Tableau 3. Si la poignée de main échoue et TLS est configurée comme étant facultative, le client et le serveur essaient plutôt une connexion non-TLS (non chiffrée). Si la poignée de main échoue et TLS est configurée comme étant requise, le client et le serveur ne peuvent pas se connecter.

Tanium Core Platform 7.2 ou version ultérieure prend en charge les suites cipher suivantes pour créer des clés et chiffrer des informations dans la communication TLS :

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-CHACHA20-POLY1305
  • ECDHE-RSA-CHACHA20-POLY1305
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256

Contactez l’assistance Tanium à l’adresse [email protected] et consultez votre équipe de sécurité réseau avant de modifier la configuration TLS. La disponibilité et la nécessité de TLS dépendent de l’infrastructure, des composants et de la version de Tanium Core Platform :

T :  Tableau 3 : Options et valeurs par défaut TLS 
Version Serveur Tanium, zone Server, hub de zone Server Tanium clients
7.4 ou plus récent Après une installation ou une mise à niveau récente, TLS est nécessaire et vous ne pouvez pas le désactiver. Après une installation ou une mise à niveau récente, TLS est requis par défaut.
7.2 ou 7.3 L’activation de la communication TLS dépend de l’infrastructure dans laquelle vous déployez Tanium Core Platform :
  • Déploiement sous Windows : La TLS est désactivée par défaut et l’activation est facultative.
  • Déploiement des appliances Tanium : TLS est activée par défaut sur le serveur Tanium et la désactivation est facultative pour les connexions entrantes. TLS est désactivée par défaut sur le zone Server et le hub de zone Server et l’activation est facultative.
La communication TLS est désactivée par défaut et l’activation est facultative.
7.1 ou antérieure Le chiffrement pour la communication inter-serveurs nécessite des dépendances binaires tierces ou autres dépendances externes. Non applicable

Les sections suivantes décrivent comment configurer TLS pour les composants de Tanium Core Platform qui utilisent le protocole Tanium. Pour plus de détails et les procédures relatives aux clés numériques pour le trafic du protocole Tanium, reportez-vous au Guide d’utilisation de Tanium Console : gestion des clés Tanium.

Appliance Tanium : Configurer TLS

Serveur Tanium

Lorsque vous installez le rôle du serveur Tanium (reportez-vous à la section Installation d’un serveur Tanium individuel), TLS est activée par défaut. TLS est requise pour les connexions entrantes dans Tanium Core Platform 7.4 ou version ultérieure, mais pas dans les versions antérieures. Si vous souhaitez exiger que TLS s’applique aux connexions entrantes, accédez au menu Tanium Operations (Opérations Tanium) et utilisez le menu Configuration Settings (Paramètres de configuration) pour modifier les valeurs. Pour plus de détails, reportez-vous à la section Paramètres du serveur de Tanium Core Platform.

Tanium Zone Server

Lorsque vous installez le rôle de la zone Server Tanium ou le rôle d’ajout du hub de zone Server, TLS est activée par défaut dans la Tanium Core Platform Platform 7.4, mais pas dans les versions antérieures. Exécutez les procédures suivantes pour configurer TLS dans la version 7.2 ou 7.3.

Vue d’ensemble de la configuration

La configuration du cryptage de zone Server Tanium est un processus en 3 étapes :

  1. Sur le zone Server, générez une demande de signature de certificat (CSR). Étape 1 : Générer un CSR.
  2. Sur le serveur Tanium, émettre et signer le certificat TLS : Étape 2 : Émettre le certificat.
  3. Sur le zone Server, ajoutez le certificat et les fichiers de clé et configurez les valeurs par défaut pour les paramètres TLS. Étape 3 : installer le certificat et configurer les paramètres TLS

Pour modifier les valeurs par défaut, accédez au menu Tanium Operations (Opérations Tanium) et utilisez le menu Configuration Settings (Paramètres de configuration) pour modifier les valeurs.

Méthodes de transfert de fichiers

La version TanOS 1.5 et les versions ultérieures fournissent des menus qui permettent les méthodes suivantes pour la copie du CSR, du certificat et des fichiers clés :

  • Copier-coller entre les menus TanOS sur l’appliance du Zone Server et l’appliance du serveur Tanium. Cette méthode est pratique si vous pouvez ouvrir des sessions de terminal SSH sur chaque appliance. Si vous prévoyez cette méthode, vous pouvez passer à Étape 1 : Générer un CSR Request (Étape 1 > Générer une demande de signature de certificat (CSR).
  • SFTP piloté par menu entre l’appliance du Zone Server et l’appliance du serveur Tanium. Cette méthode nécessite une connectivité SFTP du Zone Server vers le serveur Tanium. Vous devez copier la clé publique pour l’utilisateur tanadmin sur la première appliance dans la base de clés autorisées pour l’utilisateur tancopy sur la deuxième appliance et inversement.

Ajouter les clés SSH requises

  1. Démarrez une session de terminal SSH sur l’appliance du serveur Tanium et sur l’appliance Zone Server pour vous permettre d’effectuer un copier-coller entre eux.
  2. Copiez la clé tanadmin de la première appliance dans la base de clés autorisées pour l’utilisateur tancopy sur la deuxième appliance.
    1. Sur la première appliance :
      1. Dans le menu tanadmin, entrez C pour accéder au menu User Administration (Administration des utilisateurs). FerméAfficher l’écran
      2. Entrez 3 pour accéder au menu SSH Key Management (Gestion des clés SSH). FerméAfficher l’écran
      3. Entrez le numéro de ligne pour tanadmin pour afficher le menu de gestion des clés pour cet utilisateur. FerméAfficher l’écran
      4. Entrez 2 pour afficher la clé publique. FerméAfficher l’écran
      5. Copiez le contenu de la clé publique dans le presse-papiers.
    2. Sur la deuxième appliance :
      1. Dans le menu tanadmin, entrez C pour accéder au menu User Administration (Administration des utilisateurs).
      2. Entrez 3 pour accéder au menu SSH Key Management (Gestion des clés SSH).
      3. Entrez le numéro de ligne pour l’utilisateur tancopy.
      4. Entrez 3 pour accéder au menu Authorized Keys (Clés autorisées). FerméAfficher l’écran
      5. Entrez 2 et suivez les invites pour coller le contenu du fichier de clé publique utilisateur tanadmin.
  3. Copiez la clé tanadmin de la seconde appliance dans la base de clés autorisées pour l’utilisateur tancopy sur la première appliance.
    1. Sur la deuxième appliance :
      1. Retournez au menu SSH Key Management (Gestion des clés SSH).
      2. Entrez le numéro de ligne pour tanadmin pour afficher le menu de gestion des clés pour cet utilisateur.
      3. Entrez 2 pour afficher la clé publique.
      4. Copiez le contenu de la clé publique dans le presse-papiers.
    2. Sur la première appliance :
      1. Retournez au menu SSH Key Management (Gestion des clés SSH).
      2. Entrez le numéro de ligne pour l’utilisateur tancopy.
      3. Entrez 3 pour accéder au menu Authorized Keys (Clés autorisées).
      4. Entrez 2 et suivez les invites pour coller le contenu du fichier de clé publique utilisateur tanadmin.

Étape 1 : Générer un CSR

  1. Connectez-vous à l’appliance Zone Server en tant qu’utilisateur tanadmin.
  2. Entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium).
  3. Entrez Z pour accéder au menu de configuration Zone Server. FerméAfficher l’écran
  4. Saisissez 1 et suivez les invites pour générer le CSR. Assurez-vous de copier le texte dans le presse-papiers ou de spécifier les paramètres de la connexion SFTP au serveur Tanium. FerméAfficher l’écran

Étape 2 : Émettre le certificat

L’option pour le menu de configuration Zone Server n’apparaît que si le module complémentaire Hub Zone Server est installé sur l’appliance du serveur Tanium.

  1. Connectez-vous à l’appliance du serveur Tanium en tant qu’utilisateur tanadmin.
  2. Entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium).
  3. Entrez Z pour accéder au menu de configuration Zone Server.
  4. Entrez 2 pour accéder au menu Import Cert Request (Importer la demande de certificat). FerméAfficher l’écran
  5. Entrez 1 pour importer la CSR ou 2 pour coller le texte.

    En réponse, le serveur Tanium valide la demande CSR, génère le fichier de certificat reporting.crt et copie le contenu du certificat sur l’écran et le fichier dans le répertoire /outgoing.

  6. Suivez les instructions pour préparer l’étape 3 :
    • Copiez le texte du certificat si vous prévoyez de le coller à l’étape suivante.
    • Utilisez SFTP pour copier le fichier reporting.crt depuis le répertoire /outgoing du serveur Tanium vers votre ordinateur de gestion, puis copiez-le à nouveau dans le répertoire /incoming du zone Server si vous ne pouvez pas établir une connexion SFTP entre le zone Server et le serveur Tanium.
    • Si vous configurez des clés SSH et que vous pouvez créer une connexion SFTP entre le zone Server et le serveur Tanium, ne faites rien. Vous pouvez importer le fichier de certificat depuis le répertoire /outgoing du serveur Tanium automatiquement à Étape 3 : installer le certificat et configurer les paramètres TLS.

Étape 3 : installer le certificat et configurer les paramètres TLS

  1. Connectez-vous à l’appliance Zone Server en tant qu’utilisateur tanadmin.
  2. Entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium).
  3. Entrez Z pour accéder au menu Zone Server Operations (Opérations Zone Server).
  4. Entrez 3 pour afficher le menu Import Signed Certificate (Importer le certificat signé). FerméAfficher l’écran
  5. Utilisez le menu pour importer le certificat :
    • Entrez 1 pour importer le fichier reporting.crt si vous l’avez copié dans le répertoire /incoming du zone Server.
    • Entrez 2 pour coller le texte.
    • Entrez 3 pour l’extraire du répertoire /outgoing du serveur Tanium.

    Le zone Server installe le certificat et configure les paramètres par défaut. Pour modifier les valeurs par défaut, accédez au menu Tanium Operations (Opérations Tanium) et utilisez le menu Configuration Settings (Paramètres de configuration) pour modifier les valeurs. Pour plus de détails, reportez-vous à la section Paramètres du serveur de Tanium Core Platform.

Windows : Configurer TLS

Serveur Tanium

Le programme d’installation du serveur Tanium génère les clés TLS publiques et privées utilisées pour configurer TLS pour les connexions entre les serveurs Tanium dans un déploiement actif/actif et entre Tanium Clients et le serveur Tanium.

Configurer TLS pour les connexions sortantes

Dans Tanium Core Platform version 7.4 ou ultérieure, TLS est automatiquement configurée et requise pour les connexions sortantes entre les serveurs Tanium dans un déploiement actif/actif et vous ne pouvez pas la désactiver.

Dans la version 7.3 ou 7.2, ajouter ou modifier le paramètre ReportingTLSMode dans le registre Windows pour activer ou désactiver TLS. Le type de données est REG_DWORD et la valeur est un nombre. Les valeurs suivantes sont possibles :

  • 0 (TLS non utilisé) : TLS est désactivé. Ceci est la valeur par défaut pour les serveurs installés sur un système Windows.
  • 1 (TLS requis) : Si la poignée de main TLS échoue, la connexion échoue.
  • 2 (TLS facultatif) : Le serveur tente de se connecter via TLS. Si la connexion TLS échoue, le serveur tente une connexion non-TLS.

Vous pouvez utiliser l’interface de ligne de commande (CLI) pour ajouter le paramètre du registre :

> cd <Tanium_Server_installation_folder>
> TaniumReceiver config set ReportingTLSMode <value> (Mode de rapport de configuration du récepteur de Tanium-Mode TLS)

Requiert TLS pour les connexions entrantes

En option, vous pouvez configurer TLS comme une option obligatoire ou facultative pour les connexions entrantes. La version du serveur Tanium détermine le paramètre que vous configurez.

Version 7.4 ou ultérieure

Dans le menu principal de Tanium Console, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux), et configurez les paramètres suivants pour les connexions de Tanium Clients au serveur Tanium.

Ces paramètres s’appliquent également aux connexions des clients de Tanium au zone Server si vous en déployez un.

  • require_client_tls_314_flag: Spécifiez l’une des valeurs suivantes :
    • 0 (par défaut) : Le serveur Tanium permet à la fois des connexions TLS et non TLS de Tanium Clients.
    • 1 : Le serveur Tanium permet les connexions de Tanium Clients uniquement si TLS est utilisée. Ne définissez pas cette valeur sur 1 avant d’être sûr que tous les clients Tanium qui ont été déployés sont configurés pour utiliser TLS et que vous êtes prêt à déployer le client Tanium vers de nouveaux endpoints quand TLS configurée avant l’inscription initiale.
  • require_client_tls_315_flag: Spécifiez l’une des valeurs suivantes :
    • 1 (par défaut) : Le serveur Tanium permet les connexions Tanium Client 7.4 ou ultérieures uniquement si TLS est utilisée. Tanium recommande vivement de laisser la valeur à 1.
    • 0 : Le serveur Tanium permet à la fois des connexions TLS et non TLS de Tanium Client 7.4 ou versions ultérieures. Contactez l’assistance Tanium à l’adresse [email protected] avant de définir la valeur sur 0.

Version 7.3 ou antérieure

Dans le registre Windows, spécifiant l’une des valeurs suivantes pour le paramètre RequireIncomingEncryption (Cryptage obligatoire) :

  • 0: TLS is not required (TLS non requis).
  • 1: TLS is required (requis). Ne définissez pas cette valeur sur 1 avant d’être sûr que tous les clients Tanium qui ont été déployés sont configurés pour utiliser TLS et que vous êtes prêt à déployer le client Tanium vers de nouveaux endpoints avec TLS configuré avant l’inscription initiale.

Régénérez le certificat TLS et la clé

Vous pouvez régénérer le certificat TLS et la clé privée sur le serveur Tanium si nécessaire. Par exemple, si les clés racine du tanium (tanium.pub et tanium.pvk) ont changé, vous devez modifier tous les certificats et clés subordonnés, y compris le certificat TLS et la clé.

Dans Tanium Core Platform 7.4 ou plus récente, vous pouvez utiliser la console Tanium pour faire pivoter les clés racines et faire automatiquement pivoter toutes les clés subordonnées, y compris les clés TLS. Vous pouvez également configurer le calendrier de rotation des clés subordonnées. Pour plus de détails, reportez-vous au Guide d’utilisation de Tanium Console : gestion des clés Tanium.

Dans la Tanium Core Platform 7.3 ou 7.2, utilisez le KeyUtility.exe pour régénérer le certificat (reporting.crt) et la clé privée (reporting.pvk) comme suit. Dans un déploiement actif/actif, répétez ces étapes sur chaque serveur Tanium.

  1. Accédez à la CLI du serveur Tanium.
  2. Accédez au répertoire d’installation du serveur Tanium, où l’outil KeyUtility.exe réside.

    cmd-prompt>cd <Tanium Server>

  3. Générez la nouvelle clé privée et une demande de signature de certificat (CSR).

    Syntaxe

    cmd-prompt>keyutility reporting-tls-request [<reporting.pvk>] [<out>] (demande de reporting de keyutility-tls)

    Exemple 

    cmd-prompt>keyutility reporting-tls-request reporting.pvk reporting.csr
    Génération de la clé :'reporting.pvk'Successfully generated certificate signing request: 'reporting.csr'

  4. Émettez un nouveau certificat en fonction du fichier reporting.csr et signez le certificat avec la clé privée du serveur Tanium.

    Syntaxe

    cmd-prompt>keyutility reporting-tls-issue <reporting.csr> <out> [<tanium.pvk>]

    Exemple 

    cmd-prompt>keyutility reporting-tls-issue reporting.csr c:\Tanium\reporting.crt tanium.pvk
    Successfully issued new certificate: ’c : \Tanium \reporting.crt’

  5. Remplacez l’ancien certificat TLS et l’ancienne clé privée par le nouveau certificat et clé dans le dossier d’installation du serveur Tanium (par défaut) ou dans le dossier que les paramètres du registre ReportingTLSCertPath et ReportingTLSKeyPath spécifient. Pour plus de détails, reportez-vous au T :  Tableau 4.

Tanium Zone Server

Tanium Core Platform 7.4 ou version ultérieure active automatiquement TLS pour les connexions de zone Server. Dans la version 7.3 ou 7.2, vous devez générer un certificat TLS (reporting.crt) et la clé privée (reporting.pvk) et configurer les paramètres pour activer la communication TLS :

  1. Accédez à la CLI de Zone Server.
  2. Naviguez vers le répertoire d’installation de Zone Server, où l’outil KeyUtility.exe réside.

    cmd-prompt>cd <Zone Server>

  3. Générez la clé privée et le CSR (reporting.csr).

    Exemple 

    cmd-prompt>keyutility reporting-tls-request reporting.pvk reporting.csr
    Génération de la clé :'reporting.pvk'Successfully generated certificate signing request: 'reporting.csr'

  4. Remplacez l’ancienne clé privée en copiant la nouvelle clé vers le dossier d’installation du zone Server (par défaut) ou le dossier que le paramètre ReportingTLSKeyPath spécifie. Pour plus de détails, reportez-vous au T :  Tableau 4.
  5. Copiez reporting.csr dans le dossier d’installation du serveur Tanium.
  6. Accédez à la CLI du serveur Tanium, délivrez un nouveau certificat basé sur le fichier reporting.csr et signez-le avec la clé privée du serveur Tanium (tanium.pvk). Pour le nouveau certificat de zone Server, spécifiez un dossier de sortie qui n’est pas le dossier où le serveur Tanium stocke ses propres certificats reporting.crt, sinon, le certificat du zone Server écrase le certificat du serveur Tanium.

    Exemple 

    cmd-prompt>keyutility reporting-tls-issue reporting.csr c:\Tanium\reporting.crt tanium.pvk
    Successfully issued new certificate: ’c : \Tanium \reporting.crt’

  7. Remplacez l’ancien certificat TLS en copiant le nouveau certificat dans le dossier d’installation du zone Server (par défaut) ou le dossier que le paramètre RapportsTLSCertPath spécifie. Pour plus de détails, reportez-vous au T :  Tableau 4.
  8. Configurez les paramètres décrits dans le T :  Tableau 4 sur les ordinateurs hôtes du serveur Tanium, du hub Zone Server et du Zone Server. Vous trouverez les paramètres dans le registre Windows :
    Serveur TaniumHKLM\Software\Wow6432Node\Tanium\Tanium Server
    Zone Server ou hub Zone ServerHKLM\Software\Wow6432Node\Tanium\Tanium ZoneServer

T :  Tableau 4 : ParamètresTanium Core Platform server TLS (TLS du serveur de Tanium Core Platform)
Configuration Type Recommandation
ReportingTLSMode REG_DWORD Configure TLS pour les connexions sortantes que le serveur initie. Sur un Zone Server, vous configurez cette option si vous souhaitez activer TLS pour la connexion depuis le serveur Tanium vers le segment du hub de Zone Servers, le cas échéant. Sur un hub Zone Server, vous configurez cette option si vous souhaitez activer TLS pour la connexion depuis le hub Zone Server vers le segment Zone Server.
  • 0 (TLS non utilisé) : TLS est désactivé. Ceci est la valeur par défaut pour les serveurs installés sur un système Windows.
  • 1 (TLS requis) : Si la poignée de main TLS échoue, la connexion échoue.
  • 2 (TLS facultatif) : Le serveur tente de se connecter via TLS. Si la connexion TLS échoue, le serveur tente une connexion non-TLS.

Si vous utilisez TLS, définir initialement la valeur sur 2 constitue une meilleure pratique. Après avoir confirmé que les serveurs établissent des connexions TLS fiables, définir la valeur sur 1 garantit le meilleur niveau de sécurité.

ReportingTLSCertPath REG_SZ Pour les connexions entrantes, définissez le chemin vers le fichier reporting.crt. Par exemple :
  • Program Files\Tanium\Tanium Server\reporting.crt
  • Program Files(x86)\Tanium\Tanium Zone Server\reporting.crt

Ce paramètre ne doit être présent que si le chemin d’accès au certificat diffère du chemin d’installation du serveur (valeur de la clé Path).

Vous pouvez renommer le fichier de certificat si vous le souhaitez, néanmoins le nom du fichier et cette entrée doivent correspondre. Conserver le nom par défaut (reporting.crt) constitue une meilleure pratique pour faciliter la communication et le dépannage.

ReportingTLSKeyPath REG_SZ Pour les connexions entrantes, définissez le chemin vers le fichier reporting.pvk. Par exemple :
  • Program Files\Tanium\Tanium Server\reporting.pvk
  • Program Files(x86)\Tanium\Tanium Zone Server\reporting.pvk

Le programme d’installation du serveur Tanium ajoute cette entrée, mais le programme d’installation de Zone Server ne le fait pas. Ce paramètre doit être présent.

Le nom de fichier clé que vous spécifiez pour le chemin doit correspondre au fichier clé réel. Conserver le nom par défaut (reporting.pvk) constitue une meilleure pratique pour faciliter la communication et le dépannage.

ReportingTLSKeyPasswordFile REG_SZ Ce paramètre s’applique uniquement aux modules de sécurité matérielle. Pour plus de détails, contactez l’assistance Tanium à l’adresse [email protected].
RequireIncomingEncryption REG_DWORD Paramètre pour les connexions entrantes de Tanium Clients version 7.2 ou ultérieure aux serveurs de Tanium Core Platform version 7.3 ou antérieure.
  • 0 : TLS is not required (TLS non requis).
  • 1: TLS is required (requis).

Lorsque RequireIncomingEncryption est défini sur 1, seules les demandes de connexion TLS sont traitées, ainsi seuls les clients Tanium disposant de TLS activé peuvent s’inscrire et être gérés. Ne pas définir sur 1 avant de vous assurer que tous les clients Tanium qui ont été déployés sont configurés pour utiliser TLS (ReportingTLSMode est 1 ou ReportingTLSMode est 2) et que vous êtes prêt à déployer le client Tanium vers de nouveaux endpoints avec TLS configurée avant l’inscription initiale.

Le programme KeyUtility.exe dispose d’une aide en ligne :
cmd-prompt>keyutility reporting-tls-issue --help
Usage: KeyUtility reporting-tls-rissue <reporting.csr> <out> [<tanium.pvk>]

Issue a reporting TLS certificate.

Options :
  --root-key arg (=tanium.pvk)      Path to tanium root private key
  --csr arg (=reporting.csr)        Path to certificate signing request to
                                    issue a certificate for
  -o [ --out ] arg (=reporting.crt) Output path forTo translator and client: should this be translated? generated certificate.
  --expiration arg (=3650)          Certificate expiration in days

Tanium Client : Configurer TLS

L’activation ou la désactivation par défaut de TLS dépend de la version de Tanium Client :

  • Version 7.4 ou ultérieure : Après une installation ou une mise à niveau récente, TLS est activée et requise par défaut. Tanium recommande vivement d’utiliser ces paramètres par défaut.
  • Version 7.2 : La communication TLS est désactivée par défaut et l’activation est facultative.

Exécutez les étapes suivantes pour activer ou désactiver TLS sur les clients Tanium :

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Client Status (Statut du client).
  2. Dans la section Filter by Registration (Filtrer par inscription), sélectionnez Registered using TLS (Enregistré via TLS) et Registered unencrypted (Enregistré non chiffré) s’ils ne sont pas déjà activés.

    La colonne Using TLS (Utilisation de TLS) indique que les clients Tanium ont activé ou désactivé TLS.

  3. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux) et configurez les paramètres TLS pour les Tanium Clients comme décrit dans le T :  Tableau 5.

    Sur le endpoint du client Tanium, les noms des paramètres ont pour préfixe Server_ (par exemple, Server_ReportingTLSMode). Ce préfixe indique que le client Tanium a reçu les paramètres depuis les paramètres globaux du serveur Tanium pendant l’inscription, et que les futures mises à jour d’inscription peuvent modifier ces paramètres. Dans certains cas, vous pouvez avoir besoin que le client Tanium utilise des paramètres différents des paramètres globaux du serveur Tanium. Par exemple, vous pouvez valider une fonction telle que TLS sur vos clients Tanium par étapes. Pour remplacer les paramètres globaux du serveur Tanium, ajoutez les paramètres sans le préfixe Server_ dans les entrées du registre Windows ou la base de données des paramètres du client Tanium sur les endpoints du client. Par exemple, si vous ajoutez ReportingTLSMode pour un client Tanium, il remplace le paramètre Server_ReportingTLSMode.

Il faut compter entre deux et six heures (l’intervalle de réinitialisation du client randomisé) pour les clients d’inscrire et de recevoir les paramètres mis à jour.

T :  Tableau 5 : Paramètres Tanium Client TLS configurés dans Paramètres globaux
Configuration Recommandation
Mode TLS Ce paramètre s’applique au client Tanium 7.4 ou ultérieur et spécifie si TLS est nécessaire pour les connexions entre les clients Tanium et les connexions entre les clients Tanium et le serveur Tanium ou le zone Server.
  • 0 (TLS non utilisé) : TLS est désactivée.
  • 1 (TLS requis) : En cas d’échec de la poignée de main TLS, le client Tanium ne peut pas communiquer avec d’autres clients ou serveurs. Il s’agit de la valeur par défaut.
ReportingTLSMode Ce paramètre s’applique au client Tanium 7.2. Définissez le mode des connexions TLS du client Tanium vers le serveur Tanium ou le zone Server.
  • 0 (TLS non utilisé) : TLS est désactivée. Il s’agit de la valeur par défaut.
  • 1 (TLS requis) : En cas d’échec de la poignée de main TLS, le client Tanium ne peut pas s’inscrire, ni communiquer avec le serveur Tanium ou le Zone Server.
  • 2 (TLS facultatif) : Le client Tanium essaie de se connecter via TLS. Si la connexion TLS échoue, le client Tanium tente une connexion non-TLS.

Si vous utilisez TLS, définir initialement la valeur sur 2 constitue une meilleure pratique. Après avoir confirmé que les clients Tanium établissent des connexions TLS fiables, définir la valeur sur 1 garantira le meilleur niveau de sécurité.

OptionalTLSMinAttemptCount Ce paramètre s’applique au client Tanium 7.2 et uniquement lorsque ReportingTLSMode est réglé sur 2 (facultatif). Il spécifie le nombre de tentatives de connexion TLS avant de recourir à une connexion non-TLS. La plage est comprise entre 1 et 100 et la valeur par défaut est 3.
OptionalTLSBackoffIntervalSeconds Ce paramètre s’applique au client Tanium 7.2 et uniquement lorsque ReportingTLSMode est réglé sur 2 (facultatif). Il spécifie le nombre de secondes d’attente avant de tenter à nouveau une connexion TLS après le nombre de tentatives échouées défini : OptionalTLSMinAttemptCount. Cet intervalle double après chaque série de tentatives échouées. La plage est comprise entre 1 et 86400 et la valeur par défaut est 1)
OptionalTLSMaxBackoffSeconds Ce paramètre s’applique au client Tanium 7.2 et uniquement lorsque ReportingTLSMode est réglé sur 2 (facultatif). Il spécifie l’intervalle de retour maximal. La plage est comprise entre 1 et 86400 et la valeur par défaut est 3600.

Vérifier les connexions TLS

  1. Vérifiez si les Tanium Clients ont utilisé TLS pour se connecter au serveur Tanium ou au Zone Server la dernière fois que les clients se sont inscrits : dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Client Status (Statut du client) et vérifiez la colonne Using TLS (Utilisation de TLS).


  2. (Tanium Core Platform 7.3 ou version antérieure) Accédez à la page Infos sur le serveur Tanium pour confirmer que TLS est activé pour les segments du serveur. Pour accéder à la page, allez sur https://<Tanium Server FQDN>/info et connectez-vous avec un compte d’utilisateur disposant du rôle réservé Administrateur, tel que l’utilisateur tanium créé pendant l’installation.




Mettez à jour la configuration TLS lorsque vous appliquez des modifications à la paire de clés

Le processus de mise à jour de la configuration TLS lorsque vous apportez des modifications aux clés racine du Tanium dépend de la version Tanium Core Platform :

  • Version 7.4 ou ultérieure: Lorsque vous ajoutez ou annulez des clés racine de Tanium, le serveur Tanium transmet automatiquement les modifications à toutes les clés subordonnées sur les serveurs de plateforme et les clients de Tanium (reportez-vous au Guide d’utilisation de Tanium Console : gestion des clés Tanium).
  • Version 7.3 ou ultérieure : vous utilisez la clé privée Tanium Server (tanium.pvk) pour signer le certificat de reporting (reporting.crt). Par conséquent, si vous mettez à jour la paire de clés public/privé du serveur Tanium, vous devez régénérer les fichiers reporting.crt et reporting.pvk utilisés lors de la mise en œuvre de TLS.