Installation du serveur de module Tanium

Cette rubrique décrit comment installer un serveur de module Tanium sur un hôte Windows Server dédié. Pour plus d’informations sur le serveur de modules et ses options de déploiement, reportez-vous à la section Serveur de module Tanium.

Le programme d’installation du serveur du module effectue les actions suivantes :

  • Ouvre le port TCP 17477 dans le pare-feu Windows de l’ordinateur hôte local.
  • Installe le serveur de module sur l’ordinateur hôte et démarre le service.

Si possible, exécutez le programme d’installation et spécifiez les paramètres de connexion pour vous inscrire automatiquement auprès du serveur Tanium. Sinon, effectuez le workflow d’inscription manuelle.

Installer le serveur de module et l’inscrire automatiquement auprès du serveur Tanium

Le programme d’installation de Module Server 7.2 et version ultérieure prend en charge l’inscription automatique auprès du serveur Tanium. L’enregistrement automatique effectue les tâches suivantes :

  • Génère les certificats requis : trusted.crt sur l’hôte du serveur de module et trusted-module-servers.crt sur l’hôte du serveur Tanium. Les serveurs utilisent ces certificats pour valider les certificats utilisés pour l’authentification mutuelle : SOAPServer.crt sur le serveur Tanium et ssl.crt sur le serveur de module. Pour plus d’informations, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : certificats SSL/TLS certificates.
  • Crée les entrées du registre Windows requises sur les ordinateurs hôtes du serveur de module et du serveur Tanium.

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies et effectuez les actions suivantes :

  • Version du programme d’installation : Assurez-vous d’avoir la bonne version du programme d’installation (SetupModuleServer.exe). Le package d’installation pour tous les serveurs Tanium Core Platform doit avoir le même numéro de build (par exemple, tous doivent avoir le numéro de build 7.4.5.1200). Contacter l’assistance Tanium pour plus de détails.
  • Exigences de l’hôte : Le système hôte doit répondre aux exigences matérielles, logicielles et de connectivité réseau adaptées à votre déploiement : reportez-vous aux sections Exigences et Exigences en matière de ressources.
  • Règles de pare-feu : votre administrateur de sécurité réseau doit configurer des règles de pare-feu réseau pour permettre la communication entre le serveur Tanium et le serveur de module sur le port TCP 17477 : reportez-vous à la section Accès Internet, connectivité réseau et pare-feu.
  • Exclusions de sécurité : votre équipe de sécurité doit configurer des exceptions aux politiques de sécurité basées sur hôte pour permettre aux processus Tanium de fonctionner sans encombre et avec des performances optimales : reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Exclusions de sécurité du système hôte.
  • Certificats et clés : si vous souhaitez utiliser un certificat délivré par une autorité de certification (CA) pour sécuriser les connexions au serveur de module, assurez-vous que le certificat émis par l’autorité de certification et la clé privée associée sont présents sur le serveur de module. Le nom du fichier de certificat doit être ssl.crt et le nom du fichier clé doit être ssl.key. Pendant l’installation, vous pouvez sélectionner un certificat émis par l’autorité de certification ou configurer le serveur du module pour générer un certificat auto-signé.

    Pour faciliter le dépannage, utilisez le certificat auto-signé pendant l’installation initiale et remplacez-le par un certificat délivré par l’autorité de certification plus tard. Cette pratique vous permet de séparer les problèmes d’installation potentiels des problèmes de connexion TLS.

    Pour obtenir plus d’informations et les procédures, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

  • Serveur de module local : si un serveur de module local est installé sur l’ordinateur hôte du serveur Tanium, exécutez les étapes suivantes sur l’ordinateur hôte du serveur Tanium :
    1. Arrêtez le service Serveur Tanium : ouvrez l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Stop (Arrêter).
    2. Arrêtez et désactivez le service Tanium Module Server (Serveur de module Tanium) dans l’application Windows Services (Services Windows) :
      1. Fait un clic droit sur Tanium Module Server (Serveur de module Tanium) et sélectionnez Stop (Arrêter).
      2. Faites un clic droit sur Tanium Module Server (Serveur de module Tanium), sélectionnez Properties (Propriétés), réglez l’option Startup type (Type de démarrage) sur Disabled (Désactivé), puis cliquez sur OK (OK).
    3. Accédez au registre Windows HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tanium\Tanium Server et effacez le paramètre (valeur 127.0.0.1) pour le serveur de module.
    4. Redémarrez le service Tanium Server (Serveur Tanium) : dans l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Restart (Redémarrer).

Exécuter le programme d’installation

  1. Connectez-vous au système hôte du serveur du module en tant qu’utilisateur administrateur.
  2. Copiez le programme d’installation (SetupModuleServer.exe) à un emplacement temporaire sur l’hôte du serveur de module.
  3. Cliquez avec le bouton droit sur le fichier SetupModuleServer.exe et sélectionnez Run as administrator (Exécuter en tant qu’administrateur).
  4. Terminez l’assistant d’installation. Le tableau suivant fournit des directives pour les paramètres clés.
Paramètres Recommandations
Choisir l’emplacement d’installation Il s’agit par défaut de : C:\Program Files\Tanium\Tanium Module Server.
Postgres introuvable (Nouvelle installation uniquement) Acceptez l’option par défaut : Installer et configurer le serveur Postgres local. Dans la version actuelle, aucun produit Tanium n’utilise le serveur PostgreSQL fourni avec le serveur de module.
Choisissez un compte de service pour le serveur de module Tanium La « best practice » en matière de sécurité consiste à spécifier un compte de service autre que le compte Local System (Système local) pour installer le serveur de module et exécuter le service Module Server (Serveur de module) sur l’ordinateur hôte local.
  • Spécifier un compte (best practice)
    • User Name (Nom d’utilisateur) : saisissez juste la partie du nom du compte correspondant aux informations d’identification, par exemple taniumsvc.
    • Domain (Nom de domaine) : saisissez le nom de domaine, par exemple example.com.
    • Password (Mot de passe) : saisissez le mot de passe du compte.
  • Compte système local
Port du serveur du module Spécifiez le port entrant du serveur de module pour le trafic du serveur Tanium. La valeur par défaut est 17477.
Certificats SSL/TLS Le serveur de module utilise le certificat SSL/TLS (ssl.crt) et la clé privée (ssl.key) pour sécuriser les connexions du serveur Tanium.
  • Générer un certificat auto-signé et une clé

    Si vous n’avez pas de certificat émis par l’autorité de certification, sélectionnez cette option pour que l’installateur génère un certificat auto-signé et une clé privée. Pour Server Hostname (Nom d’hôte du serveur), spécifiez le FQDN du serveur de module, par exemple tms1.example.com.

  • Utiliser le certificat et la clé existants

    Pour utiliser un certificat émis par l’autorité de certification, sélectionnez le fichier de certificat et le fichier de clé privée associé. Pour plus de détails, reportez-vous au Guide de déploiement de Tanium Core Platform : sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

Configuration Postgres du module Configurez la connexion à la base de données PostGresQL :
  • Serveur : Spécifiez localhost (par défaut) pour un serveur local ou le FQDN ou l’adresse IP du serveur distant. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
  • Options : spécifier des paramètres supplémentaires à transmettre dans la connexion. En général, il s’agit du nom de fichier et du port. Par exemple, dbname=postgres port=5432 user=postgres.

Cliquez sur Test (Test) pour tester la connexion.

S’enregistrer avec le serveur Tanium Sélectionnez Register with the Tanium Server (S’inscrire auprès du serveur Tanium) et spécifiez les informations de connexion pour l’enregistrement sur le serveur Tanium :
  • Tanium Server Hostname : spécifiez l’adresse IP ou FQDN du serveur Tanium. Dans un déploiement haute disponibilité (HA), ne spécifiez que le serveur Tanium principal.
  • Nom d’utilisateur Admin : saisissez le nom d’utilisateur de l’administrateur de la console Tanium que vous avez spécifié lors de l’installation du serveur Tanium.
  • Mot de passe administrateur : saisissez le mot de passe de l’administrateur de la console Tanium que vous avez spécifié lors de l’installation du serveur Tanium.

Pour les mises à niveau, vous avez la possibilité de sélectionner Manually specify Tanium Server certificate (Spécifier manuellement le certificat du serveur Tanium) et d’utiliser la valeur par défaut Certificate (Certificat) pour sécuriser la communication entre le serveur Tanium et le serveur de module.

Choisissez le dossier du menu Start (Démarrer) (Nouvelle installation uniquement) Sélectionnez un dossier pour le serveur de module dans le menu Start (Démarrer) de Windows. La valeur par défaut est Tanium Module Server (Serveur de module Tanium).
Trust Tanium Server certificate (Certificat de serveur Tanium Trust) Lorsque l’installateur affiche une boîte de dialogue qui identifie le certificat que le serveur Tanium utilise pour s’authentifier sur le serveur de module, vérifiez que les détails du certificat sont corrects.

Trust Tanium Server certificate (Certificat de serveur Tanium Trust)

Sur une nouvelle installation, le certificat est le fichier SOAPServer.crt. Si vous réexécutez le programme d’installation, le certificat est trusted.crt. Fingerprint (Empreinte digitale) est le hachage de la clé publique du certificat. Si le certificat est valide, cliquez sur Yes (Oui) pour enregistrer le serveur de module avec le serveur Tanium.


Installer le serveur de module Tanium et l’inscrire manuellement auprès du serveur Tanium

Les programmes d’installation de Module Server 7.x prennent en charge l’inscription automatique auprès du serveur Tanium. Dans 7.0 et 7.1, l’inscription manuelle est votre seule option. Dans la version 7.2 et ultérieure, l’inscription automatique est plus simple, pour autant le programme d’installation prend en charge l’inscription manuelle au cas où le serveur Tanium n’est pas disponible lorsque vous l’exécutez.

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies et effectuez les actions suivantes :

  • Version du programme d’installation : Assurez-vous d’avoir la bonne version du programme d’installation (SetupModuleServer.exe). Le package d’installation pour tous les serveurs Tanium Core Platform doit avoir le même numéro de build (par exemple, tous doivent avoir le numéro de build 7.4.5.1200). Contacter l’assistance Tanium pour plus de détails.
  • Exigences de l’hôte : Le système hôte doit répondre aux exigences matérielles, logicielles et de connectivité réseau adaptées à votre déploiement : reportez-vous aux sections Exigences et Exigences en matière de ressources.
  • Règles de pare-feu : votre administrateur de sécurité réseau doit configurer des règles de pare-feu réseau pour permettre la communication entre le serveur Tanium et le serveur de module sur le port TCP 17477 : reportez-vous à la section Accès Internet, connectivité réseau et pare-feu.
  • Exclusions de sécurité : votre équipe de sécurité doit configurer des exceptions aux politiques de sécurité basées sur hôte pour permettre aux processus Tanium de fonctionner sans encombre et avec des performances optimales : reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Exclusions de sécurité du système hôte.
  • Certificats et clés : copiez le fichier SOAPServer.crt de l’hôte du serveur Tanium (répertoire d’installation) sur l’hôte du serveur de module, afin de pouvoir le sélectionner lorsque vous exécutez le programme d’installation.

    Si vous souhaitez utiliser un certificat délivré par une autorité de certification (CA) pour sécuriser les connexions au serveur de module, assurez-vous que le certificat émis par l’autorité de certification et la clé privée associée sont présents sur le serveur de module. Le nom du fichier de certificat doit être ssl.crt et le nom du fichier clé doit être ssl.key. Pendant l’installation, vous pouvez sélectionner un certificat émis par l’autorité de certification ou configurer le serveur du module pour générer un certificat auto-signé.

    Pour faciliter le dépannage, utilisez le certificat auto-signé pendant l’installation initiale et remplacez-le plus tard par un certificat délivré par l’autorité de certification. Cette pratique vous permet de séparer les problèmes d’installation potentiels des problèmes de connexion TLS.

    Pour plus d’informations, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

  • Serveur de module local : si un serveur de module local est installé sur l’ordinateur hôte du serveur Tanium, exécutez les étapes suivantes sur l’ordinateur hôte du serveur Tanium :
    1. Arrêtez le service Serveur Tanium : ouvrez l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Stop (Arrêter).
    2. Arrêtez et désactivez le service Tanium Module Server (Serveur de module Tanium) dans l’application Windows Services (Services Windows) :
      1. Fait un clic droit sur Tanium Module Server (Serveur de module Tanium) et sélectionnez Stop (Arrêter).
      2. Faites un clic droit sur Tanium Module Server (Serveur de module Tanium), sélectionnez Properties (Propriétés), réglez l’option Startup type (Type de démarrage) sur Disabled (Désactivé), puis cliquez sur OK (OK).
    3. Accédez au registre Windows HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tanium\Tanium Server et effacez le paramètre (valeur 127.0.0.1) pour le serveur de module.
    4. Redémarrez le service Tanium Server (Serveur Tanium) : dans l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Restart (Redémarrer).

Exécuter le programme d’installation

  1. Connectez-vous au système hôte du serveur du module en tant qu’utilisateur administrateur.
  2. Copiez le fichier du package d’installation (SetupModuleServer.exe) dans un emplacement temporaire de l’hôte de serveur de module.
  3. Cliquez avec le bouton droit sur le fichier SetupModuleServer.exe et sélectionnez Run as administrator (Exécuter en tant qu’administrateur).
  4. Terminez l’assistant d’installation. Le tableau suivant fournit des directives pour les paramètres clés.

  5. Paramètres Recommandations
    Choisir l’emplacement d’installation Il s’agit par défaut de : C:\Program Files\Tanium\Tanium Module Server.
    Postgres introuvable (Nouvelle installation uniquement) Acceptez l’option par défaut : Installer et configurer le serveur Postgres local. Dans la version actuelle, aucun produit Tanium n’utilise le serveur PostgreSQL fourni avec le serveur de module.
    Choisissez un compte de service pour le serveur de module Tanium La « best practice » en matière de sécurité consiste à spécifier un compte de service autre que le compte Local System (Système local) pour installer le serveur de module et exécuter le service Module Server (Serveur de module) sur l’ordinateur hôte local.
    • Spécifier un compte (best practice)
      • User Name (Nom d’utilisateur) : saisissez juste la partie du nom du compte correspondant aux informations d’identification, par exemple taniumsvc.
      • Domain (Nom de domaine) : saisissez le nom de domaine, par exemple example.com.
      • Password (Mot de passe) : saisissez le mot de passe du compte.
    • Compte système local : Sélectionnez cette option pour installer le logiciel et exécuter le service du serveur de module dans le contexte du compte Local System (Système local).
    Port du serveur du module Spécifiez le port entrant du serveur de module pour le trafic du serveur Tanium. La valeur par défaut est 17477.
    Certificats SSL/TLS Le serveur de module utilise le certificat SSL/TLS (ssl.crt) et la clé privée (ssl.key) pour sécuriser les connexions du serveur Tanium.
    • Générer un certificat auto-signé et une clé

      Si vous n’avez pas de certificat émis par l’autorité de certification, sélectionnez cette option pour que l’installateur génère un certificat auto-signé et une clé privée. Pour Server Hostname (Nom d’hôte du serveur), spécifiez le FQDN du serveur de module, par exemple tms1.example.com.

    • Utiliser le certificat et la clé existants

      Pour utiliser un certificat émis par l’autorité de certification, sélectionnez le fichier de certificat et le fichier de clé privée associé. Pour plus de détails, reportez-vous au Guide de déploiement de Tanium Core Platform : sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

    Configuration Postgres du module Configurez la connexion à la base de données PostGresQL :
    • Serveur : Spécifiez localhost (par défaut) pour un serveur local ou le FQDN ou l’adresse IP du serveur distant. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
    • Options : spécifier des paramètres supplémentaires à transmettre dans la connexion. En général, il s’agit du nom de fichier et du port. Par exemple, dbname=postgres port=5432 user=postgres.

    Cliquez sur Test (Test) pour tester la connexion.

    Spécifiez manuellement le certificat du serveur Tanium Sélectionnez Manually specify Tanium Server certificate (Spécifier manuellement le certificat du serveur Tanium) et sélectionnez Certificate (Certificat) qui sécurise la communication entre le serveur Tanium et le serveur de module. Sur une nouvelle installation, le fichier est le fichier SOAPServer.crt copié à partir du serveur Tanium. Si vous exécutez de nouveau le programme d’installation et souhaitez utiliser le certificat du serveur Tanium créé par l’exécution précédente du programme d’installation, parcourez et sélectionnez le fichier trusted.crt dans le répertoire d’installation).
    Choisissez le dossier du menu Start (Démarrer) (Nouvelle installation uniquement) Sélectionnez un dossier pour le serveur de module dans le menu Start (Démarrer) de Windows. La valeur par défaut est Tanium Module Server (Serveur de module Tanium).

  6. Enregistrez manuellement le serveur de module avec le serveur Tanium : reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Command-line interface (Guide de référence du déploiement de Tanium Core Platform : CLI).

    Le processus d’inscription génère un fichier de certificat SSL/TLS nommé ssl.crt dans le répertoire d’installation du serveur de module.

  7. Copiez le fichier ssl.crt dans le répertoire d’installation du serveur Tanium et renommez-le trusted-module-servers.crt.
  8. Configurer la connexion du serveur Tanium au serveur de module distant :
    1. Connectez-vous à l’hôte du serveur Tanium.
    2. Ouvrez l’application Windows Services (Services Windows) et arrêtez le service Tanium Server (Serveur Tanium).
    3. Accédez à l’emplacement suivant dans le registre Windows :

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tanium\Tanium Server

    4. Recherchez la clé ModuleServer et modifiez-la en tant que FQDN du serveur de module distant.
    5. Redémarrez le service Tanium Server (Serveur Tanium) dans l’application Windows Services (Services Windows).

      Remarque : Si vous avez précédemment installé un serveur de module local, laissez le service Tanium Module Server (Serveur de module Tanium) arrêté et désactivé sur le serveur Tanium. Le serveur Tanium doit utiliser uniquement le serveur de module distant.

    6. Connectez-vous à l’hôte du serveur de module.
    7. Ouvrez l’application Windows Services (Services Windows) et redémarrez les services pour le serveur de module Tanium ainsi que pour tous les services partagés et modules Tanium.

Mise à jour du certificat du serveur du module

L’inscription garantit une communication sécurisée entre le serveur du module et le serveur Tanium. Si vous mettez à jour le certificat du serveur de module ssl.crt, vous devez refaire l’inscription, soit en réexécutant le programme d’installation soit en utilisant la CLI (reportez-vous au Guide de référence du déploiement de Tanium Core Platform : sécurisation de Tanium Console, de l’API et de l’accès au serveur de module). Une fois l’inscription faite, vous devez redémarrer les services pour le serveur de module Tanium ainsi que pour tous les services partagés et modules Tanium via l’application Windows Services (Services Windows).

Étapes suivantes

Si votre déploiement inclut un Tanium Zone server, installez-le : reportez-vous à la section Installation de Tanium Zone Server. Sinon, vérifiez le déploiement : voir Vérification du déploiement de Tanium Core Platform (Vérification du déploiement de Tanium Core Platform).