Installation du serveur Tanium

Cette rubrique décrit comment installer un serveur Tanium autonome sur un hôte Windows Server dédié. Pour plus d’informations sur le serveur Tanium et ses options de déploiement, reportez-vous à la section Serveur Tanium. Pour installer des serveurs Tanium dans un déploiement haute disponibilité (HA), reportez-vous à la section Installation du serveur Tanium dans le cluster HA actif/actif.

Le programme d’installation du serveur Tanium effectue les actions suivantes :

  • Installe tous les outils de base de données nécessaires, tels que les outils client Microsoft SQL Server et les utilitaires.
  • Crée les bases de données Tanium sur le serveur de base de données à distance et réinitialise les tables de base de données dans ces bases de données.
  • Ouvre les ports requis dans le pare-feu Windows de l’ordinateur hôte local.
  • Installe le serveur Tanium sur l’ordinateur hôte local et démarre le service Tanium Server. Le service démarre le serveur d’applications qui héberge la console Tanium. Le certificat et la clé privée que vous spécifiez lors de l’installation permettent d’établir l’accès sécurisé (HTTPS) à la console Tanium et à l’API de l’Hypertext Transfer Protocol Secure (HTTPS).

Avant de commencer

Assurez-vous que vous répondez aux exigences suivantes avant d’installer le serveur Tanium :

  • Programme d’installation : Assurez-vous d’avoir la bonne version du programme d’installation (SetupServer.exe) et que vous pouvez y accéder. Le package d’installation pour tous les serveurs Tanium Core Platform doit avoir le même numéro de build (par exemple, tous doivent avoir le numéro de build 7.4.5.1200). Contacter l’assistance Tanium pour plus de détails.
  • Licence Tanium : assurez-vous que vous pouvez accéder au fichier de licence Tanium : tanium.license.
  • Exigences de l’hôte : Les systèmes hôtes pour le serveur Tanium et le serveur de base de données doivent répondre aux exigences matérielles, logicielles et de connectivité réseau adaptées à votre déploiement : reportez-vous aux sections Exigences, Système hôte du serveur Tanium et Système hôte du serveur SQL ou Système hôte du serveur PostgreSQL.
  • Comptes d’utilisateur : votre administrateur Microsoft Active Directory doit configurer les comptes dont votre équipe a besoin pour le déploiement de Tanium Core Platform : reportez-vous à la section Permissions de compte administrateur.
  • Règles de pare-feu : votre administrateur réseau doit configurer des règles de pare-feu pour permettre la communication sur les ports TCP que Tanium Core Platform utilise : reportez-vous à la section Accès Internet, connectivité réseau et pare-feu.
  • Exclusions de sécurité : votre équipe de sécurité doit configurer des exceptions aux politiques de sécurité basées sur hôte pour permettre aux processus Tanium de fonctionner sans encombre et avec des performances optimales : reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Exclusions de sécurité du système hôte.
  • Certificats et clés : si vous souhaitez utiliser un certificat délivré par une autorité de certification (CA) pour sécuriser les connexions des systèmes utilisateur au serveur Tanium pour l’accès à Tanium Console ou à l’API, assurez-vous que le certificat émis par l’autorité de certification et la clé privée associée sont présents sur le serveur Tanium. Le nom du fichier de certificat doit être SOAPServer.crt et le nom du fichier clé doit être SOAPServer.key. Pendant l’installation, vous pouvez sélectionner un certificat émis par l’autorité de certification ou configurer le serveur Tanium pour générer un certificat auto-signé.

    Pour faciliter le dépannage, utilisez le certificat auto-signé pendant l’installation initiale et remplacez-le plus tard par un certificat délivré par l’autorité de certification. Cette pratique vous permet de séparer les problèmes d’installation potentiels des problèmes de connexion TLS.

    Pour obtenir plus d’informations et les procédures, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

  • Serveur de base de données : votre administrateur de base de données doit créer un serveur de base de données pour le déploiement de Tanium Core Platform : reportez-vous à la section Configurer un serveur de base de données.

Configurer un serveur de base de données

Avant d’installer le serveur Tanium, votre administrateur de base de données doit configurer un serveur de base de données pour le déploiement de Tanium Core Platform. Le programme d’installation du serveur Tanium crée la base de données Tanium sur ce serveur. Dans le cadre de déploiements de production, la base de données doit s’exécuter sur un serveur autonome qui autorise les connexions à distance à partir du serveur Tanium. Dans le cadre d’un déploiement POC, vous pouvez installer la base de données Tanium localement sur le serveur Tanium.

Dans le cadre d’un déploiement HA, les serveurs Tanium partagent la base de données Tanium. Par conséquent, même si la base de données est locale sur un serveur Tanium, le serveur Tanium peer doit s’y connecter à distance.

  1. Choisissez le type de base de données : serveur Microsoft SQL ou serveur PostgreSQL.

    Contacter l’assistance Tanium si vous souhaitez un serveur PostgreSQL. Une distribution spéciale de PostGreSQL Server est requise. Pour plus de détails, consultez l’article de la Tanium Support Knowledge Base (connexion requise).

  2. Configurez un compte administrateur de domaine privilégié que vous pouvez utiliser pour créer les bases de données Tanium lorsque vous exécutez le programme d’installation : reportez-vous à la section Permissions de compte administrateur.
  3. Assurez-vous que le Startup type (Type de démarrage) pour le service Secondary Logon (Connexion secondaire) de Windows (seclogon) est réglé sur Automatic (Automatique) ou sur Manual (Manuel), et non sur Disabled (Désactivé). Dans le cas contraire, l’installation de la base de données Tanium échouera.
    1. Ouvrez le programme Windows Services (Services Windows).
    2. Sélectionnez Secondary Logon (Connexion secondaire) et vérifiez le Startup type (Type de démarrage).
    3. Si le service est réglé sur Disabled (Désactivé), double-cliquez sur Secondary Logon (Connexion secondaire), réglez le Startup type (Type de démarrage) sur Automatic (Automatique) ou sur Manual (Manuel), puis cliquez sur OK (OK).Service Secondary Logon( Connexion secondaire) de Windows
  4.  (Serveur SQL uniquement) Configurez l’instance SQL pour autoriser les connexions à distance :
    1. Connectez-vous au serveur de base de données en tant qu’administrateur.
    2. Ouvrez le programme SQL Server Configuration Manager (Gestionnaire de configuration du serveur SQL).
    3. Dans le panneau de navigation, ouvrez le nœud SQL Server Network Configuration (Configuration réseau du serveur SQL) et sélectionnez les protocoles pour votre instance de base de données (par exemple, Protocoles pour SQLEXPRESS2012).
    4. Dans le volet d’affichage, faites un clic droit sur TCP/IP et sélectionnez Enable (Activer).

      Connexions à distance du serveur SQL

  5.  (Serveur SQL uniquement, best practice) Installez SQL Server Management Studio sur l’ordinateur hôte du serveur Tanium.

    SQL Server Management Studio est facultatif, mais la plupart des administrateurs trouvent utile de vérifier les transactions de base de données et de les gérer. Si vous installez SQL Server Management Studio avant d’exécuter le programme d’installation, le programme d’installation ne vous invite pas à télécharger et à installer les utilitaires Microsoft SQL Server (reportez-vous à la section Utilitaires de la ligne de commande SQL introuvables).

Installer le serveur Tanium

  1. Connectez-vous au système hôte en tant qu’administrateur local ou utilisateur de domaine avec des permissions d’administrateur.
  2. Copiez le fichier du package d’installation et la licence dans un emplacement temporaire.
  3. Cliquez avec le bouton droit sur le fichier SetupServer.exe et sélectionnez Run as administrator (Exécuter en tant qu’administrateur).
  4. Terminez l’assistant d’installation. Le tableau suivant fournit des directives pour les paramètres clés.
Paramètres Recommandations
Type de serveur de base de données Sélectionnez le type de base de données à utiliser :
  • PostgreSQL Server

    Installez une télécommande (déploiements de production) ou locale (preuve de concept) déploiements) serveur de base de données et utilitaires.

  • Microsoft SQL Server

    Le programme d’installation affiche des pages de programme d’installation supplémentaires pour sélectionner le serveur de base de données et les options d’utilitaires client.

Postgres introuvable Si vous définissez le Database Server Type (Type de serveur de base de données) sur PostGresQL Server et que le programme d’installation ne trouve pas d’installation locale du serveur PostGresQL, les options suivantes apparaissent :
  • Installer et configurer le serveur Postgres local.

    Cette option prend en charge uniquement les déploiements POC .

  • Utiliser le serveur Postgres distant.

    Cette option prend en charge les déploiements de production.

  • Quitter le programme d’installation maintenant.

    Sélectionnez cette option si vous n’êtes pas prêt à établir la connexion au serveur PostGreSQL distant.

Utilitaires de la ligne de commande SQL introuvables Si vous avez réglé Database Server Type (Type de serveur de base de données) sur Microsoft SQL Server et que le programme d’installation ne parvient pas à trouver d’installation SQL Server locale et d’utilitaires SQL, les options suivantes apparaissent :
  • Téléchargez et installez les utilitaires de CLI SQL 2012 Native Client et SQL 2012.

    Sélectionnez cette option pour installer les utilitaires nécessaires pour se connecter à un SQL Server distant et créer des bases de données. Si vous sélectionnez cette option, et que le programme d’installation Tanium détecte que ces utilitaires sont déjà présents sur le système hôte, il ne remplace pas l’installation existante ; il n’appelle tout simplement pas le programme d’installation Microsoft pour les utilitaires.

  • Téléchargez et installez SQL Server 2014 SP2 Express Edition avec Tools (Outils) maintenant.

    Sélectionnez cette option uniquement pour les déploiements limités de validation de concept (POC).

  • Quitter le programme d’installation maintenant. (Télécharger et installer manuellement)

    Sélectionnez cette option si vous souhaitez installer vous-même les utilitaires. Après avoir exécuté le programme d’installation Tanium, vous pouvez sélectionner la première option, et le programme d’installation Tanium vérifiera que les utilitaires sont présents et n’appellent pas le programme d’installation Microsoft.

Le téléchargement de SQL Server 2014 SP2 Express prend beaucoup plus de temps que celui de SQL 2012 Native Client. Par conséquent, si vous prévoyez d’utiliser un serveur de base de données distant, sélectionnez Download and Install SQL 2012 Native Client and SQL 2012 Command Line Utilities now (Télécharger et installer maintenant la ligne de commande et les utilitaires pour SQL 2012 Native Client et SQL 2012) ou téléchargez les fichiers de Microsoft à l’aide des liens fournis par l’assistant d’installation.

Choisir le type d’installation
  • Installation personnalisée : Sélectionnez cette option pour les déploiements de production.
  • Installation expresse : Sélectionnez cette option uniquement pour les déploiements POC limités.
Choisissez un compte de service pour le serveur Tanium et l’accès à la base de données Spécifier le compte

Cette option est requise pour les déploiements de production. Spécifiez un compte de service qui peut se connecter au serveur de base de données à distance et qui dispose des privilèges requis pour créer des bases de données. Le compte que vous spécifiez exécutera également le service Tanium Server sur l’ordinateur hôte local. Spécifiez les détails suivants :

  • User Name (Nom d’utilisateur) : saisissez juste la partie du nom du compte correspondant aux informations d’identification, par exemple taniumsvc.
  • Domain (Nom de domaine) : saisissez le nom de domaine, par exemple example.com.
  • Password (Mot de passe) : saisissez le mot de passe du compte.
Compte système local

Cette option est prise en charge uniquement si vous définissez Database Server Type (Type de serveur de base de données) sur Microsoft SQL Server et que vous configurez un déploiement de POC limité où le serveur Tanium et le serveur de base de données se trouvent sur le même système hôte local.

Choisir l’emplacement d’installation Il s’agit par défaut de C:\Program Files\Tanium\Tanium Server.

Pour plus de sécurité dans le cadre de déploiements de production d’entreprise, installez le serveur Tanium sur un disque dur non-système.

Configuration de licence Cliquez sur Browse (Parcourir), accédez au répertoire où vous avez copié le fichier de licence Tanium (tanium.license), sélectionnez le fichier, puis cliquez sur Open (Ouvrir).
Restauration de base de données clés Le serveur Tanium utilise un fichier pki.db pour stocker les clés racine Tanium et les clés subordonnées requises pour la communication TLS entre les composants de la plate-forme de Tanium Core (reportez-vous à la section Gestion des clés Tanium). Sélectionnez la source pour ce fichier :
  • Generate a new key database (Générer une nouvelle base de données de clés) : le serveur Tanium crée un nouveau fichier pki.db.
  • Restore a key database from backup (Restaurer une base de données clé à partir de la sauvegarde) : si vous avez enregistré le fichier pki.db à partir d’une installation précédente de ce serveur Tanium, copiez-le à un emplacement temporaire sur l’hôte du serveur actuel, cliquez sur Browse (Parcourir), sélectionnez le fichier, puis cliquez sur Open (Ouvrir). Notez que vous devez également restaurer la base de données Tanium associée à la sauvegarde pki.db pour permettre aux clients Tanium de se connecter à ce serveur Tanium.

Le programme d’installation met le fichier pki.db dans le dossier d’installation du serveur Tanium.

Port API/Console serveur Spécifiez le port entrant du serveur Tanium pour le trafic depuis la console de tanium et l’API. La valeur par défaut est 443.
Certificat SSL et clé Le serveur Tanium utilise le certificat SSL/TLS (SOAPServer.crt) et la clé privée (SOAPServer.key) pour sécuriser la communication avec la console Tanium ou les utilisateurs API et la communication avec le serveur de module.
  • Générer un certificat auto-signé et une clé

    Si vous sélectionnez cette option, le programme d’installation génère un certificat auto-signé et une clé privée. Pour le Server Host Name (Nom d’hôte de serveur), spécifiez le nom de domaine pleinement qualifié (FQDN) du serveur Tanium. Par exemple, ts1.example.com ou ts1.example.com. Si vous déployez une paire HA, spécifiez l’adresse FQDN pour les deux serveurs, séparée par une virgule (sans espace). Par exemple, ts1.example.com,ts2.example.com.

  • Utiliser le certificat et la clé existants

    Pour utiliser un certificat émis par l’autorité de certification, sélectionnez le fichier de certificat et le fichier de clé privée associé. Pour plus d’informations, reportez-vous au Guide de déploiement de Tanium Core Platform : sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

Port du serveur Spécifiez le port entrant du serveur Tanium pour le trafic provenant des clients Tanium qui se trouvent sur le réseau interne. La valeur par défaut est 17472.
SQL Server et base de données Si vous définissez le Database Server Type (Type de serveur de base de données) sur Microsoft SQL Server, vous disposez des options suivantes :
  • Utiliser la base de données locale

    Cette option est prise en charge pour les déploiements POC uniquement. Lorsque SQL Server est installé sur l’ordinateur hôte local, vous pouvez sélectionner un serveur de base de données dans la zone de liste Local Instance (Instance locale).

  • Utiliser la base de données distante

    Sélectionnez cette option et spécifiez le chemin vers le serveur de base de données distant dans la zone de texte Remote SQL Path (Chemin vers SQL distant). La syntaxe est <hostname>\<database instance name>. Par exemple, SQL1\SQLEXPRESS.

Cliquez sur Test (Test) pour tester la connexion.

Conseil : si le SQL Server écoute sur un port attribué personnalisé (pas 1433), spécifiez le port dans la zone de texte Remote SQL Path (Chemin vers SQL distant). Par exemple, SQL1\SQLEXPRESS,1444.

Configuration de Postgres Si vous définissez le Database Server Type (Type de serveur de base de données) sur PostGresQL Server, spécifiez les paramètres suivants :
  • Port du serveur : La valeur par défaut est 17472.
  • Serveur : Spécifiez localhost (par défaut) pour un serveur local ou le FQDN ou l’adresse IP du serveur distant. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
  • Options : spécifier des paramètres supplémentaires à transmettre dans la connexion. En général, il s’agit du nom de fichier et du port. Par exemple, dbname=postgres port=5432 user=postgres.

Cliquez sur Test (Test) pour tester la connexion.

Installer le serveur de module Tanium local Sélectionnez cette option uniquement si vous installez un déploiement POC dans lequel le serveur Tanium et le serveur de module fonctionnent sur le même système hôte.
Ouvrir les ports Tanium dans le pare-feu Windows Sélectionnez cette option pour ouvrir les ports du serveur Tanium dans le pare-feu Windows. Les ports 443 et 17472 sont les numéros de port par défaut.
Configurer un compte administrateur (Nouvelle installation uniquement) Définissez le Username (Nom d’utilisateur) et le Password (Mot de passe) compte administrateur initial de Tanium Console. Il s’agit du compte que vous utiliserez lorsque vous vous connecterez la première fois à la console. Vous pouvez ensuite créer des utilisateurs supplémentaires. Pour les comptes Active Directory, utilisez le format DOMAIN\username ou UPN. Par exemple, TAM\TaniumAdmin or [email protected]. Pour les comptes locaux, utilisez la syntaxe MACHINE\username.
Choisissez le dossier du menu Start (Démarrer) (Nouvelle installation uniquement) Sélectionnez un dossier pour le serveur Tanium dans le menu Start (Démarrer) de Windows. La valeur par défaut est Tanium Server.

Étapes suivantes

Installez le serveur de module distant. Voir Installation du serveur de module Tanium.