Installation de Tanium Zone Server

Installez un Tanium Zone server dans votre DMZ pour une communication proxy des terminaux externes au serveur Tanium. Vous pouvez installer le zone Server sur le même hôte que le serveur Tanium ou sur un hôte dédié. Vous pouvez déployer deux Zone Servers Tanium et deux hubs de zone Server dans un cluster haute disponibilité (HA) actif/actif, afin d’assurer une disponibilité continue en cas de panne ou de maintenance programmée. Pour plus d’informations sur le zone Server, le hub de zone Server et les options de déploiement, reportez-vous à la section Tanium Zone Server.

Avant de commencer

Assurez-vous que vous répondez aux exigences suivantes avant d’installer le zone Server :

Installation du Tanium Zone server

Cette section fournit des procédures pour le workflow suivant :

  1. Exécutez le programme d’installation sur l’ordinateur hôte du hub de Zone Server. Dans cet exemple, l’ordinateur hôte du serveur Tanium est également l’ordinateur hôte du hub Zone Server.

  2. Exécutez le programme d’installation sur un ou plusieurs ordinateurs hôtes de Zone Servers dans la DMZ.

Le programme d’installation de Tanium Zone Server effectue les actions suivantes :

  • Ouvre le port TCP 17472 dans le pare-feu Windows de l’ordinateur hôte local.
  • Installe le hub Tanium Zone Server ou le Zone server sur l’ordinateur hôte local et démarre le service.

Installation du hub Zone Server

Effectuez les étapes suivantes pour chaque hub de zone Server.

  1. Connectez-vous en tant qu’utilisateur administrateur sur le système hôte réseau interne où vous allez installer le hub Zone Server.
  2. Copiez le programme d’installation (SetupZoneServer.exe) à un emplacement temporaire sur l’hôte du hub.
  3. (Nouvelles installations uniquement) Copiez le fichier d’initialisation (tanium-init.dat) du serveur Tanium vers un emplacement temporaire sur l’hôte du hub si vous installez le concentrateur sur un hôte dédié. Si vous souhaitez installer le concentrateur sur l’hôte du serveur Tanium, vous trouverez le fichier dans le dossier d’installation du serveur Tanium.
  4. Cliquez avec le bouton droit sur le fichier SetupZoneServer.exe et sélectionnez Run as administrator (Exécuter en tant qu’administrateur).
  5. Terminez l’assistant d’installation. Le tableau suivant fournit des directives pour les paramètres clés.

  6. ParamètresRecommandations
    Choisir l’emplacement d’installationLe dossier d’installation par défaut est C:\Program Files (x86)\Tanium\Tanium Zone Server.
    Type de zone ServerSélectionnez Zone Server Hub (Hub de Zone Servers).
    Choisissez un compte de service pour le Zone server TaniumSpécifier le compte : Définissez un compte de service pour exécuter le service Tanium Zone Server sur l’ordinateur hôte local :
    • User Name (Nom d’utilisateur) : saisissez juste la partie du nom du compte correspondant aux informations d’identification, par exemple taniumsvc.
    • Domain (Nom de domaine) : saisissez le nom de domaine, par exemple example.com.
    • Password (Mot de passe) : saisissez le mot de passe du compte.
    Compte système local : Sélectionnez cette option pour installer le logiciel et exécuter le service dans le contexte du compte système local. Comme ce compte accorde des privilèges de système d’exploitation plus élevés que ceux nécessaires pour les opérations de Zone Server, la meilleure pratique consiste à ne pas sélectionner cette option pour les déploiements de production.
    Fichier d’initialisation(Nouvelles installations uniquement) Spécifiez le chemin de fichier tanium-init.dat.
    Adresse du serveurSpécifiez le nom de domaine complet (FQDN) ou l’adresse IP du serveur Tanium. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
    Port du serveurPort entrant sur lequel le hub de zone Server reçoit le trafic depuis le serveur Tanium et le zone Server. La valeur par défaut est 17472.

  7. (Hub non local uniquement) Si le hub du Zone Server réside sur un hôte différent du serveur Tanium, connectez-vous au CLI du serveur Tanium et configurez les paramètres AllowedHubs (hubs autorisés).
    1. Accédez au dossier d’installation du serveur Tanium :

      $ cd <Tanium Server>

    2. Activer (bonnes pratiques) ou désactiver l’application du paramètre AllowedHubs. La valeur par défaut 1 spécifie que le serveur Tanium applique le paramètre : seuls les hubs répertoriés dans AllowedHubs peuvent communiquer avec le serveur Tanium. La valeur 0 permet à n’importe quel hub de communiquer avec le serveur Tanium, indépendamment du paramètre AllowedHubs.

      $ TaniumReceiver config set EnforceAllowedHubs [1|0]

    3. Si vous avez activé l’application de AllowedHubs, configurez-la comme suit, où <hub1,hub2...> est une liste CSV de hubs autorisés à communiquer avec ce serveur Tanium. Spécifiez les hubs par FQDN ou adresse IP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]). La valeur par défaut est 127.0.0.1 (localhost).

      $ TaniumReceiver config set AllowedHubs <hub1,hub2...>

  8. (Concentrateur non local uniquement) Si le hub de zone Server réside sur un hôte différent du serveur Tanium, activez le cache de fichier et définissez sa taille maximale : reportez-vous à la section Gérer la mise en cache sur le Zone Server et le hub de Zone Servers.

Installation du zone Server

Effectuez les étapes suivantes pour chaque zone Server.

  1. Connectez-vous à l’ordinateur hôte du Tanium Zone Server en tant qu’utilisateur administrateur.
  2. Copiez le programme d’installation (SetupZoneServer.exe) à un emplacement temporaire sur le Zone Server.
  3. (Nouvelle installation uniquement) Copiez le fichier d’initialisation (tanium-init.dat) du serveur Tanium à un emplacement temporaire sur le zone Server.
  4. Cliquez avec le bouton droit sur le fichier SetupZoneServer.exe et sélectionnez Run as administrator (Exécuter en tant qu’administrateur).
  5. Terminez l’assistant d’installation. Le tableau suivant fournit des directives pour les paramètres clés.

  6. ParamètresRecommandations
    Choisir l’emplacement d’installationIl s’agit par défaut de : C:\Program Files (x86)\Tanium\Tanium Zone Server.
    Type de zone ServerSélectionner zone Server.
    Choisissez un compte de service pour le Zone server TaniumSpécifier le compte : Définissez un compte de service pour exécuter le service Tanium Zone Server sur l’ordinateur hôte local :
    • User Name (Nom d’utilisateur) : saisissez juste la partie du nom du compte correspondant aux informations d’identification, par exemple taniumsvc.
    • Domain (Nom de domaine) : saisissez le nom de domaine, par exemple example.com.
    • Password (Mot de passe) : saisissez le mot de passe du compte.
    Compte système local : Sélectionnez cette option pour installer le logiciel et exécuter le service dans le contexte du compte système local. Comme ce compte accorde des privilèges de système d’exploitation plus élevés que ceux nécessaires pour les opérations de Zone Server, la meilleure pratique consiste à ne pas sélectionner cette option pour les déploiements de production.
    Fichier d’initialisation(Nouvelles installations uniquement) Spécifiez le chemin de fichier tanium-init.dat.
    Adresses IP ou FQDNS des hubs de zone Server autorisésSaisissez une liste séparée par des virgules des adresses IP ou FQDN pour les hubs du Zone Server autorisés à communiquer avec ce Zone Server. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]). Dans un déploiement HA, spécifiez les deux hubs de zone Server.

  7. (HA uniquement) La meilleure pratique consiste à spécifier le hub de zone Server préféré à partir duquel le zone Server reçoit le contenu du client Tanium, par exemple, les ensembles d’action (reportez-vous à la section Tanium Zone Server pour plus de détails). Connectez-vous à la CLI de Zone Server (reportez-vous au Guide du déploiement de Tanium Core Platform : CLI) et exécutez les commandes suivantes :

    $ cd <Zone Server>

    $ TaniumZoneServer config set HubPriorityList <hub IP address or FQDN>

  8. Si vous configurez des sous-réseaux séparés ou des sous-réseaux isolés sur le serveur Tanium, vous devez les configurer sur le Zone Server comme décrit dans le Guide d’utilisation de Tanium Client Management : Configuring Tanium Client peering (Guide de déploiement de client Tanium : Configuration du peering des clients Tanium).
  9. (Meilleures pratiques) Configurez des ports séparés sur le zone Server pour le trafic des hubs de zone serveur et des clients Tanium : reportez-vous à la section Configurer les ports pour le trafic provenant des hubs de zone Server et des clients Tanium.
  10. Si nécessaire, pour éviter la surconsommation d’espace disque sur le zone Server, configurez une taille maximale de cache de fichier : reportez-vous à la section Gérer la mise en cache sur le Zone Server et le hub de Zone Servers.
  11. Activez la confiance entre le hub Zone Server et le serveur Tanium et mappez les Zone Servers au hub : reportez-vous au Guide d’utilisation de Tanium Console : gestion des Zone Servers et des hubs.
  12. Configurez les connexions des Tanium Clients qui doivent s’inscrire auprès du Zone Server : reportez-vous à la section Configurer les Tanium Clients pour qu’ils s’inscrivent auprès du Zone Server.
  13. Vérifiez le déploiement : reportez-vous à la section Vérification du déploiement de Tanium Core Platform.

Configurer les ports pour le trafic provenant des hubs de zone Server et des clients Tanium

Par défaut, le zone Server utilise le même port entrant (par défaut 17472) pour le trafic des hubs de zone server et des clients Tanium. La meilleure pratique pour améliorer la sécurité du zone Server consiste à configurer des ports distincts :

  1. Connectez-vous à l’hôte du Zone server en tant qu’utilisateur administrateur.
  2. Accéder à la CLI (reportez-vous au Guide de référence du déploiement de Tanium Core Platform : CLI).
  3. Accédez au dossier d’installation de Zone Server :

    > cd <Zone Server>

  4. Configurer le port du trafic provenant des clients Tanium :

    > TaniumZoneServer config set ZoneServerPort<port>

    Si des Tanium Clients sont déjà configurés pour communiquer avec le Zone Server, la « best practice » consiste à laisser ce numéro de port inchangé et à modifier uniquement le port pour le trafic provenant des hubs Zone Server.

  5. Configurez le port du trafic des hubs de zone server :

    > TaniumZoneServer config set ZoneServerPortForHub <port>

  6. Si le trafic entre les hubs Zone Server et Zone Server traverse un pare-feu, configurez le pare-feu pour permettre uniquement aux hubs qui se trouvent dans la liste AllowedHubs (hubs autorisés) de se connecter au port que vous avez spécifié dans le paramètre ZoneServerPortForHub. Pour connaître les étapes de configuration du pare-feu, consultez la documentation de votre pare-feu. Pour voir quels hubs se trouvent dans la liste AllowedHubs, exécutez la commande suivante :

    > TaniumZoneServer config get AllowedHubs

  7. Accédez au programme Windows Services et redémarrez le service Tanium Zoneserver.

  8. Supprimez et recréez les mappages Hub-to-Zone Server du zone server pour lequel vous avez configuré des ports distincts.

    Pour les étapes, reportez-vous au Guide d’utilisation de Tanium Console : supprimer un mappage entre un hub de Zone Servers et un Zone Server et au Guide d’utilisation de Tanium Console : mappage des Zone Servers à un hub de Zone Servers.

Gérer la mise en cache sur le Zone Server et le hub de Zone Servers

Pour optimiser les performances de Tanium Core Platform, le zone Server met les fichiers de package en cache pour les actions et fichiers demandés via l’API client Tanium. Le zone Server fournit ces ressources aux clients Tanium sans qu’il soit nécessaire de les demander à nouveau au serveur Tanium. Dans Tanium Core Platform 7.4 ou les versions ultérieures, ce cache de fichiers est désactivé par défaut sur le hub de zone Server car dans la plupart des déploiements, le hub est installé sur le serveur Tanium, qui possède son propre cache. Cependant, si le concentrateur est installé sur un hôte dédié, vous devez lui permettre d’effectuer la même mise en cache que le zone Server. Si le cache utilise trop d’espace disque sur le zone Server ou sur le hub sur un hôte dédié, vous pouvez définir une taille de cache maximale. La meilleure pratique consiste à définir le maximum selon la valeur la plus faible entre 200 Go et 60 % d’espace disque disponible sur le disque où le zone Server ou hub est installé. Par défaut, le cache utilise un espace disque maximum de 20 %.

Lorsque vous définissez la taille du cache, le serveur Zone Server ou hub de Zone Server supprime automatiquement tous les fichiers qui sont actuellement dans le cache (<Zone Server/hub>\Cache \HotCacheFile).

Gérer la mise en cache du zone Server

  1. Dans le menu principal, allez dans Administration (Administration) > Management (Gestion) > Platform Settings (Paramètres de la plateforme) puis cliquez sur Create Setting (Créer un paramètre).
  2. Configurez les paramètres suivants et cliquez sur Save (Enregistrer) :
    • Setting Type (Type de paramètre) : sélectionnez Server (Serveur)
    • Name (Nom) : saisissez zs_hot_cache_limit_in_MB.
    • Value Type (Type de valeur) : sélectionnez Numeric (Numérique)
    • Value (Valeur) : saisissez l’espace de stockage maximal en mégaoctets pour le cache Zone Server. La valeur par défaut est 0 (20 % de l’espace disque).

Gérer la mise en cache du hub zone server

Si le zone Server est installé sur le serveur Tanium, le cache de hub est inutile. Après la mise à niveau vers Tanium Core Platform 7.4 ou une version ultérieure à partir d’une version antérieure, vous pouvez supprimer le cache du hub pour effacer l’espace disque en supprimant le dossier <Zone Server Hub>\Cache \HotCacheFile.

Si le hub de zone Server est installé sur un hôte dédié, configurez le cache comme suit :

  1. Connectez-vous à l’hôte du hub en tant qu’utilisateur administrateur.
  2. Accédez à la CLI du hub (reportez-vous au Guide de référence du déploiement de Tanium Core Platform : CLI) et exécutez les commandes suivantes :

    $ cd <Zone Server Hub>

    $ TaniumZoneServer config set EnableFileCache 1

  3. Ouvrez le programme Windows Services et redémarrez le service Tanium Zoneserver.
  4. Connectez-vous à Tanium Console.
  5. Dans le menu principal, allez dans Administration (Administration) > Management (Gestion) > Platform Settings (Paramètres de la plateforme) puis cliquez sur Create Setting (Créer un paramètre).
  6. Configurez le paramètre suivant et cliquez sur Save (Enregistrer) :
    • Setting Type (Type de paramètre) : sélectionnez Server (Serveur)
    • Name (Nom) : saisissez hub_hot_cache_limit_in_MB.
    • Value Type (Type de valeur) : sélectionnez Numeric (Numérique)
    • Value (Valeur) : saisissez l’espace de stockage maximal en mégaoctets pour le cache du hub. La valeur par défaut est 0 (20 % de l’espace disque).

Configurer les Tanium Clients pour qu’ils s’inscrivent auprès du Zone Server

Pour configurer les Tanium Clients pour qu’ils s’inscrivent auprès d’un Zone Server, vous devez l’ajouter dans le paramètre ServerNameList sur chaque client. Ce paramètre peut spécifier plusieurs Zone Servers et serveurs Tanium. Lorsque vous tentez de vous connecter, le client sélectionne aléatoirement un serveur à la fois dans la liste et s’inscrit uniquement auprès du premier serveur pour lequel le client peut résoudre l’adresse IP. Pour vous assurer que les clients se connectent et s’inscrivent auprès du bon serveur, collaborez avec votre administrateur réseau pour examiner la configuration de votre système de noms de domaine (DNS). Par exemple, les clients externes résolvent généralement les adresses IP des Zone Servers dans la DMZ, mais pas celles des serveurs Tanium sur le réseau interne. Par opposition, les clients internes résolvent généralement les adresses IP des serveurs Tanium sur le réseau interne, mais pas celles des Zone Servers dans la DMZ.

Les étapes pour configurer les Tanium Clients pour qu’ils s’inscrivent auprès du Zone Server dépendent du fait que vous ayez ou non déjà déployé les clients.

Déploiement initial de Tanium Client

Effectuez les étapes suivantes si vous n’avez pas encore déployé les Tanium Clients qui doivent s’inscrire auprès du Zone Server :

  1. Utilisez Tanium™ Client Management pour télécharger les bundles de programme d’installation, comme décrit dans le Guide d’utilisation de Tanium Client Management : Téléchargez le bundle d’installation pour un déploiement alternatif.

    Chaque type de système d’exploitation de endpoint nécessite un bundle distinct. Chaque bundle contient les fichiers suivants, que vous utilisez lors du déploiement des clients :

    • Fichier de programme d’installation pour installer le Tanium Client, par exemple SetupClient.exe pour les endpoints Windows.

      Le bundle Linux contient un programme d’installation pour chaque distribution Linux prise en charge.

    • Fichier d’initialisation (tanium-init.dat) pour sécuriser les connexions entre le Tanium Client et d’autres composants Tanium Core Platform.

    bundles de programme d’installation

  2. Déployez le Tanium Client sur les endpoints, comme décrit dans le Guide d’utilisation de Tanium Client Management. Pour le paramètre ServerNameList, spécifiez le FQDN ou l’adresse IP de chaque Zone Server et serveur Tanium.

    Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).

    Dans l’assistant d’installation de Tanium Client pour Windows, vous spécifiez la valeur ServerNameList dans le champ Server Address (Adresse du serveur).

  3. Collaborez avec votre administrateur réseau pour vous assurer que les Tanium Clients qui doivent s’inscrire auprès du Zone Server ne peuvent pas résoudre l’adresse IP du serveur Tanium.

    Cette étape est nécessaire pour empêcher les clients de contourner le Zone Server et de se connecter directement au serveur Tanium.

  4. Utilisez Tanium Interact pour poser une question qui retourne la valeur des paramètres ServerName et ServerNameList des Tanium Clients. Le paramètre ServerName est le FQDN ou l’adresse IP du serveur auquel les clients se connectent actuellement.

    Obtenir le nom du serveur Tanium et la liste des noms des serveurs Tanium de toutes les machines

  5. Dans la grille Question Results (Résultats de la question), vérifiez que la valeur Tanium Server Name (Nom du serveur Tanium) affiche le Zone Server pour tous les clients qui doivent s’y inscrire, et vérifiez que la valeur Tanium Server Name List (Liste des noms des serveurs Tanium) inclut tous les serveurs que vous avez spécifiés.

    Résultats pour ServerNameList

Déploiement de Tanium Client existant

Effectuez les étapes suivantes pour modifier le paramètre ServerNameList sur les Tanium Clients que vous souhaitez inscrire auprès du Zone Server. Dans un déploiement avec des endpoints Windows et non-Windows, répétez les étapes pour les deux types de endpoints.

  1. Supprimez toutes les actions planifiées existantes qui configurent ServerNameList ou ServerName pour éviter les conflits avec les nouvelles actions que vous créez pour ces paramètres.
  2. Utilisez Tanium Interact pour poser une question qui identifie les Tanium Clients qui ne sont pas encore inscrits auprès du Zone Server.

    L’exemple suivant identifie des Tanium Clients dans le cadre d’un déploiement où le FQDN du Zone Server est zs1.tam.local et les serveurs Tanium actifs-actifs sont ts1.tam.local et ts2.tam.local.

    Récupérez la liste des noms des serveurs Tanium et Est Windows sur toutes les machines dont toutes les listes des noms des serveurs Tanium ne sont pas égales à « zs1.tam.local,ts1.tam.local,ts2.tam.local ».


  3. Dans la grille Question Results (Résultats de la question), sélectionnez les endpoints Windows ou non-Windows (pas les deux) qui doivent s’inscrire auprès du Zone Server, puis cliquez sur Deploy Action (Déployer l’action).
  4. Spécifiez l’un des éléments suivants comme Deployment Package (Package de déploiement) :
    • Set Tanium Server Name List (Définir la liste de noms du serveur Tanium) pour les endpoints Windows
    • Set Tanium Server Name List (Définir la liste de noms du serveur Tanium)[Non-Windows] pour les endpoints non-Windows
  5. Saisissez le FQDN ou l’adresse IP de chaque Zone Server et serveur Tanium dans le champ Server Name List (Liste des noms des serveurs).

    Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).

  6. Définissez un calendrier pour l’action.

    Pensez à définir un intervalle de réémission si certains endpoints cibles peuvent être hors ligne lorsque vous déployez initialement l’action.

  7. Dans la section Targeting Criteria (Critères de ciblage), assurez-vous que les paramètres spécifient uniquement les endpoints Windows ou non-Windows en fonction du package que vous avez sélectionné.
  8. Cliquez sur Show preview to continue (Afficher l’aperçu pour continuer) et vérifiez que le ciblage est correct.

  9. Cliquez sur Deploy Action (Déployer une action) et vérifiez le statut de l’action pour vous assurer que l’action se termine sans erreurs.

  10. Utilisez Tanium Interact pour poser une question qui retourne les valeurs ServerName et ServerNameList des Tanium Clients. Le paramètre ServerName est le FQDN ou l’adresse IP du serveur auquel les clients se connectent actuellement. Si l’action a réussi, la valeur ServerName indique le Zone Server pour au moins certains clients et la valeur Tanium Server Name List (Liste des noms des serveurs Tanium) répertorie tous les serveurs corrects (zs1.tam.local,ts1.tam.local,ts2.tam.local, dans cet exemple).

    Vous devrez peut-être attendre quelques minutes pour que les résultats affichent les nouvelles valeurs. Assurez-vous que les mises à jour en directMises à jour en direct sont activées pour la grille de résultats. Le fait qu’un Tanium Client spécifique se connecte au Zone Server ou au serveur Tanium dépend de la configuration du système de noms de domaine (DNS) de votre réseau.

    Obtenir le nom du serveur Tanium et la liste des noms des serveurs Tanium de toutes les machines


  11. Collaborez avec votre administrateur réseau pour vous assurer que les Tanium Clients qui doivent s’inscrire auprès du Zone Server ne peuvent pas résoudre l’adresse IP du serveur Tanium.

    Cette étape est nécessaire pour empêcher ces clients de contourner le Zone Server et de se connecter directement au serveur Tanium.