Exigences
Cette rubrique résume les exigences d’installation des serveurs Tanium Core Platform.
Pour les exigences du système hôte du Tanium Client, reportez-vous au Guide d’utilisation de Tanium Client Management : Exigences.
Package d’installation et fichiers de licence
Tanium fournit les fichiers de package d’installation suivants et le fichier de licence nécessaire pour installer le serveur Tanium, le serveur de module Tanium et Tanium Zone Server :
- SetupServer.exe
- SetupModuleServer.exe
- SetupZoneServer.exe
- tanium.license
Le package d’installation pour chacun de ces trois serveurs doit avoir le même numéro de build (par exemple, tous doivent avoir le numéro de build 7.4.5.1200). Pour terminer les procédures de ce guide, assurez-vous de copier ces fichiers sur et entre les ordinateurs hôtes.
La licence est liée au hostname (nom d’hôte) que vous attribuez au serveur Tanium. Dans les déploiements haute disponibilité (HA), la licence doit spécifier les noms d’hôtes (hostname) des deux serveurs Tanium. Contacter l’assistance Tanium si les hostnames des serveurs changent.
Exigences en matière de version et de système hôte du serveur
Le T : Tableau 1 récapitule les exigences de base pour les serveurs de base de données et Tanium Core Platform qui sont installés sur l’infrastructure Windows fournie par le client. Pour connaître les spécifications de version détaillées et les recommandations de dimensionnement, reportez-vous à la section Référence : directives relatives aux ressources du système hôte.
Les solutions Tanium (modules et services partagés) peuvent avoir des exigences supplémentaires pour les serveurs Tanium Core Platform. Le T : Tableau 2 fournit des liens vers les sections du guide d’utilisation qui répertorient ces exigences.
Les éditions Standard, Enterprise et Datacenter des plateformes Windows Server suivantes sont prises en charge. Les options Server Core et Nano Server ne sont pas prises en charge.
| Server | Matériel | Système d’exploitation | Logiciel |
|---|---|---|---|
| Serveur Tanium |
Noyaux CPU : 8 à 80 Mémoire : 32 à 512 Go Disque : 250 Go à 3 To |
|
Un navigateur Web est requis pour utiliser Tanium Console : reportez-vous au Guide d’utilisation de Tanium Console : exigences de navigateur Web. |
| Serveur de base de données | Noyaux CPU : 4 à 32 Mémoire : 8 à 48 Go Disque : 150 Go à 750 Go Taille de la base de données : 20 Go à 500 Go IOPS de baie de stockage : 100 à 1 000 |
|
|
| Serveur de module Tanium | Noyaux CPU : 8 à 80 Mémoire : 32 à 512 Go Disque : 150 Go à 300 Go |
|
|
| Tanium Zone Server | Noyaux CPU : 8 à 80 Mémoire : 16 à 256 Go Disque : 250 Go à 3 To |
|
Cliquez sur les liens dans le tableau suivant pour afficher la version minimale de Tanium Core Platform (dépendances Tanium) et les autres exigences de serveurs de plateforme pour chaque service partagé et module Tanium.
Compatibilité entre le serveur et le client Tanium Core Platform
Les Tanium Clients peuvent se connecter uniquement aux serveurs Tanium Core Platform (serveur Tanium, serveur de module Tanium et Tanium Zone Server) qui exécutent la même version de protocole Tanium™ que les clients ou une version ultérieure que celle des clients. Les serveurs et les clients à la version 7.3 ou antérieure exécutent le protocole Tanium 314. Les serveurs et les clients à la version 7.4 ou antérieure exécutent le protocole Tanium 315. Effectivement, cela signifie que les serveurs sont rétrocompatibles avec les clients antérieurs ; par exemple, les serveurs de la version 7.4 prennent en charge Tanium Client 7.2, mais Tanium Client 7.4 ne peut pas se connecter aux serveurs de la version 7.2.
Pour plus d’informations sur le protocole Tanium, consultez le Guide de référence du déploiement de Tanium Core Platform : Présentation de TLS dans Tanium Core Platform.
Les numéros de version des serveurs Tanium Core Platform et des Tanium Clients ont le format <major release>.<minor release>.<point release>, par exemple 7.4.5. Les clients peuvent se connecter aux serveurs lorsque leurs numéros de version majeure et mineure correspondent, indépendamment du fait que les numéros de version ponctuelle correspondent ou non. Par exemple, Tanium Client 7.4.5 peut se connecter au serveur Tanium 7.4.2.
-
Pour s’assurer que toutes les fonctionnalités et correctifs d’une version sont disponibles pour les serveurs Tanium Core Platform et Tanium Clients, mettez à niveau les deux aux mêmes versions majeure, mineure et ponctuelle.
-
N’installez pas Tanium Client sur le même hôte qu’un serveur Tanium Core Platform. Si vous choisissez d’installer le client sur les machines du serveur Tanium Core Platform, vous devez prendre des précautions pour empêcher ces serveurs d’être ciblés dans les actions d’endpoint qui pourraient être perturbatrices pour l’environnement Tanium, et pour empêcher les utilisateurs non autorisés d’accéder aux serveurs en tant qu’endpoints. Vous ne pouvez pas installer le client sur une appliance Tanium, et vous ne pouvez pas utiliser Tanium Client Management pour installer le client sur le serveur de module Tanium.
Accès Internet, connectivité réseau et pare-feu
Les composants Tanium utilisent TCP/IP pour communiquer via les réseaux IPv4 et IPv6. Tanium Core Platform 7.2 et les versions antérieures prennent en charge uniquement IPv4. Contacter l’assistance Tanium si vous avez besoin de la prise en charge d’IPv6 dans la version 7.3 ou une version ultérieure. Vous devez collaborer avec votre administrateur réseau, afin de vous assurer que les composants Tanium sont provisionnés avec des adresses IP et peuvent utiliser un DNS pour résoudre les noms d’hôte.
Pendant l’installation et les opérations en cours, le serveur Tanium et le navigateur Web que vous utilisez pour accéder à la console Tanium doivent se connecter à https://content.tanium.com pour importer les mises à jour des composants et modules de Tanium Core Platform. Le serveur Tanium peut devoir se connecter à des URL supplémentaires, en fonction des composants que vous importez. Pour une liste des URL requises, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : URL Internet requises.
Le serveur Tanium doit pouvoir se connecter au serveur de base de données Tanium et au serveur de module. Dans un déploiement HA , les serveurs Tanium doivent pouvoir se connecter les uns aux autres sur une connexion Ethernet fiable. Toutes ces connexions nécessitent un débit minimum de 1 Gbit/s et une latence maximale de 30 ms.
Si votre environnement réseau d’entreprise nécessite des connexions Internet sortantes pour traverser un serveur proxy, vous pouvez configurer les paramètres du proxy comme décrit dans le Guide d’utilisation de Tanium Console : configuration des paramètres du serveur proxy.
Le T : Tableau 3 récapitule les processus Tanium et les valeurs par défaut des ports utilisés dans les communications de Tanium Core Platform. Les pare-feu réseau et des hôtes peuvent être configurés pour permettre aux processus spécifiés d’envoyer/de recevoir des données TCP via les ports répertoriés. Le programme d’installation Tanium ouvre les ports requis dans le pare-feu hôte Windows. Vous devez collaborer avec votre administrateur de sécurité réseau pour vous assurer que les composants de la plateforme peuvent communiquer à travers les barrières de sécurité (comme par exemple des pare-feu) sur leur chemin de communication. Pour une explication détaillée, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : ports réseau.
Configurez les politiques de pare-feu pour ouvrir des ports pour le trafic Tanium avec des règles basées sur TCP au lieu de règles basées sur l’identité de l’application. Par exemple, sur un pare-feu Palo Alto Networks, configurez les règles avec des objets de service ou des groupes de services au lieu d’objets d’application ou de groupes d’applications.
Votre administrateur de sécurité peut également créer des règles pour exempter ou exclure les processus de Tanium qui fonctionnent sur les ordinateurs hôtes du blocage par antivirus ou traitement par cryptage, ou par tout autre logiciel de la pile de sécurité et de gestion. Pour plus d’informations, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : exceptions de sécurité du système hôte.
La figure suivante illustre comment Tanium Core Platform utilise ces ports dans un déploiement HA sur l’infrastructure Windows.
Certificats SSL/TLS
Le certificat SSL/TLS et les principaux échanges de clés sécurisent les connexions à la Console Tanium™ ou aux API Tanium™, ainsi que les connexions entre le serveur Tanium et le serveur de module Tanium. Lorsque vous exécutez les assistants d’installation, il vous est demandé de générer un certificat auto-signé ou de spécifier l’emplacement d’un certificat et d’une clé existants et émis par une autorité de certification (CA) commerciale ou par votre propre CA d’entreprise. Pour faciliter le dépannage, utilisez les certificats auto-signés lors de l’installation initiale et remplacez-les par des certificats émis par l’autorité de certification plus tard. Cette pratique vous permet de séparer les problèmes d’installation potentiels des problèmes de connexion TLS. Pour plus d’informations, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.
Permissions de compte administrateur
Collaborez avec votre administrateur Microsoft Active Directory (AD) pour fournir les comptes nécessaires au cours des installations ou mises à niveau de Tanium Core Platform et pour les activités post-installation/de mise à niveau.
Comptes administrateur pour les installations et mises à niveau
Le tableau suivant répertorie les comptes administrateur requis pour installer ou mettre à niveau les serveurs de Tanium Core Platform, créer des bases de données Tanium ou déployer des clients Tanium. Vous pouvez utiliser un compte de service unique pour installer le serveur Tanium et créer des bases de données sur le serveur SQL ou PostGresQL, du moment que le compte dispose des appartenances et des privilèges de groupe requis pour ces serveurs. Vous pouvez également utiliser un compte de service unique pour installer le Zone server et le hub Zone Server. Vous devez utiliser un compte de service séparé pour installer le serveur de module.
Comptes administrateur pour activités post-installation/de mise à niveau
Le tableau suivant répertorie les comptes administrateur requis pour les opérations régulières et continues effectuées après les installations ou les mises à niveau, ceci incluant l’exécution des services pour les serveurs de Tanium Core Platform et les Tanium Clients, ainsi que l’accès aux bases de données Tanium. Si vous réutilisez les comptes utilisés pour les installations et les mises à niveau, limitez en premier lieu les permissions des comptes à ceux spécifiés dans le tableau suivant. Vous pouvez utiliser un compte de service unique pour exécuter le service Tanium Server et accéder aux bases de données Tanium. Vous pouvez également utiliser un compte de service unique pour exécuter les services Zone Server et Zone Server Hub. Vous devez utiliser un compte de service séparé pour installer le service Module Server.
| Service | Type de compte | Système hôte | Groupe ou autorisations requis | Objectif du compte |
|---|---|---|---|---|
| Serveur Tanium et bases de données Tanium | Compte de service* AD | Hôte du serveur Tanium | Permissions niveau utilisateur | Ce compte de service exécute le service Tanium Server. Le service s’exécute dans le contexte du système local ou du compte AD, en fonction de l’option que vous sélectionnez lors de l’installation du serveur. |
| Hôte SQL Server | DBO sur les bases de données Tanium | Ce compte d’utilisateur de service accède aux bases de données tanium et tanium_archive. Si vous utilisez le même compte pour exécuter le service Tanium Server, le compte doit être en mesure de se connecter à distance à SQL Server. Le compte nécessite l’appartenance au rôle db_owner pour les bases de données Tanium. Attribuer la permission View server state (Afficher l’état du serveur) reste la meilleure pratique pour permettre au serveur Tanium d’accéder aux données plus rapidement que le rôle DBO seul. | ||
| Hôte PostgreSQL Server | Permissions niveau utilisateur | Ce compte d’utilisateur de service accède aux bases de données tanium et tanium_archive. Si vous utilisez le même compte pour exécuter le service Tanium Server, le compte doit être en mesure de se connecter à distance à PostgreSQL Server. | ||
| Serveur de module Tanium | Compte de service* AD | Hôte serveur de module Tanium | Administrateur | Ce compte de service exécute le service Tanium Module Server. Le service s’exécute dans le contexte du compte système local. |
| Tanium Zone Server et Hub Zone Server | Utilisateur local ou AD | Hôte Tanium Zone Server | Permissions niveau utilisateur | Ce compte de service exécute le service Tanium Zone Server. Le service s’exécute dans le contexte du système local ou du compte AD, en fonction de l’option que vous sélectionnez lors de l’installation du serveur. |
| Hôte hub Tanium Zone Server | Permissions niveau utilisateur | Ce compte de service exécute le service Hub Tanium Zone Server. Le service s’exécute dans le contexte du système local ou du compte AD, en fonction de l’option que vous sélectionnez lors de l’installation du serveur. | ||
| Tanium Client | Système local | Hôte Outil de déploiement du client Tanium (CDT) | Administrateur | Sous Windows, le service Tanium Client s’exécute dans le contexte du compte système local. |
| *Il est possible d’utiliser le compte système local dans un déploiement POC, mais pas dans un déploiement de production. | ||||
Dernière mise à jour : 10/09/2021 11:26 | Commentaires
