Authentification des fichiers de contenu

Tanium en tant que service (TaaS) importe automatiquement le contenu requis. Vous ne pouvez pas importer de contenu personnalisé dans le cadre d’un déploiement TaaS.

Aperçu des importations et exportations de contenu

Tanium Console prend en charge l’exportation et l’importation de contenu, ce qui est pratique lorsque vous souhaitez copier le contenu entre les serveurs Tanium. Vous pouvez exporter et importer les fichiers de contenu au format JSON (best practice) ou au format XML.

Développez et testez le contenu personnalisé dans votre environnement de laboratoire avant de le distribuer aux serveurs de production dans le cadre de votre déploiement Tanium.

Dans les déploiements Tanium dotés d’une licence de production, le contenu que vous importez nécessite une signature numérique par défaut. La validation de la signature permet de mieux protéger votre déploiement contre l’importation de fichiers non autorisés. Une clé privée permet de créer la signature. Le serveur Tanium utilise la clé publique associée pour valider la signature pendant le processus d’importation. Vous conservez les clés publiques des signataires approuvés sur le serveur Tanium. Si aucune des clés publiques dans la base de stockage de clés du serveur Tanium ne peut valider la signature, le serveur n’importe pas le contenu et la console Tanium affiche les messages d’échec.

F : Figure 1 :  Erreurs de validation de la signature

dans les déploiements Tanium dotés d’une licence de laboratoire, la console Tanium vous avertit si le fichier sélectionné à importer n’est pas signé et vous permet de poursuivre. Cependant, la meilleure pratique consiste à ne pas importer de fichiers non signés dans le cadre d’un déploiement.

Vous n’êtes pas tenu(e) de générer des clés ou des signatures pour le contenu que vous importez en tant que composant des solutions Tanium ou des packs de contenus Tanium (reportez-vous à la section Gestion des solutions Tanium). Tanium signe ce contenu avant de le rendre disponible et la clé publique associée est distribuée à la base de stockage de clés du serveur Tanium pendant le processus d’installation du serveur. Pour tous les autres contenus, vous devez générer manuellement une paire de clés publique-privée pour signer et valider les fichiers de contenu que vous importez.

Les utilisateurs dotés du rôle réservé Administrateur peuvent exporter et importer tous les types de contenu. Les utilisateurs disposant d’un rôle micro admin avec la permission Import Signed Content (Importer le contenu signé) activée peuvent importer du contenu uniquement si le fichier de contenu est signé et si les utilisateurs possèdent les permissions de lecture pour le type de contenu. Pour les autres utilisateurs, la capacité d’exporter et d’importer varie selon le type de contenu et les affectations de rôles. Pour plus de détails, reportez-vous à la section Permissions de gestion du contenu.

Pour les tâches ponctuelles avant d’importer du contenu, vous devez générer la paire de clés publique-privée et copier la clé publique vers la base de stockage de clés du serveur Tanium. Vous devez alors utiliser la clé privée pour signer chaque nouveau fichier de contenu que vous importez. Pour les étapes à suivre pour importer des fichiers de contenu signés et exporter du contenu, reportez-vous à la section Gérer les services partagés et le contenu.

Créer des clés d’authentification de contenu

Le serveur Tanium fournit le programme de ligne de commande KeyUtility pour générer une paire de clés cryptographiques afin de signer et de valider des fichiers de contenu. KeyUtility et ses fichiers associés résident dans le dossier d’installation de niveau supérieur du serveur Tanium (tel que \\Program Files\\Tanium\\Tanium Server). Vous pouvez exécuter le programme KeyUtility à partir du dossier d’installation ou copier les fichiers dans un dossier de travail sur n’importe quel système Windows et exécuter le programme depuis ce dossier de travail.

  1. (Facultatif) Pour exécuter KeyUtility à partir d’un dossier de travail, configurez le dossier comme suit :
    1. Copiez les fichiers suivants depuis le dossier d’installation du serveur Tanium (déploiements Windows uniquement) ou depuis l’emplacement où vous avez décompressé le fichier KeyUtility.zip fourni par l’assistance Tanium :
      • KeyUtility.exe
      • libeay32.dll
      • ssleay32.dll
    2. Collez les fichiers dans le dossier de travail.
  2. Ouvrez le fichier Command Prompt (Invite de commande) de Windows (cmd.exe) et exécutez la commande suivante depuis le dossier où résident les fichiers KeyUtility. L’argument <file name> définit les noms de fichiers de clés, mais vous n’avez pas besoin de spécifier le suffixe. KeyUtility ajoute automatiquement le suffixe .pub pour la clé publique et .pvk pour la clé privée.

    KeyUtility.exe makekeys <file name>

Voici un exemple de commande et du contenu résultant d’un dossier de travail :

D:\Tanium\Working>KeyUtility.exe makekeys TaniumLab

D:\Tanium\Working>dir
			
Directory of D:\Tanium\Working
			
09/05/2018  08:05 PM    <DIR>          .
09/05/2018  08:05 PM    <DIR>          ..
08/17/2018  03:04 AM         4,254,704 KeyUtility.exe
03/27/2018  07:03 PM         2,632,192 libeay32.dll
03/27/2018  07:03 PM           457,728 ssleay32.dll
09/05/2018  08:05 PM               158 TaniumLab.pub
09/05/2018  08:05 PM               241 TaniumLab.pvk
5 File(s)      7,345,023 bytes
2 Dir(s)  41,049,174,016 bytes free

Signer les fichiers de contenu

Après avoir créé une paire de clés public/privé pour authentifier les fichiers de contenu, utilisez la clé privée pour signer les fichiers :

  1. Copiez le fichier de contenu à un emplacement auquel vous pouvez accéder depuis le dossier où résident les fichiers KeyUtility et les fichiers de clés de signature de contenu.

    Le dossier est soit le dossier d’installation du serveur Tanium (tel que \\Program Files\\Tanium\\Tanium Server), soit un dossier de travail que vous configurez : reportez-vous à la section Créer des clés d’authentification de contenu.

  2. Ouvrez le fichier Command Prompt (Invite de commande) de Windows (cmd.exe) et accédez au dossier où résident les fichiers KeyUtility et de clés.
  3. Signez le fichier de contenu.

    KeyUtility.exe signcontent <private_key> <content_file>

    Voici un exemple de commande :

    KeyUtility.exe signcontent import.pvk "Example Multicolumn Sensor Windows Registry.json"

  4. Ouvrez le fichier de contenu dans un éditeur de texte et vérifiez qu’une signature telle que la suivante apparaît en bas :

    <!--hash=2a8bc7529c9fcdad037982bcbfc12306aa88ac8b9d95d02248ec369008188b7c0e356ad1811609c7 54eb01dc97c09b9f2acb10331e2d9dbf77d309124c61950a;signature=01AF3D547A97CCBD62A022F398 586DEAD4E29A30C29406283DA2E8F1E9FCF176194D66D4D9602538102F8F2FBBCFBC7AF370DB44E839C04 7253A246447E9A146706F00E94CD26D2CF29D8916E6EE0F21C77F0E13A6769905E5DDC09458912A94BB74 C1311C9B26301DB8D8C73AC043EBC6A5A836FB6815011F1ACB37E0248A30F100B631-->

Copier la clé publique vers la base de stockage de clés

Avant que vous puissiez importer un fichier de contenu, le dossier des clés du serveur Tanium (tel que \Tanium\Tanium Server\content_public_keys\content) doit contenir une copie de la clé publique que le serveur utilise pour valider la signature dans le fichier. Copiez la clé publique depuis le dossier où vous avez exécuté la commande de génération de clés. Le dossier est soit le dossier d’installation du serveur Tanium (tel que \\Program Files\\Tanium\\Tanium Server), soit un dossier de travail que vous configurez : reportez-vous à la section Créer des clés d’authentification de contenu.

pour plus d’informations sur l’ajout de la clé de signature de contenu au serveur Tanium sur une appliance Tanium, reportez-vous à la section Guide d’installation d’appliance Tanium : Activer l’importation du contenu créé par l’utilisateur.