Proxy-Server-Einstellungen

Die Verteilungen von Tanium as a Service umfassen einen kundenspezifischen Proxy-Server, der die Ziele ermöglicht, die für ein Funktionieren der Tanium-Module erforderlich sind. Um zusätzliche zulässige Einträge anzufordern, wenden Sie sich an den Tanium Support unter [email protected].

Einige Organisationen verwenden Proxy-Server für Datenverkehr zwischen internen Servern und dem Internet. Wenn Ihr Unternehmen Proxys verwendet und die Sicherheitsrichtlinien den direkten Zugriff der Tanium Core Platform-Server auf Internetstandorte nicht zulassen, können Sie den Zugriff über die Proxys konfigurieren. Der Tanium Server stellt eine Verbindung mit dem Internet her, um Inhaltsaktualisierungen von Tanium und notwendige Dateien von anderen vertrauenswürdigen Lieferanten herunterzuladen. Der Tanium-Modulserver stellt eine Verbindung mit dem Internet her, um Modul-Softwareaktualisierungen von Tanium herunterzuladen. Einzelne Tanium-Module müssen möglicherweise auch auf das Internet zugreifen.

Der Tanium Server und der Modulserver verwenden ein Dienstprogramm namens Tanium Downloader (TDownloader), um Dateien sicher herunterzuladen. Um den Zugriff über Proxys zu konfigurieren, konfigurieren Sie die Tanium Downloader-Einstellungen auf beiden Servern.

Um Tanium Client 7.4 oder höher für die Verbindung über einen Hypertext Transfer Protocol Secure (HTTPS) Proxyserver mit dem Tanium Server oder Tanium Zone Server zu konfigurieren, siehe Benutzerhandbuch für Tanium Client Management: Verbindung über einen HTTPS-Proxy-Server.

Eine Liste der Standorte, auf die Tanium Core Platform-Server zugreifen, finden Sie unter Internet-URLs erforderlich.

Ein Zielserver kann seine eigenen Anforderungen haben, wie z. B. Zertifikatsauthentifizierung oder Benutzerauthentifizierung. Informationen zur Konfiguration erweiterter Optionen für diese Anforderungen finden Sie unter Tanium-Support KB: Tanium Downloader.

Abbildung 1:  Bereitstellung von Tanium mit Proxy-Server

Arten von Proxy-Servern

Die Tanium Core Platform unterstützt zwei Arten von Proxy-Servern:

  • Einfach: Ein streng IP-adressbasierter Proxy-Server ermöglicht einer bestimmten Liste von Servern, den Proxy zu durchlaufen und auf das Netzwerk oder das Internet zuzugreifen. Fügen Sie die IP-Adressen oder vollständig qualifizierten Domain-Namen des TaaS Tanium Servers und Modulservers der Zugriffsliste des Proxy-Servers hinzu. Wenn der Proxy-Server Authentifizierung erfordert, konfigurieren Sie die Konto-ID und das Passwort.
  • NTLM: Wenn der Proxy-Server für die Verwendung von Microsoft NT LAN Manager (NTLM) eingerichtet ist und Sie den TaaSTanium Server-Dienst konfigurieren, um im Kontext eines Dienstkontos zu laufen, das über ausreichende Berechtigungen verfügt, um den Proxy-Server zu durchlaufen, müssen Sie keine Konto-ID und kein Passwort konfigurieren.

Tanium Downloader-Benutzerkontext

Für Bereitstellungen der Tanium™ Appliance läuft Tanium Downloader im Kontext des Dienstkonto-Benutzers tanium.

Für Tanium-Bereitstellungen auf der vom Kunden bereitgestellten Windows-Infrastruktur läuft Tanium Downloader im Kontext des Dienstkonto-Benutzers von Tanium Server, der während der Installation festgelegt wurde.

Proxy-Einstellungen mit der Tanium Console konfigurieren

In den meisten Fällen verwenden Sie die Tanium Console, um Proxy-Einstellungen zu konfigurieren, es sei denn, Sie müssen die Einstellungen konfigurieren, bevor Sie auf die Konsole zugreifen können. Siehe Benutzerhandbuch für Tanium Console: Konfigurieren von Proxy-Server-Einstellungen.

Tanium Appliance: Proxy-Einstellungen konfigurieren

In den meisten Fällen verwenden Sie die Tanium Console, um Proxy-Einstellungen zu konfigurieren. Unter bestimmten Umständen müssen Sie möglicherweise die Proxy-Einstellungen konfigurieren, bevor Sie Zugang zur Tanium Console haben. Bei Bedarf können Sie Proxy-Einstellungen auf dem Tanium Server oder dem Modulserver-Host konfigurieren.

Die Proxy-Server-Konfiguration wird in Konfigurationsdateien auf dem Tanium Server gespeichert. Aktiv-aktive Tanium Server synchronisieren die Konfigurationsdateien nicht automatisch. Wenn Sie diese Einstellungen bei aktiv-aktiv-Bereitstellungen ändern, müssen Sie das Verfahren auf beiden Tanium Servern im Cluster durchführen.

  1. Melden Sie sich bei der TanOS-Konsole als Benutzer Tanadmin an.
  2. Geben Sie 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.
  3. Geben Sie 2 ein, um zum Menü Tanium Configuration Settings (Konfigurationseinstellungen von Tanium) zu gelangen.
  4. Geben Sie 2 ein, um zum Menü Tanium Server TDL Settings (Tanium Server TDL-Einstellungen) zu gelangen, oder geben Sie 5 ein, um zum Menü Module Server TDL Settings (TDL-Einstellungen Modulserver) zu gelangen.
  5. Verwenden Sie das Menü, um Proxy-Server-Einstellungen zu bearbeiten.
 Tabelle 1: Tanium Server Tanium Downloader (TDL)-Einstellungen
Einstellungen Richtlinien
BypassCRLCheckHostList Verwenden Sie diese Einstellung, um Server aufzulisten, denen der Tanium Server vertrauen kann, ohne eine Zertifikatssperrliste (CRL) zu prüfen. The Tanium Server performs a CRL check on all servers that are not in this list, and does not download files from a server that fails the check. Geben Sie die Server nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
BypassProxyHostList Muss mit einer durch Kommas getrennten Liste von FQDN- oder IP-Adressen eingestellt werden, die alle Tanium Server und den Modulserver, 127.0.0.1 und localhost angeben. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]). Geben Sie Literalwerte an. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.

Hinweis: Es wurden Verbesserungen in den neuesten Versionen vorgenommen, um den Proxy-Server automatisch für diese Hostadressen zu umgehen:

7.0.314.6573+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.1.314.3204+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.2.314.3181+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.

7.3.314.2866+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.
LogVerbosityLevel Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Normale Protokollierungsstufe.
  • 41: Empfohlen während der Fehlersuche.
  • >= 91: Detaillierteste Protokollierungsstufe. Nur für kurze Zeiträume aktivieren.
ProxyServer IP-Adresse des Proxy-Servers.

Hinweis: Standardmäßig löst Tanium Downloader die Proxy-Serveradresse als Ipv4-Adresse auf. Wenn der Proxy-Server eine Ipv6-Adresse hat, müssen Sie sie in Klammern eingeben (z. B. [2001:db8::1]) und die Tanium Downloader-Einstellung ForceIPV6 auf 1 konfigurieren.
ProxyPort Proxy-Server-Überwachungsport.
ProxyType Die Optionen sind Basic (Einfach), NTLM (NTLM) oder None (Keine).
ProxyUserid Für einen Proxy-Server, der Authentifizierung erfordert, geben Sie die Benutzer-ID ein, um die Verbindung mit dem Proxy-Server herzustellen.
ProxyPassword Für einen Proxy-Server, der Authentifizierung erfordert, geben Sie das Passwort des ProxyUserid-Benutzers ein, um die Verbindung mit dem Proxy-Server herzustellen.
TrustedCertPath Pfad zum Transport Layer Security (TLS) Certificate Authority (CA)-Bundle vertrauenswürdiger Zertifikate.
TrustedHostList Standardmäßig validiert der Tanium Server das SSL-/TLS-Zertifikat von Remote-Servern, wenn Verbindungen zu diesen hergestellt werden (wie zum Beispiel für das Herunterladen von Dateien). Um die Zertifikatsvalidierung für bestimmte Server zu umgehen, geben Sie ihre FQDN oder IP-Adresse ein. Die Tanium Core Platform 7.0.314.6242 und höher unterstützt Platzhalter. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).

In einer aktiv-aktiven Verteilung müssen Sie die Tanium-Server nicht zur Liste hinzufügen. Die Server vertrauen automatisch einander, sowie dem Datenverkehr von 127.0.0.1 oder localhost.

Wenden Sie sich an den Tanium Support, bevor Sie diese Einstellung ändern.
ForceIPV6 Fügen Sie diese Einstellung manuell hinzu, wenn Sie sie benötigen, aber nur bei Anleitung durch den Tanium Support ([email protected]). Bei Verteilungen, bei denen der Datenverkehr zwischen Tanium Core Platform-Servern und dem Internet über einen Proxy-Server läuft, löst Tanium Downloader die Proxy-Adresse standardmäßig als IPv4-Adresse auf. Wenn der Proxy-Server eine IPv6-Adresse hat, fügen Sie die ForceIPV6-Einstellung hinzu und setzen Sie den Wert auf 1.

Windows: Proxy-Einstellungen konfigurieren

In den meisten Fällen verwenden Sie die Tanium Console, um Proxy-Einstellungen zu konfigurieren. Unter bestimmten Umständen müssen Sie möglicherweise die Proxy-Einstellungen konfigurieren, bevor Sie Zugang zur Tanium Console haben. Bei Bedarf können Sie Proxy-Einstellungen auf dem Tanium Server oder dem Modulserver-Host konfigurieren.

Die Proxy-Server-Konfiguration wird in Konfigurationsdateien auf dem Tanium Server gespeichert. Tanium Server synchronisieren die Konfigurationsdateien unter aktiv-aktiv-Peers nicht automatisch. Wenn Sie diese Einstellungen bei aktiv-aktiv-Verteilungen ändern, müssen Sie das Verfahren auf beiden Tanium Servern durchführen.

Der Windows Registry-Eintrag für Proxy-Server-Einstellungen befindet sich am folgenden Speicherort für den Tanium Server-Host und den Tanium-Modulserver-Host:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Tanium\Tanium Server

 Tabelle 2: Tanium Downloader-Einstellungen
Name Typ Daten
BypassCRLCheckHostList REG_SZ Verwenden Sie diese Einstellung, um Server aufzulisten, denen der Tanium Server vertrauen kann, ohne eine Zertifikatssperrliste (CRL) zu prüfen. Der Tanium Server führt einen CRL-Check für alle Server durch, die sich nicht auf der Liste bfinden, und lädt keine Dateien von einem Server herunter, die den Check nicht bestehen. Geben Sie die Server nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
BypassProxyHostList REG_SZ Muss mit einer durch Kommas getrennten Liste von FQDN- oder IP-Adressen eingestellt werden, die alle Tanium Server und den Modulserver, 127.0.0.1 und localhost angeben. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B, [2001:db8::1]).. Geben Sie Literalwerte an. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.

Hinweis: Es wurden Verbesserungen in den neuesten Versionen vorgenommen, um den Proxy-Server automatisch für diese Hostadressen zu umgehen:

7.0.314.6573+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.1.314.3204+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.2.314.3181+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.

7.3.314.2866+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.
ProxyServer REG_SZ IP-Adresse des Proxy-Servers.

Hinweis: Standardmäßig löst Tanium Downloader die Proxy-Serveradresse als Ipv4-Adresse auf. Wenn der Proxy-Server eine IPv6-Adresse hat, müssen Sie sie in Klammern eingeben (z. B. [2001:db8::1]) und die Tanium Downloader-Einstellung ForceIPV6 auf 1 konfigurieren.
ProxyPort REG_SZ Proxy-Server-Überwachungsport.
ProxyType REG_SZ Die Optionen sind Basic (Einfach), NTLM (NTLM) oder None (Keine).
ProxyUserid REG_SZ Für einen Proxy-Server, der Authentifizierung erfordert, geben Sie die Benutzer-ID ein, um die Verbindung mit dem Proxy-Server herzustellen.
ProxyPassword REG_SZ Das entsprechende Passwort.
TrustedHostList REG_SZ Standardmäßig validiert der Tanium Server das SSL-/TLS-Zertifikat von Remote-Servern, wenn Verbindungen zu diesen hergestellt werden (wie zum Beispiel für das Herunterladen von Dateien). Um die Zertifikatsvalidierung für bestimmte Server zu umgehen, geben Sie ihre FQDN oder IP-Adresse ein. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).

In einer aktiv-aktiven Verteilung müssen Sie die Tanium-Server nicht zur Liste hinzufügen. Die Server vertrauen automatisch einander, sowie dem Datenverkehr von 127.0.0.1 oder localhost.

Wenden Sie sich an den Tanium Support, bevor Sie diese Einstellung ändern.

Standardmäßig löst Tanium Downloader einen Proxy-Server-Hostnamen als Ipv4-Adresse auf. Die Tanium Core Platform 7.3 und später unterstützt IPv6. Falls erforderlich, können Sie die Standardeinstellung überschreiben, indem Sie im folgenden Speicherort eine Einstellung zum Tanium Downloader-Registry hinzufügen:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Tanium\Downloader

 Tabelle 3: Einstellung des Tanium Downloader Registry-Schlüssels
Name Typ Daten
LogVerbosityLevel REG_DWORD Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Protokollierungsstufe während des normalen Betriebs.
  • 41: Beste Protokollierungsstufe während der Fehlerbehebung.
  • 91 oder höher: Aktivieren Sie die detailliertesten Protokollierungsstufen nur für kurze Zeiträume.
ForceIPV6 REG_DWORD Fügen Sie diesen Registrierungsschlüssel manuell hinzu, wenn Sie ihn benötigen, wenden Sie sich jedoch zunächst für eine Anleitung an den Tanium Support unter [email protected]. Standardmäßig löst Tanium Downloader die Proxy-Serveradresse als Ipv4-Adresse auf. Wenn der Proxy-Server eine IPv6-Adresse hat, fügen Sie den Schlüssel hinzu und setzen Sie seinen Wert auf 1.