Absicherung des Zugriffs auf Tanium Server, Zonenserver und Tanium Client

Tanium as a Service (TaaS) verwendet Transport Layer Security (TLS), um die Verbindungen zwischen den Komponenten der Tanium Core Platform zu sichern. Sie können die digitalen Zertifikate und Schlüssel, die TaaS für die TLS-Kommunikation verwendet, nicht ändern.

Überblick über TLS in der Tanium Core Platform

Tanium Core Platform 7.2 oder höher verwendet die folgenden Protokolle für die Kommunikation zwischen Plattformkomponenten:

Tanium-Protokoll: Dieses Anwendungsprotokoll ist Eigentum von Tanium und verwendet TLS 1.2 zur Verschlüsselung der Kommunikation. Sie können Netzwerkgeräte wie Firewalls nicht zum Entschlüsseln und Überprüfen des Tanium Protocol-Datenverkehrs verwenden.
Hypertext Transfer Protocol Secure (HTTPS): Die Tanium Core Platform verwendet TLS 1.2, um die HTTPS-Kommunikation zwischen Plattformkomponenten zu verschlüsseln. Die Komponenten verhandeln die TLS-Version für HTTPS-Verbindungen mit externen Servern, setzen jedoch TLS 1.2 als Mindestversion durch.

In der folgenden Tabelle sind die Verbindungen zwischen den Komponenten der Tanium Core Platform und dem Protokoll aufgeführt, die jede Verbindung verwendet. Die Zahlen entsprechen den Verbindungen in Abbildung 1.

Tabelle 1: TLS-Kommunikation in der Tanium Core Platform
Verbindung		Protokoll
1	Tanium Console oder API Benutzersysteme an Tanium Server	HTTPS
	Tanium Console oder API Benutzersysteme zu externen Servern (wie content.tanium.com)	HTTPS
	(Nur Windows) Tanium Server an Tanium Datenbank in Verteilungen, bei denen sich die Datenbank nicht auf dem Tanium Server Host befindet	Standardmäßig keine Verschlüsselung, aber die Konfiguration der Verschlüsselung ist eine Best Practice. Wenden Sie sich an Ihren Datenbankadministrator.
	Tanium Server zu Tanium-Modulserver	HTTPS
	Modulserver zu externen Servern	HTTPS
	Tanium Server zu Tanium Server in einer aktiv-aktiven Verteilung	Protokoll von Tanium * * Tanium Appliances verwenden IPsec, um den Datenverkehr der Tanium-Datenbank und den LDAP-Synchronisierungsverkehr (Lightweight Directory Access Protocol) zu sichern.
	Tanium Server zu externen Servern	HTTPS
	Tanium Server an Zonenserver-Hub Abbildung 1 zeigt den Zonenserver-Hub, der auf einem Host installiert ist, der von den Tanium Server-Hosts getrennt ist, um zu veranschaulichen, dass die Verbindung verschlüsselt ist. In den meisten Verteilungen installieren Sie die Hubs jedoch auf denselben Hosts wie die Tanium Server.	Protokoll von Tanium
	Zonenserver-Hub an Zonenserver	Protokoll von Tanium
	Tanium Clients (extern) zu Zonenserver	Protokoll von Tanium
	Tanium Clients (intern) an Tanium Server	Protokoll von Tanium
	Tanium Client zu Tanium Client (extern und intern)	Protokoll von Tanium * * Gilt nur für Tanium Client 7.4 oder höher.

Abbildung 1: TLS-Kommunikation in der Tanium Core Platform

Informationen zur Verwaltung der Zertifikate und Schlüssel, die die Tanium Core Platform für HTTPS-Datenverkehr verwendet, finden Sie unter Zugriff auf Tanium Console, API und Modulserver absichern.

Die Tanium Core Platform unterstützt TLS für zusätzliche Verbindungen, die verschiedene Tanium-Module und geteilte Dienste benötigen. Einzelheiten hierzu finden Sie im Benutzerhandbuch für Ihre Tanium-Produkte unter docs.tanium.com.

Die TLS-Kommunikation beginnt, wenn ein TLS-Client einen TLS-Handshake initiiert, um eine sichere Verbindung mit einem Server herzustellen. Im Folgenden finden Sie Beispiele im Kontext der Tanium Core Platform:

Der Zonenserver agiert als Client, wenn er sich beim Tanium Server registriert.
Der Tanium Client agiert als Client, wenn er sich beim Zonenserver oder Tanium Server registriert.
Ein Tanium Server fungiert als Client, wenn er eine aktive-aktive Synchronisation mit einem anderen Tanium Server durchführt.

Während des TLS-Handshakes erzeugen der Client und der Server einen geteilten, einzigartigen Sitzungsschlüssel, den sie verwenden, um die Kommunikation für die Dauer ihrer Sitzung abzusichern. Sie können TLS als optional für bestimmte Versionen von Tanium Core Platform-Servern und Tanium Clients konfigurieren, wie in Tabelle 2 aufgeführt. Wenn der Handshake fehlschlägt und TLS optional ist, versuchen Client und Server, stattdessen eine (unverschlüsselte) Nicht-TLS-Verbindung herzustellen. Wenn der Handshake fehlschlägt und TLS als erforderlich konfiguriert ist, können Client und Server keine Verbindung herstellen.

Die Tanium Core Platform 7.2 unterstützt die folgenden Cipher-Suiten für die Erstellung von Schlüsseln und die Verschlüsselung von Informationen bei der TLS-Kommunikation:

ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256

Wenden Sie sich an den Tanium Support unter [email protected] und konsultieren Sie Ihr Netzwerksicherheitsteam, bevor Sie die TLS-Konfiguration ändern. Die Version der Tanium Core Platform, Komponenten und die Infrastruktur bestimmen, ob TLS verfügbar und erforderlich ist:

Tabelle 2: TLS-Optionen und Standards
Version	Tanium Server, Zonenserver, Zonenserver-Hub	Tanium Clients
7.4 oder neuer	Nach einer Neuinstallation oder Aktualisierung ist TLS erforderlich und Sie können es nicht deaktivieren.	Nach einer Neuinstallation oder Aktualisierung ist TLS standardmäßig erforderlich.
7.2 oder 7.3	Ob TLS aktiviert ist, hängt von der Infrastruktur ab, in der Sie die Tanium Core Platform einsetzen: Windows-Bereitstellung: TLS ist standardmäßig deaktiviert und die Aktivierung ist optional. Tanium Appliance-Bereitstellung: TLS ist auf dem Tanium Server standardmäßig aktiviert und die Deaktivierung für eingehende Verbindungen ist optional. TLS ist auf dem Zonenserver und Zonenserver-Hub standardmäßig deaktiviert und die Aktivierung ist optional.	Die TLS-Kommunikation ist standardmäßig deaktiviert und die Aktivierung ist optional.
7.1 oder älter	Die Verschlüsselung für die Kommunikation zwischen Servern erfordert binäre oder andere externe Abhängigkeiten von Drittanbietern.	Nicht zutreffend

In den folgenden Abschnitten wird beschrieben, wie Sie TLS für Komponenten der Tanium Core Platform einrichten, die das Tanium-Protokoll verwenden. Weitere Details und Verfahren im Zusammenhang mit den digitalen Schlüsseln für den Datenverkehr mit dem Tanium-Protokoll finden Sie im Benutzerhandbuch der Tanium Console: Verwalten von Tanium-Schlüsseln.

Tanium Appliance: TLS einrichten

Tanium Server

Wenn Sie die Tanium Server-Rolle installieren (siehe Installation eines einzelnen Tanium Servers), ist TLS standardmäßig aktiviert. TLS ist in der Tanium Core Platform 7.4 oder neuer für eingehende Verbindungen erforderlich, nicht aber in früheren Versionen. Wenn Sie TLS für eingehende Verbindungen in Version 7.2 oder 7.3 erforderlich machen möchten, gehen Sie zum Menü Tanium Operations (Tanium-Operationen) und verwenden Sie das Menü Configuration Settings (Konfigurationseinstellungen), um die Werte zu ändern. Einzelheiten finden Sie unter Einstellungen für Tanium Core Platform-Server.

Tanium Zonenserver

Wenn Sie die Tanium Zone Server-Rolle oder die Zonenserver-Hub-Addon-Rolle installieren, ist TLS in der Tanium Core Platform 7.4 standardmäßig aktiviert, nicht aber in früheren Versionen. Führen Sie die folgenden Anweisungen aus, um TLS in Version 7.2 oder 7.3 zu konfigurieren.

Konfigurationsübersicht

Die Konfiguration einer Verschlüsselung im Tanium Zone Server ist ein dreistufiger Prozess:

Erstellen Sie auf dem Zonenserver eine TLS-Zertifikatsignieranforderung (certificate signing request, CSR). Schritt 1: Eine CSR erstellen.
Stellen Sie auf dem Tanium Server das TLS-Zertifikat aus und signieren Sie es: Schritt 2: Zertifikat ausstellen.
Fügen Sie im Zonenserver das Zertifikat und die Schlüsseldateien hinzu und konfigurieren Sie Standardwerte für TLS-Einstellungen: Schritt 3: Zertifikat installieren und TLS-Einstellungen konfigurieren.

Um die Standardwerte zu ändern, gehen Sie zum Menü Tanium Operations (Tanium-Operationen) und verwenden Sie das Menü Configuration Settings (Konfigurationseinstellungen), um die Werte zu ändern.

Dateiübertragungsmethoden

TanOS 1.5 und höher enthält Menüs, die die folgenden Methoden zum Kopieren von CSR, Zertifikat und Schlüsseldateien ermöglichen:

Zwischen TanOS-Menüs auf der Zonenserver-Appliance und der Tanium Server Appliance kopieren und einfügen. Diese Methode ist praktisch, wenn Sie SSH-Terminalsitzungen für jede Appliance öffnen können. Wenn Sie diese Methode verwenden, fahren Sie mit Schritt 1: Eine CSR erstellen fort.
Menügesteuertes SFTP zwischen Zonenserver-Appliance und Tanium Server-Appliance. Diese Methode erfordert SFTP-Konnektivität vom Zonenserver zum Tanium Server. Sie müssen den öffentlichen Schlüssel für den Benutzer tanadmin auf der ersten Appliance in den autorisierten Schlüsselspeicher für den Benutzer tancopy auf der zweiten Appliance kopieren und umgekehrt.

Erforderliche SSH-Schlüssel hinzufügen

Starten Sie eine SSH-Terminalsitzung auf der Tanium Server-Appliance und der Zonenserver-Appliance, sodass Sie zwischen den beiden kopieren und einfügen können.

Kopieren Sie den Schlüssel Tanadmin von der ersten Appliance in den autorisierten Schlüsselspeicher für den Benutzer Tancopy auf der zweiten Appliance.

Auf der ersten Appliance:

Geben Sie im tanadmin-Menü C ein, um zum Menü User Administration (Benutzerverwaltung) zu gelangen.

Bildschirm anzeigen

------------------------------------------------------

              >>> User Administration <<< 

		U: TanOS User Management
		I: Recent Login Information

		L: Local Tanium User Management

		H: Help
		R: Return to previous menu

------------------------------------------------------

Geben Sie 3 ein, um zum Menü SSH Key Management (SSH-Schlüsselverwaltung) zu gelangen.

Bildschirm anzeigen

>>> User Administration -> SSH Key Management <<< 

          1: tanadmin
          2: tanuser
          3: tancopy

          H: Help
          R: Return to previous menu

------------------------------------------------------

Geben Sie die Zeilennummer für Tanadmin ein, um das Schlüsselverwaltungsmenü für diesen Benutzer anzuzeigen.

Bildschirm anzeigen

>>> Appliance User Administration -> SSH Key Management -> tanadmin <<< 

Username: tanadmin

          1: Generate ssh key pair
          2: Display public key
          3: Manage authorized key(s)

          R: Return to previous menu

------------------------------------------------------

Geben Sie 2 ein, um den öffentlichen Schlüssel anzuzeigen.

Bildschirm anzeigen

>>> Appliance User Administration -> SSH Key Management -> tanadmin -> Display public key <<< 

 displaying content of id_rsa.pub file:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCqXUnoyrg4opYQp4DGZoasYy8ud5oJEar9BqRr2RVHMm/Sxcl4T1sthsN
WS0ECo0j32mCSM3ynYZn2AdJTU6HbKnFM30gtQL7+tpmGrgbkaVEJ9OXoA47JP0o5hbI16UUpuEKJrEBOYovIsrN2gtwKbz
YdOVCxVq5amzqg7/UrQyUO3rmt54qStiqNIiHI3UjzPWYJwUxz90vU7LWsXYz1CAWBTXnh51kg0lBPFgbRmUZJb0DwLb4Sw
lFZAe5P0RO4RwdmZVgTfsqy+MVuyzaBzGD1z4MlIZ83R6sW+nXtipbzqhFTLykLRLIXobuHjuf0Yy1H7/ZDJh/qlojce4TC
g/+5e2h1RQ8ZKgECZDJoCdrkAM6y9arHCoZwqEP9MXugQXCO6EMrP39vXajnV3YrDKKLYP1pxWZGOA4ylNqY5mG1+AofVdG
vAUBztjXfXgC3bgL0Qgp+d3E8JvLRHXfkmRijppvj+BCJUawXJfkMtBEgrxQP9PoDwHrqJj6ey80v8P7DgojQw83JumsG3S
+7l0e0Ia02q/05s2EpOv9jE9aJiLRGKbb4WkjvUSpK1VmDK54qfeSKj6yp3IIt13GBKmkVqKbbZS6gaZ3UTpzq3dj+53YeP
eOe8XMECuxl6aH4nLT4u3CqrCqxTfTa5y1Fi3/e9zI5/AKJlTXWF3ISCQ== [email protected]

 Press enter to continue

Kopieren Sie den Inhalt des öffentlichen Schlüssels in die Zwischenablage.

Auf der zweiten Appliance:
1. Geben Sie im tanadmin-Menü C ein, um zum Menü User Administration (Benutzerverwaltung) zu gelangen.
2. Geben Sie 3 ein, um zum Menü SSH Key Management (SSH-Schlüsselverwaltung) zu gelangen.
3. Geben Sie die Zeilennummer für den Benutzer Tancopy ein.
4. Geben Sie 3 ein, um zum Menü Authorized Keys (Autorisierte Schlüssel) zu gelangen. Bildschirm anzeigen
```
>>> User Administration -> TanOS -> tancopy -> Authorized Keys <<< 

Username: tancopy
Select an entry to view or delete.

	1: 2048 SHA256:m/0rT0o+rDfKLWQQULUQqbOUdMkojZhco60dCuu3elY 
	2: 2048 SHA256:8OV4S5V30aFu9pZKexRVaElF3BgJNEx+Y91fgbnzxIU
			
       A: Add key

       R: Return to previous menu

------------------------------------------------------
```
5. Geben Sie 2 ein und folgen Sie den Anweisungen, um den Inhalt der öffentlichen Schlüsseldatei des Benutzers Tanadmin einzufügen.

Kopieren Sie den Schlüssel Tanadmin von der zweiten Appliance in den autorisierten Schlüsselspeicher für den Benutzer Tancopy auf der ersten Appliance.
1. Auf der zweiten Appliance:
  1. Kehren Sie zum Menü SSH Key Management (SSH-Schlüsselverwaltung) zurück.
  2. Geben Sie die Zeilennummer für Tanadmin ein, um das Schlüsselverwaltungsmenü für diesen Benutzer anzuzeigen.
  3. Geben Sie 2 ein, um den öffentlichen Schlüssel anzuzeigen.
  4. Kopieren Sie den Inhalt des öffentlichen Schlüssels in die Zwischenablage.
2. Auf der ersten Appliance:
  1. Kehren Sie zum Menü SSH Key Management (SSH-Schlüsselverwaltung) zurück.
  2. Geben Sie die Zeilennummer für den Benutzer Tancopy ein.
  3. Geben Sie 3 ein, um zum Menü Authorized Keys (Autorisierte Schlüssel) zu gelangen.
  4. Geben Sie 2 ein und folgen Sie den Anweisungen, um den Inhalt der öffentlichen Schlüsseldatei des Benutzers Tanadmin einzufügen.

Schritt 1: Eine CSR erstellen

Melden Sie sich bei der Zonenserver-Appliance als Benutzer Tanadmin an.
Geben Sie 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.

Geben Sie Z ein, um zum Menü Zone Server Configuration (Zonenserver-Konfiguration) zu gelangen.

Bildschirm anzeigen

 ------------------------------------------------------

 >>> Tanium Operations -> Zone Server Configuration <<< 

          1: Create Certificate Request (TaniumZoneServer)
          2: Create Certificate (TaniumServer)
          3: Install Certificate (TaniumZoneServer)

          H: Help
          R: Return to previous menu

 ------------------------------------------------------

Geben Sie 1 ein und folgen Sie den Anweisungen, um die CSR zu erstellen. Stellen Sie sicher, dass Sie den Text in die Zwischenablage kopieren oder die Einstellungen für die SFTP-Verbindung zum Tanium Server festlegen.

Bildschirm anzeigen

>>> Tanium Operations -> Zone Server Encryption -> Certificate Request <<< 

 Generating reporting TLS key: '/opt/Tanium/TaniumZoneServer/reporting.pvk'
 Successfully generated certificate signing request: '/opt/Tanium/TaniumZoneServer/reporting.csr'
 Certificate Signing Request (CSR):

-----BEGIN CERTIFICATE REQUEST-----
MIH9MIGlAgEAMBgxFjAUBgNVBAMMDXpzMS50YW0ubG9jYWwwWTATBgcqhkjOPQIB
BggqhkjOPQMBBwNCAARk+nLgTihJkhT2OeY4kcADXj0fg/VpGC1ylH9C5ogPAR8w
Lnb+HoEMyAEF8/A8RgLHQ2EZ+vpGSDI1NV+gRksdoCswKQYJKoZIhvcNAQkOMRww
GjAYBgNVHREEETAPgg16czEudGFtLmxvY2FsMAoGCCqGSM49BAMCA0cAMEQCIEXK
/pmQ2zQtFy5i5NuDGy1mwPR1sshWfpKnFyGhpgnnAiA24a81wrnplXXSJj6YrC7n
NfO4NNKBaHC+8NLt2jTQ7g==
-----END CERTIFICATE REQUEST-----

 The certificate signing request (CSR) shown above needs to be
 transferred to the Tanium Server to create the Certificate.

 To get the CSR, either copy the text above or download the file
 'reporting.csr' from the outgoing directory. To put it into the Tanium
 Server upload the file into its incoming directory or paste it into the
 terminal when prompted during Step 2.

 Alternatively this server may try to send the file directly via sftp.
 This method requires the tanadmin key exchange to be completed.

 Do you want to send the file directly via sftp? [Yes|No]:

Schritt 2: Zertifikat ausstellen

Die Option für das Zone Server Configuration menu (Zonenserver-Konfigurationsmenü) wird nur angezeigt, wenn das Zonenserver Hub Add-on auf der Tanium Server-Appliance installiert ist.

Melden Sie sich bei der Tanium Server-Appliance als Benutzer Tanadmin an.
Geben Sie 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.
Geben Sie Z ein, um zum Menü Zone Server Configuration (Zonenserver-Konfiguration) zu gelangen.

Geben Sie 2 ein, um zum Menü Import Cert Request (Zertifikatsanforderung importieren) zu gelangen.

Bildschirm anzeigen

>>> Import Cert Request <<< 


 Looking for the certificate request. Possible options are:

 1. Find the request file in the incoming directory
    Requires either manually downloading from the Zone Server via sftp and
    then uploading the file to this server via sftp, or telling the Zone
    Server to push the file into this appliance's incoming.

 2. Paste the request into the terminal
    Requires cut-and-paste between terminals.
 

          1: Look in the incoming directory
          2: Paste the text
          3: Cancel

 ------------------------------------------------------

Geben Sie 1 ein, um die CSR zu importieren oder 2, um den Text einzufügen.
Der Tanium Server überprüft die CSR, generiert und signiert die Zertifikatsdatei reporting.crt, kopiert die Zertifikatsinhalte auf den Bildschirm und kopiert die Datei in das Verzeichnis /outgoing.
Folgen Sie den Anweisungen, um Schritt 3 vorzubereiten:
- Kopieren Sie den Zertifikatstext, wenn Sie ihn im nächsten Schritt einfügen möchten.
- Verwenden Sie SFTP, um reporting.crt vom Verzeichnis /outgoing auf dem Tanium Server zu Ihrem Administrationssystem zu kopieren. Kopieren Sie die Datei dann erneut in das Verzeichnis /incoming auf den Zonenserver, wenn Sie keine SFTP-Verbindung vom Zonenserver zum Tanium Server herstellen können.
- Wenn Sie SSH-Schlüssel einrichten und eine SFTP-Verbindung vom Zonenserver zum Tanium Server herstellen können, unternehmen Sie nichts. In Schritt 3: Zertifikat installieren und TLS-Einstellungen konfigurieren können Sie die Zertifikatsdatei automatisch vom Verzeichnis /outgoing in den Tanium Server importieren.

Schritt 3: Zertifikat installieren und TLS-Einstellungen konfigurieren

Melden Sie sich bei der Zonenserver-Appliance als Benutzer Tanadmin an.
Geben Sie 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.
Geben Sie Z ein, um zum Menü Zone Server Operations (Zonenserver-Operationen) zu gelangen.

Geben Sie 3 ein, um das Menü Import Signed Certificate (Signiertes Zertifikat importieren) anzuzeigen.

Bildschirm anzeigen

>>> Import Signed Certificate <<< 


 Looking for the signed certificate. Possible options are:

 1. Find the certificate file in the incoming directory
    Requires manually downloading from the Tanium Server via
    sftp and then uploading the file to this server via sftp.

 2. Paste the certificate into the terminal
    Requires cut-and-paste between terminals.

 3. Pull the file from the remote Tanium Server.
    Requires a direct network connection from this Zone Server to the
    remote Tanium Server, and requires that this user's SSH public
    key is registered into the remote server's tancopy user.
 

          1: Look in the incoming directory
          2: Paste the text
          3: Pull from Tanium Server
          4: Cancel

 ------------------------------------------------------

Verwenden Sie das Menü, um das Zertifikat zu importieren:
- Geben Sie 1 ein, um die Datei reporting.crt zu importieren, wenn Sie sie in das Verzeichnis /incoming auf dem Zonenserver kopiert haben.
- Geben Sie 2 ein, um den Text einzufügen.
- Geben Sie 3 ein, um ihn vom Tanium Server /outgoing-Verzeichnis zu ziehen.
Der Zonenserver installiert das Zertifikat und konfiguriert die Standardeinstellungen. Um die Standardwerte zu ändern, gehen Sie zum Menü Tanium Operations (Tanium-Operationen) und verwenden Sie das Menü Configuration Settings (Konfigurationseinstellungen), um die Werte zu ändern. Einzelheiten finden Sie unter Einstellungen für Tanium Core Platform-Server.

Windows: TLS einrichten

Tanium Server

Das Tanium Server-Installationsprogramm generiert die öffentlichen und privaten TLS-Schlüssel, die zur Einrichtung von TLS für Verbindungen zwischen Tanium Servern in einer aktiv–aktiv-Verteilung und zwischen Tanium Clients und dem Tanium Server verwendet werden.

TLS für ausgehende Verbindungen konfigurieren

In der Tanium Core Platform 7.4 oder neuer wird TLS automatisch eingerichtet und für ausgehende Verbindungen zwischen Tanium Servern in einer aktiv-aktiv-Bereitstellung als erforderlich konfiguriert, und Sie können es nicht deaktivieren.

In Version 7.3 oder 7.2 müssen Sie die Einstellung ReportingTLSMode in der Windows-Registry hinzufügen oder bearbeiten, um TLS zu aktivieren oder zu deaktivieren. Der Datentyp ist REG_DWORD und der Wert ist eine Zahl. Die folgenden Werte sind möglich:

0 (TLS nicht verwendet): TLS ist deaktiviert. Dies ist der Standardwert für Server, die auf einem Windows-System installiert sind.
1 (TLS erforderlich): Wenn ein TLS-Handshake fehlschlägt, dann schlägt auch die Verbindung fehl.
2 (TLS optional): Der Server versucht, eine Verbindung über TLS herzustellen. Wenn die TLS-Verbindung fehlschlägt, versucht der Server eine Nicht-TLS-Verbindung.

Sie können die Befehlszeile (command-line interface, CLI) verwenden, um die Registry-Einstellung hinzuzufügen:

> cd <Tanium_Server_installation_folder>
> TaniumReceiver config set ReportingTLSMode <value>

TLS für eingehende Verbindungen als erforderlich konfigurieren

Optional können Sie TLS so konfigurieren, dass es für eingehende Verbindungen zum Tanium Server erforderlich oder optional ist. Die Tanium Server-Version bestimmt, welche Einstellung Sie konfigurieren müssen.

Version 7.4 oder neuer

Gehen Sie vom Hauptmenü der Tanium Console zu Administration (Verwaltung) > Management > Global Settings (Globale Einstellungen) und konfigurieren Sie die folgenden Einstellungen für Verbindungen von Tanium Clients zum Tanium Server.

Diese Einstellungen gelten auch für Verbindungen von Tanium Clients zum Zonenserver, wenn Sie einen einsetzen.

require_client_tls_314_flag: Geben Sie einen der folgenden Werte an:
- 0 (Standard): Der Tanium Server erlaubt sowohl TLS- als auch Nicht-TLS-Verbindungen von Tanium Clients.
- 1: Der Tanium Server erlaubt Verbindungen von Tanium Clients nur, wenn TLS verwendet wird. Setzen Sie den Wert erst dann auf 1, wenn Sie sicher sind, dass alle bereitgestellten Tanium Clients für die Verwendung von TLS konfiguriert sind, und wenn Sie bereit sind, den Tanium Client an neuen Endpunkten mit TLS bereitzustellen, die vor der ersten Registrierung konfiguriert wurden.
require_client_tls_315_flag: Geben Sie einen der folgenden Werte an:
- 1 (Standard): Der Tanium Server erlaubt Verbindungen von Tanium Clients der Version 7.4 oder neuer nur, wenn TLS verwendet wird. Tanium empfiehlt dringend, den Wert auf 1 zu belassen.
- 0: Der Tanium Server erlaubt sowohl TLS- als auch Nicht-TLS-Verbindungen von Tanium Clients der Version 7.4 oder neuer. Wenden Sie sich an den Tanium Support unter [email protected], bevor Sie den Wert auf 0 setzen.

Version 7.3 oder älter

Geben Sie in der Windows-Registry einen der folgenden Werte für die Einstellung RequireIncomingEncryption an:

0: TLS ist nicht erforderlich.
1: TLS ist erforderlich. Geben Sie erst dann 1 an, wenn Sie sicher sind, dass alle bereitgestellten Tanium Clients für die Verwendung von TLS konfiguriert sind, und wenn Sie bereit dafür sind, den Tanium Client an neuen Endpunkten mit TLS bereitzustellen, die vor der ersten Registrierung konfiguriert wurden.

TLS-Zertifikat und Schlüssel neu erstellen

Sie können das TLS-Zertifikat und den privaten Schlüssel auf dem Tanium Server bei Bedarf neu erstellen. Beispiel: Wenn die Tanium-Root-Keys (tanium.pub und tanium.pvk) geändert wurden, müssen Sie alle untergeordneten Zertifikate und Schlüssel ändern, einschließlich des TLS-Zertifikats und -Schlüssels.

In der Tanium Core Platform 7.4 oder neuer können Sie die Tanium Console verwenden, um die Root-Keys zu rotieren, und dies rotiert automatisch alle untergeordneten Schlüssel, einschließlich der TLS-Schlüssel. Sie können auch den Rotationszeitplan für untergeordnete Schlüssel konfigurieren. Einzelheiten finden Sie unter Benutzerhandbuch für Tanium Console: Verwalten von Tanium-Schlüsseln.

Verwenden Sie in der Tanium Core Platform 7.3 oder 7.2 das Tool KeyUtility.exe anhand der folgenden Anweisungen, um das Zertifikat (reporting.crt) und den privaten Schlüssel (reporting.pvk) neu zu erstellen. Wiederholen Sie bei einer aktiv-aktiv-Bereitstellung diese Schritte auf jedem Tanium Server.

Öffnen Sie die CLI auf dem Tanium Server.
Navigieren Sie zum Tanium Server-Installationsverzeichnis, in dem sich das Tool KeyUtility.exe befindet.
cmd-prompt>cd <Tanium Server>
Erstellen Sie den privaten Schlüssel und eine CSR.
Syntax
cmd-prompt>keyutility reporting-tls-request [<reporting.pvk>] [<out>]
Beispiel
cmd-prompt>keyutility reporting-tls-request reporting.pvk reporting.csr
Generating key: 'reporting.pvk' Successfully generated certificate signing request: 'reporting.csr' (Schlüssel wird erstellt: 'reporting.pvk' CSR wurde erfolgreich erstellt: 'reporting.csr')
Erstellen Sie basierend auf der Datei reporting.csr ein neues Zertifikat und signieren Sie das Zertifikat mit dem privaten Schlüssel des Tanium Servers.
Syntax
cmd-prompt>keyutility reporting-tls-issue <reporting.csr> <out> [<tanium.pvk>]
Beispiel
cmd-prompt>keyutility reporting-tls-issue reporting.csr c:\Tanium\reporting.crt tanium.pvk
Successfully issued new certificate: 'c:\Tanium\reporting.crt' (Neues Zertifikat wurde erfolgreich ausgestellt: 'c:\Tanium\reporting.crt')
Ersetzen Sie das alte TLS-Zertifikat und den alten privaten Schlüssel mit dem neuen Zertifikat und dem neuen Schlüssel im Tanium Server-Installationsordner (Standard) oder in dem Ordner, den die Registry-Einstellungen ReportingTLSCertPath und ReportingTLSKeyPath angeben. Einzelheiten finden Sie in Tabelle 3.

Tanium Zone Server

Die Tanium Core Platform 7.4 oder neuer aktiviert automatisch TLS für Zonenserver-Verbindungen. In Version 7.3 oder 7.2 müssen Sie ein TLS-Zertifikat (reporting.crt) und einen privaten Schlüssel (reporting.pvk) erstellen und Einstellungen konfigurieren, um TLS zu aktivieren:

Öffnen Sie die Zonenserver-CLI.
Navigieren Sie zum Zonenserver-Installationsverzeichnis, in dem sich das Tool KeyUtility.exe befindet.
cmd-prompt>cd <Zoneserver>
Generieren Sie den privaten Schlüssel und die CSR (reporting.csr).
Beispiel
cmd-prompt>keyutility reporting-tls-request reporting.pvk reporting.csr
Generating key: 'reporting.pvk' Successfully generated certificate signing request: 'reporting.csr' (Schlüssel wird erstellt: 'reporting.pvk' CSR wurde erfolgreich erstellt: 'reporting.csr')
Ersetzen Sie den alten privaten Schlüssel durch Kopieren des neuen Schlüssels in den Zonenserver-Installationsordner (Standard) oder in den Ordner, den die Einstellung ReportingTLSKeyPath festlegt. Einzelheiten finden Sie in Tabelle 3.
Kopieren Die die Datei reporting.csr in den Tanium Server-Installationsordner.
Öffnen Sie die Tanium Server-CLI, stellen Sie ein neues Zertifikat auf Basis der Datei reporting.csr aus und signieren Sie es mit dem privaten Schlüssel des Tanium Servers (tanium.pvk). Geben Sie für das neue Zonenserver-Zertifikat einen Ausgabeordner an, der nicht mit dem Ordner identisch ist, in dem der Tanium Server sein eigenes Zertifikat reporting.crt speichert; andernfalls überschreibt das Zonenserver-Zertifikat das Tanium Server-Zertifikat.
Beispiel
cmd-prompt>keyutility reporting-tls-issue reporting.csr c:\Tanium\reporting.crt tanium.pvk
Successfully issued new certificate: 'c:\Tanium\reporting.crt' (Neues Zertifikat wurde erfolgreich ausgestellt: 'c:\Tanium\reporting.crt')
Ersetzen Sie das alte TLS-Zertifikat durch Kopieren des neuen Zertifikats in den Zonenserver-Installationsordner (Standard) oder in den Ordner, den die Einstellung ReportingTLSCertPath festlegt. Einzelheiten finden Sie in Tabelle 3.
Konfigurieren Sie die in Tabelle 3 beschriebenen Einstellungen auf den Hostcomputern von Zonenserver, Zonenserver-Hub und Tanium Server. Sie finden die Einstellungen in der Windows-Registry:
Tanium Server HKLM\Software\Wow6432Node\Tanium\Tanium Server
Zonenserver oder Zonenserver-Hub HKLM\Software\Wow6432Node\Tanium\Tanium Zonenserver

Tabelle 3: TLS-Einstellungen für den Tanium Core Platform-Server
Einstellung	Typ	Richtlinie
ReportingTLSMode	REG_DWORD	Konfiguriert TLS für ausgehende Verbindungen, die der Server initiiert. Konfigurieren Sie diese Option auf einem Tanium Server, wenn Sie TLS für das Segment Tanium Server an Zonenserver-Hub ggf. aktivieren möchten. Konfigurieren Sie diese Option auf einem Zonenserver-Hub, um TLS für das Segment Zonenserver-Hub an Zonenserver zu aktivieren. 0 (TLS nicht verwendet): TLS ist deaktiviert. Dies ist der Standardwert für Server, die auf einem Windows-System installiert sind. 1 (TLS erforderlich): Wenn ein TLS-Handshake fehlschlägt, dann schlägt auch die Verbindung fehl. 2 (TLS optional): Der Server versucht, eine Verbindung über TLS herzustellen. Wenn die TLS-Verbindung fehlschlägt, versucht der Server eine Nicht-TLS-Verbindung. Wenn Sie TLS verwenden wollen, ist es am besten zunächst den Wert auf 2 zu setzen. Nachdem Sie bestätigt haben, dass die Server zuverlässig TLS-Verbindungen herstellen, wird die beste Sicherheit durchgesetzt, indem Sie den Wert auf 1 setzen.
ReportingTLSCertPath	REG_SZ	Für eingehende Verbindungen legen Sie den Pfad zur reporting.crt-Datei fest. Zum Beispiel: Program Files\Tanium\Tanium Server\reporting.crt Program Files(x86)\Tanium\Tanium Zone Server\reporting.crt Diese Einstellung muss nur vorhanden sein, wenn der Pfad zum Zertifikat vom Server-Installationspfad abweicht (der Wert des Schlüssels Path (Pfad)). Sie können die Zertifikatsdatei umbenennen, wenn Sie möchten, aber der Dateiname und dieser Eintrag müssen übereinstimmen. Das Beibehalten des Standardnamens (reporting.crt) ist eine bewährte Methode zur Erleichterung der Kommunikation und Fehlerbehebung.
ReportingTLSKeyPath	REG_SZ	Für eingehende Verbindungen legen Sie den Pfad zur reporting.pvk-Datei fest. Zum Beispiel: Program Files\Tanium\Tanium Server\reporting.pvk Program Files(x86)\Tanium\Tanium Zone Server\reporting.pvk Das Tanium Server-Installationsprogramm fügt diesen Eintrag hinzu, aber das Zonenserver-Installationsprogramm tut dies nicht. Diese Einstellung muss vorhanden sein. Der für den Pfad angegebene Schlüssel-Dateiname muss mit der tatsächlichen Schlüsseldatei übereinstimmen. Das Beibehalten des Standardnamens (reporting.pvk) ist eine bewährte Methode zur Erleichterung der Kommunikation und Fehlerbehebung.
ReportingTLSKeyPasswordFile	REG_SZ	Diese Einstellung gilt nur für Hardware-Sicherheitsmodule. Wenden Sie sich für nähere Informationen an den Tanium Support unter [email protected].
RequireIncomingEncryption	REG_DWORD	Einstellung für eingehende Verbindungen von Tanium Clients der Versionen 7.2 oder höher zu Tanium Core Platform-Servern 7.3 oder früher. 0: TLS ist nicht erforderlich 1: TLS ist erforderlich Wenn RequireIncomingEncryption auf 1 eingestellt ist, werden nur TLS-Verbindungsanfragen verarbeitet, sodass nur Tanium Clients, die TLS aktiviert haben, registriert und verwaltet werden können. Setzen Sie diesen Wert erst dann auf 1, wenn Sie sicher sind, dass alle bereitgestellten Tanium Clients für die Verwendung von TLS (ReportingTLSMode ist 1 oder ReportingTLSMode ist 2) konfiguriert sind, und wenn Sie bereit sind, den Tanium Client an neuen Endpunkten mit TLS bereitzustellen, die vor der ersten Registrierung konfiguriert wurden.

Das Programm KeyUtility.exe verfügt über eine Online-Hilfe:

cmd-prompt>keyutility reporting-tls-issue --help
Usage: KeyUtility reporting-tls-rissue <reporting.csr><out> [<tanium.pvk>]

Issue a reporting TLS certificate.

Optionen:
  --root-key arg (=tanium.pvk)   Path to tanium root private key
  --csr arg (=reporting.csr)    Path to certificate signing request to
                                    issue a certificate for
  -o [ --out ]arg (=reporting.crt) Output path for generated certificate.
  --expiration arg (=3650)     Certificate expiration in days

Tanium Client: TLS konfigurieren

Ob TLS aktiviert oder deaktiviert ist, hängt von der Tanium Client-Version ab:

Version 7.4 oder neuer: Nach einer Neuinstallation oder Aktualisierung ist TLS standardmäßig aktiviert und erforderlich. Tanium empfiehlt dringend, diese Standardeinstellungen zu verwenden.
Version 7.2: Die TLS-Kommunikation ist standardmäßig deaktiviert und die Aktivierung ist optional.

Führen Sie die folgenden Schritte durch, um TLS auf Tanium Clients zu aktivieren oder zu deaktivieren:

Gehen Sie im Hauptmenü zu Administration > Management > Client Status.
Wählen Sie im Abschnitt Filter by Registration (Nach Registrierung filtern) die Optionen Registered using TLS (Registriert mit TLS) und Registered unencrypted (Registriert ohne Verschlüsselung), wenn diese nicht bereits aktiviert sind.
Die Spalte Using TLS (Verwendet TLS) zeigt an, für welche Tanium Clients TLS aktiviert oder deaktiviert ist.
Gehen Sie im Hauptmenü zu Administration (Verwaltung) > Management > Global Settings (Globale Einstellungen) und konfigurieren Sie die TLS-Einstellungen für die Tanium Clients wie in Tabelle 4 beschrieben.
Auf dem Endpunkt von Tanium Client haben die Einstellungsnamen das Präfix Server_ (z. B. Server_ReportingTLSMode). Dieses Präfix zeigt an, dass der Tanium Client die Einstellungen von den globalen Einstellungen auf dem Tanium Server während der Registrierung erhalten hat, und zukünftige Registrierungsaktualisierungen können die Einstellungen ändern. In einigen Fällen möchten Sie vielleicht, dass ein Tanium Client Einstellungen verwendet, die sich von den globalen Einstellungen von Tanium Server unterscheiden. Sie können beispielsweise eine Funktion wie TLS schrittweise auf Ihren Tanium Clients verteilen. Um die globalen Einstellungen von Tanium Server zu überschreiben, fügen Sie die Einstellungen ohne das Präfix Server_ den Windows-Registry-Einträgen oder der Tanium Client-Einstellungsdatenbank auf den Client-Endpunkten hinzu. Wenn Sie beispielsweise die Einstellung BerichtSLSModus zu einem Tanium Client hinzufügen, wird die Einstellung Server_ReportingTLSMode überschrieben.

Es dauert zwei bis sechs Stunden (das randomisierte Client-Reset-Intervall), bis sich die Clients registrieren und die aktualisierten Einstellungen erhalten.

Tabelle 4: In den globalen Einstellungen konfigurierte TLS-Einstellungen des Tanium Client
Einstellung	Richtlinie
TLSMode	Diese Einstellung gilt für Tanium Client 7.4 oder neuer und legt fest, ob TLS für Verbindungen zwischen Tanium Clients und Verbindungen zwischen Tanium Clients und dem Tanium Server oder Zonenserver erforderlich ist. 0 (TLS nicht verwendet): TLS ist deaktiviert. 1 (TLS erforderlich): Wenn ein TLS-Handshake fehlschlägt, kann der Tanium Client nicht mit anderen Clients oder den Servern kommunizieren. Dies ist der Standardwert.
ReportingTLSMode	Diese Einstellung gilt für Tanium Client 7.2. Legt den Modus für TLS-Verbindungen vom Tanium Client zum Tanium Server oder Zonenserver fest. 0 (TLS nicht verwendet): TLS ist deaktiviert. Dies ist der Standardwert. 1 (TLS erforderlich): Wenn ein TLS-Handshake fehlschlägt, kann der Tanium Client sich nicht registrieren oder mit dem Tanium Server oder dem Zonenserver kommunizieren. 2 (TLS optional): Der Tanium Client versucht eine Verbindung über TLS. Wenn die TLS-Verbindung fehlschlägt, versucht der Tanium Client eine Nicht-TLS-Verbindung. Wenn Sie TLS verwenden wollen, ist es am besten zunächst den Wert auf 2 zu setzen. Nachdem Sie bestätigt haben, dass die Tanium Clients TLS-Verbindungen zuverlässig herstellen, wird die beste Sicherheit erzwungen, wenn Sie den Wert auf 1 setzen.
OptionalTLSMinAttemptCount	Diese Einstellung gilt für Tanium Client 7.2 und nur dann, wenn ReportingTLSMode auf 2 (optional) eingestellt ist. Sie legt die Anzahl der Versuche mit TLS fest, bevor Nicht-TLS verwendet wird. Der Bereich ist 1 bis 100 und der Standardwert ist 3.
OptionalTLSBackoffIntervalSeconds	Diese Einstellung gilt für Tanium Client 7.2 und nur dann, wenn ReportingTLSMode auf 2 (optional) eingestellt ist. Sie legt die Anzahl der Sekunden fest, die abgewartet wird, bevor ein erneuter Versuch mit TLS gestartet wird, nachdem es die in OptionalTLSMinAttemptCount festgelegte Anzahl an Fehlschlägen gab. Dieses Intervall verdoppelt sich nach jeder Serie fehlgeschlagener Versuche. Der Bereich ist 1 bis 86400 und der Standardwert ist 1.
OptionalTLSMaxBackoffSeconds	Diese Einstellung gilt für Tanium Client 7.2 und nur dann, wenn ReportingTLSMode auf 2 (optional) eingestellt ist. Sie gibt das maximale Backoff-Intervall an. Der Bereich ist 1 bis 86400 und der Standardwert ist 3600.

TLS-Verbindungen überprüfen

Um zu überprüfen, ob Tanium Clients TLS verwendet haben, um sich mit dem Tanium Server oder Zonenserver zu verbinden, als die Clients sich zuletzt registriert haben, gehen Sie im Hauptmenü zu Administration (Verwaltung) > Management > Client Status und überprüfen Sie die Spalte Using TLS (TLS verwenden).
(Tanium Core Platform 7.3 oder älter) Öffnen Sie die Tanium Server-Info-Seite, um zu bestätigen, dass TLS für die Serversegmente aktiviert ist. Um die Seite aufzurufen, gehen Sie zu https://<Tanium Server FQDN>/info und melden Sie sich mit einem Benutzerkonto an, das über die reservierte Administratorrolle verfügt, wie z. B. der Benutzer tanium, der während der Installation erstellt wurde.

Die TLS-Konfiguration aktualisieren, wenn Änderungen am Schlüsselpaar vorgenommen wurden

Der Prozess für die Aktualisierung der TLS-Konfiguration, wenn Sie Änderungen an den Tanium-Root-Keys vornehmen, hängt von der Version der Tanium Core Platform ab:

Version 7.4 oder neuer: Wenn Sie Tanium-Root-Keys hinzufügen oder widerrufen, verteilt der Tanium Server die Änderungen automatisch an alle untergeordneten Schlüssel auf den Plattform-Servern und Tanium Clients (siehe Benutzerhandbuch für die Tanium Console: Tanium-Schlüssel verwalten).
Version 7.3 oder älter: Sie verwenden den privaten Schlüssel des Tanium Servers (tanium.pvk), um das TLS-Reporting-Zertifikat (reporting.crt) zu signieren. Wenn Sie das öffentliche/private Schlüsselpaar des Tanium Servers aktualisieren, müssen Sie daher die Dateien reporting.crt und reporting.pvk neu erstellen, die bei der TLS-Implementierung verwendet wurden.

Tanium Server	HKLM\Software\Wow6432Node\Tanium\Tanium Server
Zonenserver oder Zonenserver-Hub	HKLM\Software\Wow6432Node\Tanium\Tanium Zonenserver