Installation des Tanium-Modulservers

Dieser Abschnitt beschreibt die Installation eines Tanium-Modulservers auf einem dedizierten Windows Server-Host. Einzelheiten zum Modulserver und seinen Bereitstellungsoptionen finden Sie unter Tanium-Modulserver.

Das Installationsprogramm für den Modulserver führt die folgenden Aktionen durch:

  • Öffnet den TCP-Port 17477 in der Windows Firewall des lokalen Hostcomputers.
  • Installiert den Modulserver auf dem Hostcomputer und startet den Dienst.

Wenn möglich, führen Sie das Installationsprogramm aus und legen Sie die Verbindungseinstellungen fest, um sich automatisch beim Tanium Server zu registrieren. Schließen Sie ansonsten den manuellen Registrierungsarbeitsablauf ab.

Den Modulserver installieren und ihn automatisch beim Tanium Server registrieren

Das Installationsprogramm für Modulserver 7.2 und später unterstützt die automatische Registrierung mit dem Tanium Server. Die automatische Registrierung führt die folgenden Aufgaben durch:

  • Generiert erforderliche Zertifikate: trusted.crt auf dem Modulserver-Host und trusted-module-servers.crt auf dem Tanium Server-Host. Die Server verwenden diese Zertifikate, um die für die gegenseitige Authentifizierung verwendeten Zertifikate zu validieren: SOAPServer.crt auf dem Tanium Server und ssl.crt auf dem Modulserver. Eine ausführliche Erklärung finden Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: SSL-/TLS-Zertifikate.
  • Erstellt die erforderlichen Windows-Registry-Einträge sowohl auf den Hostcomputern des Modulservers als auch auf dem Tanium Server.

Bevor Sie beginnen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind und ergreifen Sie die folgenden Maßnahmen:

  • Version des Installationsprogramms: Stellen Sie sicher, dass Sie die richtige Version des Installationsprogramms (SetupModuleServer.exe) haben. Das Installationspaket für alle Tanium Core Platform-Server muss dieselbe Build-Nummer aufweisen (z. B. müssen alle die Build-Nummer 7.4.5.1200 aufweisen). Wenden Sie sich an den Tanium-Support.
  • Host-Anforderungen: Das Hostsystem erfüllt die Hardware-, Software- und Netzwerkkonnektivitätsanforderungen, die für Ihre Bereitstellung geeignet sind: siehe Anforderungen und Ressourcenanforderungen.
  • Firewall-Regeln: Ihr Netzwerksicherheits-Administrator muss Netzwerk-Firewall-Regeln so konfigurieren, dass die Kommunikation zwischen dem Tanium Server und dem Modulserver auf TCP-Port 17477 möglich ist: siehe Internetzugang, Netzwerkkonnektivität und Firewall.
  • Sicherheitsausnahmen: Ihr Sicherheitsteam muss Ausnahmen von hostbasierten Sicherheitsrichtlinien konfigurieren, damit Tanium-Prozesse reibungslos und mit optimaler Leistung funktionieren können: siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Sicherheitsausnahmen des Hostsystems.
  • Zertifikate und Schlüssel: Wenn Sie ein von einer Zertifizierungsstelle (CA) ausgestelltes Zertifikat verwenden möchten, um die Verbindungen zum Modulserver abzusichern, stellen Sie sicher, dass das von der CA ausgestellte Zertifikat und der zugehörige private Schlüssel auf dem Modulserver vorhanden sind. Der Name der Zertifikatsdatei muss ssl.crt lauten und der Name der Schlüsseldatei muss ssl.key lauten. Während der Installation können Sie ein von einer CA ausgestelltes Zertifikat auswählen oder den Modulserver so konfigurieren, dass er ein selbstsigniertes Zertifikat erstellt.

    Als bewährtes Verfahren zur Vereinfachung der Fehlerbehebung verwenden Sie das selbstsignierte Zertifikat während der Erstinstallation und ersetzen es später durch ein von einer CA ausgestelltes Zertifikat. So können Sie potenzielle Installationsprobleme von TLS-Verbindungsproblemen trennen.

    Eine ausführliche Erklärung und Verfahren finden Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

  • Lokaler Modulserver: Wenn ein lokaler Modulserver auf dem Tanium Server-Hostcomputer installiert ist, führen Sie die folgenden Schritte auf dem Tanium Server-Hostcomputer durch:
    1. Stoppen Sie den Tanium Server-Dienst: Öffnen Sie die Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Stop (Stopp).
    2. Stoppen und deaktivieren Sie den Dienst Tanium Module Server in der Anwendung Windows Services:
      1. Klicken Sie mit der rechten Maustaste auf Tanium Module Server (Tanium-Modulserver) und wählen Sie Stop (Stopp).
      2. Klicken Sie mit der rechten Maustaste auf Tanium Module Server (Tanium-Modulserver), wählen Sie Properties (Eigenschaften), stellen Sie den Startup type (Starttyp) auf Disabled (Deaktiviert) ein und klicken Sie auf OK.
    3. Gehen Sie zum Windows-Registry HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tanium\Tanium Server und löschen Sie die Einstellung (Wert 127.0.0.1) für den Modulserver.
    4. Starten Sie den Tanium Server-Dienst neu: In der Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Restart (Neustart).

Das Installationsprogramm ausführen

  1. Melden Sie sich beim Hostsystem des Modulservers als Administratorbenutzer an.
  2. Kopieren Sie das Installationsprogramm (SetupModuleServer.exe) in einen temporären Speicherort auf dem Modulserver-Host.
  3. Führen Sie einen Rechtsklick auf SetupModuleServer.exe aus, und wählen Sie die Option Run as Administrator (Als Administrator ausführen) aus.
  4. Schließen Sie den Installationsassistenten ab. Die folgende Tabelle enthält Richtlinien für Schlüsseleinstellungen.
Einstellungen Richtlinien
Installationsspeicherort auswählen Der Standardwert ist C:\Program Files\Tanium\Tanium Module Server.
Postgres nicht gefunden (Nur Neuinstallation) Akzeptieren Sie die Standardoption: Den lokalen Postgres-Server installieren und konfigurieren. In der aktuellen Version verwenden keine Tanium-Produkte den PostgreSQL-Server, der mit dem Modulserver mitgeliefert wird.
Dienstkonto für den Tanium-Modulserver auswählen Die Best Practice zur Sicherheit besteht darin, ein anderes Dienstkonto als das Konto des lokalen Systems anzugeben, um den Modulserver zu installieren und den Modulserverdienst auf dem lokalen Hostcomputer auszuführen.
  • Konto angeben (Best Practice)
    • User Name (Benutzername): Nur den Kontoname-Teil der Zugangsdaten eingeben, z. B. taniumsvc.
    • Domain: Geben Sie den Domain-Namen ein, z. B. example.com.
    • Password (Passwort): Geben Sie das Kontopasswort ein.
  • Lokales Systemkonto
Modulserver-Port Geben Sie den Modulserver-Port für eingehenden Datenverkehr vom Tanium Server an. Der Standardwert ist 17477.
SSL-/TLS-Zertifikate Der Modulserver verwendet das SSL-/TLS-Zertifikat (ssl.crt) und den privaten Schlüssel (ssl.key), um Verbindungen vom Tanium Server zu sichern.
  • Selbstsigniertes Zertifikat und Schlüssel generieren

    Wenn Sie nicht über ein von einer CA ausgestelltes Zertifikat verfügen, wählen Sie diese Option aus, damit das Installationsprogramm ein selbstsigniertes Zertifikat und einen privaten Schlüssel erstellt. Für den Sever Hostname geben Sie den Modulserver-FQDN an, z. B. tms1.example.com.

  • Bestehendes Zertifikat und Schlüssel verwenden

    Um ein von einer CA ausgestelltes Zertifikat zu verwenden, wählen Sie die Zertifikatsdatei und die zugehörige private Schlüsseldatei aus. Einzelheiten finden Sie unter Handbuch für die Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

Modul-Postgres-Konfiguration Konfigurieren Sie die Verbindung zur PostgreSQL-Datenbank:
  • Server: Geben Sie localhost (Standard) für einen lokalen Server oder den FQDN bzw. die IP-Adresse des Remote-Servers an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
  • Optionen: Geben Sie zusätzliche Parameter an, die in der Verbindung übergeben werden sollen. Normalerweise ist dies dbname und Port. Zum Beispiel: dbname=postgres port=5432 user=postgres.

Klicken Sie auf Test, um die Verbindung zu testen.

Bei Tanium Server registrieren Wählen Sie Register with the Tanium Server (Registrierung beim Tanium Server) aus, und geben Sie die Verbindungsinformationen für die Registrierung beim Tanium Server an:
  • Tanium Server Hostname (Tanium Server-Hostname): Geben Sie die IP -Adresse oder den FQDN des Tanium Servers an. Geben Sie bei einer HA-Bereitstellung nur den primären Tanium Server an.
  • Admin username (Administrator-Benutzername): Geben Sie den Benutzernamen des Tanium Console-Administrators ein, den Sie bei der Installation des Tanium Servers angegeben haben.
  • Admin password (Administrator-Passwort): Geben Sie das Passwort des Tanium Console-Administrators ein, den Sie bei der Installation des Tanium Servers angegeben haben.

Für Aktualisierungen haben Sie die Möglichkeit, Manually specify Tanium Server certificate (Tanium Server-Zertifikat manuell angeben) zu wählen und den Standardwert unter Certificate (Zertifikat) zu verwenden, um die Kommunikation zwischen dem Tanium Server und dem Modulserver abzusichern.

Menüordner Start (Start) wählen (Nur Neuinstallation) Wählen Sie einen Ordner für den Modulserver im Windows-Startmenü aus. Der Standardwert ist Tanium Module Server (Tanium-Modulserver).
Vertrauen für das Tanium Server-Zertifikat Wenn das Installationsprogramm ein Dialogfeld anzeigt, welches das Zertifikat nennt, das der Tanium Server zur Authentifizierung beim Modulserver verwendet, prüfen Sie, ob die Zertifikatdetails korrekt sind.

Vertrauen für das Tanium Server-Zertifikat

Bei einer neuen Installation ist das Zertifikat die Datei SOAPServer.crt. Wenn Sie das Installationsprogramm erneut ausführen, ist das Zertifikat die Datei trusted.crt. Der Wert unter Fingerprint (Fingerabdruck) ist der Hash-Wert des öffentlichen Schlüssels des Zertifikats. Wenn das Zertifikat gültig ist, klicken Sie auf Yes (Ja), um den Modulserver beim Tanium Server zu registrieren.


Den Tanium-Modulserver installieren und ihn manuell beim Tanium Server registrieren

Die Installationsprogramme für Modulserver 7.x unterstützen die manuelle Registrierung beim Tanium Server. Bei 7.0 und 7.1 ist die manuelle Registrierung Ihre einzige Option. Bei 7.2 und später ist die automatische Registrierung einfacher, aber das Installationsprogramm unterstützt die manuelle Registrierung, falls der Tanium Server beim Ausführen des Installationsprogramms nicht verfügbar ist.

Bevor Sie beginnen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind und ergreifen Sie die folgenden Maßnahmen:

  • Version des Installationsprogramms: Stellen Sie sicher, dass Sie die richtige Version des Installationsprogramms (SetupModuleServer.exe) haben. Das Installationspaket für alle Tanium Core Platform-Server muss dieselbe Build-Nummer aufweisen (z. B. müssen alle die Build-Nummer 7.4.5.1200 aufweisen). Wenden Sie sich an den Tanium-Support.
  • Host-Anforderungen: Das Hostsystem erfüllt die Hardware-, Software- und Netzwerkkonnektivitätsanforderungen, die für Ihre Bereitstellung geeignet sind: siehe Anforderungen und Ressourcenanforderungen.
  • Firewall-Regeln: Ihr Netzwerksicherheits-Administrator muss Netzwerk-Firewall-Regeln so konfigurieren, dass die Kommunikation zwischen dem Tanium Server und dem Modulserver auf TCP-Port 17477 möglich ist: siehe Internetzugang, Netzwerkkonnektivität und Firewall.
  • Sicherheitsausnahmen: Ihr Sicherheitsteam muss Ausnahmen von hostbasierten Sicherheitsrichtlinien konfigurieren, damit Tanium-Prozesse reibungslos und mit optimaler Leistung funktionieren können: siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Sicherheitsausnahmen des Hostsystems.
  • Zertifikate und Schlüssel: Kopieren Sie die Datei SOAPServer.crt vom Tanium Server-Host (Installationsverzeichnis) auf den Modulserver-Host, damit Sie sie auswählen können, wenn Sie das Installationsprogramm ausführen.

    Wenn Sie ein von einer Zertifizierungsstelle (CA) ausgestelltes Zertifikat verwenden möchten, um die Verbindungen zum Modulserver abzusichern, stellen Sie sicher, dass das von der CA ausgestellte Zertifikat und der zugehörige private Schlüssel auf dem Modulserver vorhanden sind. Der Name der Zertifikatsdatei muss ssl.crt lauten und der Name der Schlüsseldatei muss ssl.key lauten. Während der Installation können Sie ein von einer CA ausgestelltes Zertifikat auswählen oder den Modulserver so konfigurieren, dass er ein selbstsigniertes Zertifikat erstellt.

    Verwenden Sie zur Vereinfachung der Fehlerbehebung das selbstsignierte Zertifikat während der Erstinstallation und ersetzen es später durch ein von einer CA ausgestelltes Zertifikat. So können Sie potenzielle Installationsprobleme von TLS-Verbindungsproblemen trennen.

    Eine ausführliche Erklärung finden Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

  • Lokaler Modulserver Wenn ein lokaler Modulserver auf dem Tanium Server-Hostcomputer installiert ist, führen Sie die folgenden Schritte auf dem Tanium Server-Hostcomputer durch:
    1. Stoppen Sie den Tanium Server-Dienst: Öffnen Sie die Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Stop (Stopp).
    2. Stoppen und deaktivieren Sie den Dienst Tanium Module Server in der Anwendung Windows Services:
      1. Klicken Sie mit der rechten Maustaste auf Tanium Module Server (Tanium-Modulserver) und wählen Sie Stop (Stopp).
      2. Klicken Sie mit der rechten Maustaste auf Tanium Module Server (Tanium-Modulserver), wählen Sie Properties (Eigenschaften), stellen Sie den Startup type (Starttyp) auf Disabled (Deaktiviert) ein und klicken Sie auf OK.
    3. Gehen Sie zum Windows-Registry HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tanium\Tanium Server und löschen Sie die Einstellung (Wert 127.0.0.1) für den Modulserver.
    4. Starten Sie den Tanium Server-Dienst neu: In der Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Restart (Neustart).

Das Installationsprogramm ausführen

  1. Melden Sie sich beim Hostsystem des Modulservers als Administratorbenutzer an.
  2. Kopieren Sie die Datei mit dem Installationspaket (SetupModuleServer.exe) in einen temporären Speicherort auf dem Modulserver-Host.
  3. Führen Sie einen Rechtsklick auf SetupModuleServer.exe aus, und wählen Sie die Option Run as Administrator (Als Administrator ausführen) aus.
  4. Schließen Sie den Installationsassistenten ab. Die folgende Tabelle enthält Richtlinien für Schlüsseleinstellungen.

  5. Einstellungen Richtlinien
    Installationsspeicherort auswählen Der Standardwert ist C:\Program Files\Tanium\Tanium Module Server.
    Postgres nicht gefunden (Nur Neuinstallation) Akzeptieren Sie die Standardoption: Den lokalen Postgres-Server installieren und konfigurieren. In der aktuellen Version verwenden keine Tanium-Produkte den PostgreSQL-Server, der mit dem Modulserver mitgeliefert wird.
    Dienstkonto für den Tanium-Modulserver auswählen Die Best Practice zur Sicherheit besteht darin, ein anderes Dienstkonto als das Konto des lokalen Systems anzugeben, um den Modulserver zu installieren und den Modulserverdienst auf dem lokalen Hostcomputer auszuführen.
    • Konto angeben (Best Practice)
      • User Name (Benutzername): Nur den Kontoname-Teil der Zugangsdaten eingeben, z. B. taniumsvc.
      • Domain: Geben Sie den Domain-Namen ein, z. B. example.com.
      • Password (Passwort): Geben Sie das Kontopasswort ein.
    • Lokales Systemkonto: Wählen Sie diese Option aus, um Software zu installieren und den Modulserver-Dienst im Kontext des lokalen Systemkontos auszuführen.
    Modulserver-Port Geben Sie den Modulserver-Port für eingehenden Datenverkehr vom Tanium Server an. Der Standardwert ist 17477.
    SSL-/TLS-Zertifikate Der Modulserver verwendet das SSL-/TLS-Zertifikat (ssl.crt) und den privaten Schlüssel (ssl.key), um Verbindungen vom Tanium Server zu sichern.
    • Selbstsigniertes Zertifikat und Schlüssel generieren

      Wenn Sie nicht über ein von einer CA ausgestelltes Zertifikat verfügen, wählen Sie diese Option aus, damit das Installationsprogramm ein selbstsigniertes Zertifikat und einen privaten Schlüssel erstellt. Für den Sever Hostname geben Sie den Modulserver-FQDN an, z. B. tms1.example.com.

    • Bestehendes Zertifikat und Schlüssel verwenden

      Um ein von einer CA ausgestelltes Zertifikat zu verwenden, wählen Sie die Zertifikatsdatei und die zugehörige private Schlüsseldatei aus. Einzelheiten finden Sie unter Handbuch für die Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

    Modul-Postgres-Konfiguration Konfigurieren Sie die Verbindung zur PostgreSQL-Datenbank:
    • Server: Geben Sie localhost (Standard) für einen lokalen Server oder den FQDN bzw. die IP-Adresse des Remote-Servers an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
    • Optionen: Geben Sie zusätzliche Parameter an, die in der Verbindung übergeben werden sollen. Normalerweise ist dies dbname und Port. Zum Beispiel: dbname=postgres port=5432 user=postgres.

    Klicken Sie auf Test, um die Verbindung zu testen.

    Tanium Server-Zertifikat manuell angeben Wählen Sie Manually specify Tanium Server certificate (Tanium Server-Zertifikat manuell angeben) aus, und wählen Sie unter Certificate (Zertifikat) das Zertifikat aus, das die Kommunikation zwischen dem Tanium Server und dem Modulserver sichert. Bei einer neuen Installation ist die Datei die Datei SOAPServer.crt, die vom Tanium Server kopiert wurde. Wenn Sie das Installationsprogramm erneut ausführen und das von der vorherigen Ausführung des Installationsprogramms erstellte Tanium Server-Zertifikat verwenden möchten, suchen Sie nach der Datei trusted.crt im Installationsverzeichnis, und wählen Sie sie aus.
    Menüordner Start (Start) wählen (Nur Neuinstallation) Wählen Sie einen Ordner für den Modulserver im Windows-Startmenü aus. Der Standardwert ist Tanium Module Server (Tanium-Modulserver).

  6. Registrieren Sie den Modulserver manuell mit dem Tanium Server: siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: CLI.

    Der Registrierungsvorgang generiert eine SSL-/TLS-Zertifikatsdatei namens ssl.crt im Installationsverzeichnis des Modulservers.

  7. Kopieren Sie ssl.crt in das Installationsverzeichnis von Tanium Server und benennen Sie es um in trusted-module-servers.crt.
  8. Konfigurieren Sie den Tanium Server, um den Remote Modulserver zu verwenden:
    1. Melden Sie sich beim Tanium Server Host an.
    2. Öffnen Sie die Anwendung Windows Dienste und stoppen Sie den Dienst Tanium Server.
    3. Gehen Sie zu folgendem Speicherort im Windows-Registry:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tanium\Tanium Server

    4. Suchen Sie den ModuleServer-Schlüssel und ändern Sie ihn im FQDN des Remote Modulservers.
    5. Starten Sie den Tanium Server-Dienst in der Anwendung Windows Dienste neu.

      Hinweis: Wenn Sie zuvor einen lokalen Modulserver installiert haben, lassen Sie den Tanium-Modulserver-Dienst gestoppt und auf dem Tanium Server deaktiviert. Der Tanium Server darf nur den Remote Modulserver verwenden.

    6. Melden Sie sich beim Host des Modulservers an.
    7. Öffnen Sie die Anwendung Windows Dienste und starten Sie die Dienste für den Tanium Modulserver und alle Tanium-Module und freigegebenen Dienste neu.

Aktualisieren des Modulserver-Zertifikats

Die Registrierung gewährleistet eine sichere Kommunikation zwischen dem Modulserver und dem Tanium Server. Wenn Sie das Modulserver-Zertifikat ssl.crt aktualisieren, müssen Sie die Registrierung wiederholen, indem Sie entweder das Installationsprogramm erneut ausführen oder die CLI verwenden (siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern). Nach der Registrierung müssen Sie die Dienste für den Tanium Modulserver und alle Tanium-Module und freigegebenen Dienste über die Anwendung Windows Dienste neu starten.

Nächste Schritte

Wenn Ihre Bereitstellung einen Tanium Zone Server beinhaltet, installieren Sie ihn: siehe Installation des Tanium Zone Servers. Überprüfen Sie andernfalls die Bereitstellung: siehe Überprüfung der Tanium Core Platform-Bereitstellung.