Anforderungen
In diesem Thema werden die Anforderungen für die Installation von Tanium Core Platform Server zusammengefasst.
Informationen zu den Anforderungen des Hostsystems für den Tanium Client finden Sie im Benutzerhandbuch für die Verwaltung von Tanium Client: Anforderungen.
Installationspaket und Lizenzdateien
Tanium stellt die folgenden Installationspaket-Dateien und die Lizenzdatei bereit, die für die Installation von Tanium Server, Tanium-Modulserver und Tanium Zone Server erforderlich sind:
- SetupServer.exe
- SetupModuleServer.exe
- SetupZoneServer.exe
- tanium.license
Das Installationspaket für jeden dieser drei Server muss dieselbe Build-Nummer aufweisen (z. B. müssen alle über die Build-Nummer 7.4.5.1200 verfügen). Um die Verfahren in diesem Handbuch abzuschließen, stellen Sie sicher, dass Sie diese Dateien auf und zwischen den Hostcomputern kopieren können.
Die Lizenz ist an den Hostnamen gebunden, den Sie dem Tanium Server zuweisen. Bei Hochverfügbarkeits-(HA)-Bereitstellungen muss die Lizenz die Hostnamen beider Tanium Server angeben. Wenden Sie sich an den Tanium-Support, wenn sich die Hostnamen des Servers ändern.
Anforderungen an Serverversion und Hostsystem
Tabelle 1 enthält grundlegende Anforderungen für die Tanium Core Platform und Datenbankserver, die in einer vom Kunden bereitgestellten Windows-Infrastruktur installiert sind. Detaillierte Versionsspezifikationen und Richtlinien für die Größenbestimmung finden Sie unter Referenz: Richtlinien für Hostsystem-Ressourcen.
Tanium-Lösungen (Module und Shared Services) haben möglicherweise zusätzliche Anforderungen für Server der Tanium Core Platform. Tabelle 2 enthält Links zu den Abschnitten im Benutzerhandbuch, in denen diese Anforderungen aufgeführt sind.
Die Editionen Standard, Enterprise und Datacenter der folgenden Windows Server-Plattformen werden unterstützt. Die Optionen Server Core und Nano Server werden nicht unterstützt.
| Server | Hardware | Betriebssystem | Software |
|---|---|---|---|
| Tanium Server |
CPU-Kerne: 8 bis 80 Arbeitsspeicher: 32 bis 512 GB Festplatte: 250 GB bis 3 TB |
|
Zur Verwendung von Tanium Console ist ein Webbrowser erforderlich: siehe Benutzerhandbuch für die Tanium Console: Webbrowseranforderungen. |
| Datenbankserver | CPU-Kerne: 4 bis 32 Arbeitsspeicher: 8 bis 48 GB Festplatte: 150 GB bis 750 GB Datenbankgröße: 20 GB bis 500 GB Festplatten-Array IOPS: 100 bis 1000 |
|
|
| Tanium-Modulserver | CPU-Kerne: 8 bis 80 Arbeitsspeicher: 32 bis 512 GB Festplatte: 150 GB bis 300 GB |
|
|
| Tanium Zone Server | CPU-Kerne: 8 bis 80 Arbeitsspeicher: 16 bis 256 GB Festplatte: 250 GB bis 3 TB |
|
Klicken Sie auf die Links in der folgenden Tabelle, um die minimale Version der Tanium Core Platform (Tanium-Abhängigkeiten) und andere Anforderungen an den Plattformserver für jedes Tanium-Modul und jeden Shared Service anzuzeigen.
Kompatibilität zwischen Server der Tanium Core Platform und Client
Tanium Clients können sich nur mit Servern der Tanium Core Platform (Tanium Server, Tanium-Modulserver und Tanium Zone Server) verbinden, die dieselbe Version des Tanium™-Protokolls wie die Clients oder eine spätere Version als die Clients ausführen. Server und Clients mit Version 7.3 oder früher führen Tanium Protocol 314 aus. Server und Clients mit Version 7.4 oder höher führen Tanium Protocol 315 aus. Dies bedeutet, dass Server mit früheren Clients abwärtskompatibel sind; zum Beispiel unterstützen Server bei Version 7.4 Tanium Client 7.2, aber Tanium Client 7.4 kann sich nicht mit Servern mit Version 7.2 verbinden.
Eine ausführliche Erklärung zum Tanium Protocol finden Sie im Referenzhandbuch zur Verteilung der Tanium Core Platform: Überblick über TLS in der Tanium Core Platform.
Die Release-Nummern für Tanium Core Platform Server und Tanium Clients haben das Format <major release>.<minor release>.<point release>, wie z.B. 7.4.5. Clients können sich mit den Servern verbinden, wenn ihre Haupt- und Nebenversionsnummern übereinstimmen, unabhängig davon, ob die Versionsnummern nach dem Punkt übereinstimmen. Zum Beispiel kann sich Tanium Client 7.4.5 mit Tanium Server 7.4.2 verbinden.
-
Um sicherzustellen, dass alle Funktionen und Fixes in einer Version für Tanium Core Platform-Server und Tanium Clients verfügbar sind, aktualisieren Sie beide auf dieselbe Haupt-, Neben- und Punktversion.
-
Installieren Sie den Tanium Client nicht auf demselben Host wie einen Server der Tanium Core Platform. Wenn Sie den Client auf Server-Computern der Tanium Core Platform installieren, müssen Sie Vorsichtsmaßnahmen ergreifen, um zu verhindern, dass diese Server in Endpunkt-Aktionen anvisiert werden, die für die Tanium-Umgebung störend sein könnten, und um zu verhindern, dass unbefugte Benutzer auf die Server als Endpunkte zugreifen. Sie können den Client nicht auf einer Tanium-Appliance installieren und Tanium Client Management nicht verwenden, um den Client auf dem Tanium Modulserver zu installieren.
Internetzugang, Netzwerkkonnektivität und Firewall
Die Komponenten von Tanium verwenden TCP/IP, um über Ipv4- und Ipv6-Netzwerke zu kommunizieren. Die Tanium Core Platform 7.2 und früher unterstützt nur IPv4. Wenn Sie Ipv6-Unterstützung in Version 7.3 oder später benötigen, wenden Sie sich an Wenden Sie sich an den Tanium-Support. Sie müssen mit Ihrem Netzwerkadministrator zusammenarbeiten, um sicherzustellen, dass die Komponenten von Tanium mit IP-Adressen bereitgestellt werden und DNS verwenden können, um Hostnamen aufzulösen.
Während der Installation und laufender Operationen müssen der Tanium Server und der Webbrowser, den Sie für den Zugriff auf die Tanium Console verwenden, eine Verbindung zu https://content.tanium.com herstellen, um Aktualisierungen für die Komponenten und Module der Tanium Core Platform zu importieren. Der Tanium Server muss je nach den importierten Komponenten möglicherweise eine Verbindung mit weiteren URLs herstellen. Eine Liste der erforderlichen URLs finden Sie unter Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Internet-URLs erforderlich.
Der Tanium Server muss in der Lage sein, eine Verbindung zum Tanium-Datenbankserver und Modulserver aufzubauen. In einer HA -Bereitstellung müssen die Tanium Server in der Lage sein, sich über eine zuverlässige Ethernet-Verbindung miteinander zu verbinden. Alle diese Verbindungen erfordern einen minimalen Durchsatz von 1 Gbit/s und eine maximale Round-Trip-Latenz von 30 ms.
Wenn Ihre Unternehmensnetzwerkumgebung ausgehende Internetverbindungen benötigt, um einen Proxy-Server zu durchlaufen, können Sie die Proxy-Einstellungen wie im folgenden Kapitel beschrieben konfigurieren: Benutzerhandbuch für die Tanium Console: Konfigurieren von Proxy-Server-Einstellungen.
Tabelle 3 fasst die Tanium-Prozesse und Standardwerte für Ports zusammen, die bei der Kommunikation mit der Tanium Core Platform verwendet werden. Host- und Netzwerk-Firewalls müssen möglicherweise so konfiguriert werden, dass sie es den festgelegten Prozessen erlauben, TCP-Datenverkehr über die aufgeführten Ports zu senden und zu empfangen. Das Tanium-Installationsprogramm öffnet die erforderlichen Ports in der Windows-Host-Firewall. Sie müssen mit Ihrem Netzwerksicherheits-Administrator zusammenarbeiten, um sicherzustellen, dass die Plattformkomponenten über alle Sicherheitsbarrieren (wie Firewalls) in ihrem Kommunikationspfad kommunizieren können. Eine ausführliche Erklärung finden Sie unter Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Netzwerkports.
Konfigurieren Sie Firewall-Richtlinien, um Ports für Tanium-Datenverkehr mit TCP-basierten Regeln anstelle von anwendungsidentitätsbasierten Regeln zu öffnen. Konfigurieren Sie beispielsweise auf einer Palo Alto Networks-Firewall die Regeln mit Serviceobjekten oder Servicegruppen anstelle von Anwendungsobjekten oder Anwendungsgruppen.
Ihr Sicherheitsadministrator muss möglicherweise auch Regeln erstellen, um Tanium-Prozesse, die auf den Hostcomputern ausgeführt werden, von der Sperrung durch Antivirusprogramme oder der Verarbeitung durch Verschlüsselung oder andere Sicherheits- und Verwaltungssoftware auszunehmen oder auszuschließen. Eine ausführliche Erklärung finden Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Sicherheitsausnahmen des Hostsystems.
Die folgende Abbildung zeigt, wie die Tanium Core Platform diese Ports bei einer HA-Bereitstellung innerhalb einer Windows-Infrastruktur verwendet.
SSL-/TLS-Zertifikate
Der Austausch von SSL/TLS-Zertifikaten und -Schlüsseln sichert Verbindungen zur Tanium™ Console oder Tanium™ API sowie Verbindungen zwischen dem Tanium Server und dem Tanium-Modulserver. Wenn Sie die Server-Installationsassistenten ausführen, werden Sie aufgefordert, ein selbstsigniertes Zertifikat zu erstellen oder den Speicherort eines Zertifikats anzugeben, das von einer kommerziellen Zertifizierungsstelle (CA) oder Ihrer eigenen Unternehmens-CA ausgestellt wurde. Als bewährtes Verfahren zur Vereinfachung der Fehlerbehebung verwenden Sie die selbstsignierten Zertifikate während der anfänglichen Installation und ersetzen sie später durch von einer CA ausgestellte Zertifikate. So können Sie potenzielle Installationsprobleme von TLS-Verbindungsproblemen trennen. Eine ausführliche Erklärung finden Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.
Administrator-Kontoberechtigungen
Arbeiten Sie mit Ihrem Microsoft Active Directory (AD)-Administrator zusammen, um die Konten, die während einer Installation oder Aktualisierung der Tanium Core Platform sowie für Aktivitäten nach der Installation/Aktualisierung benötigt werden, bereitzustellen.
Administratorkonten für Installationen und Aktualisierungen
Die folgende Tabelle enthält die erforderlichen Administratorkonten, um die Server von Tanium Core Platform zu installieren oder zu aktualisieren, Tanium-Datenbanken zu erstellen oder Tanium Clients einzusetzen. Sie können ein einzelnes Dienstkonto verwenden, um den Tanium Server zu installieren und Datenbanken auf dem SQL oder PostgreSQL-Server zu erstellen, solange das Konto über die erforderlichen Gruppenmitgliedschaften und Berechtigungen für diese Server verfügt. Sie können auch ein einzelnes Dienstkonto verwenden, um den Zoneserver und Zoneserver-Hub zu installieren. Sie müssen ein separates Dienstkonto verwenden, um den Modulserver zu installieren.
Administratorkonten für Aktivitäten nach der Installation/Aktualisierung
Die folgende Tabelle führt die Administratorkonten auf, die für regelmäßige, laufende Operationen erforderlich sind, die nach Installationen oder Aktualisierungen durchgeführt werden, einschließlich der Durchführung der Dienste für die Server von Tanium Core Platform und Tanium Clients und des Zugriffs auf die Tanium-Datenbanken. Wenn Sie die für Installationen und Aktualisierungen verwendeten Konten wiederverwenden, reduzieren Sie zunächst die Kontoberechtigungen auf die in der folgenden Tabelle angegebenen. Sie können ein einzelnes Dienstkonto verwenden, um den Tanium Server-Dienst auszuführen und auf die Tanium-Datenbanken zuzugreifen. Sie können auch ein einzelnes Dienstkonto verwenden, um die Zoneserver- und Zoneserver Hub-Dienste auszuführen. Sie müssen ein separates Dienstkonto verwenden, um den Modulserver-Dienst auszuführen.
| Dienst | Kontotyp | Hostsystem | Erforderliche Gruppe oder Berechtigungen | Kontozweck |
|---|---|---|---|---|
| Tanium Server und Tanium-Datenbanken | AD-Dienstkonto* | Tanium Server-Host | Berechtigungen auf Benutzerebene | Dieses Dienstkonto führt den Tanium Server-Dienst aus. Der Dienst läuft im Kontext des lokalen Systems oder des AD-Kontos, je nach der Option, die Sie beim Installieren des Servers auswählen. |
| SQL Server-Host | DBO auf Tanium-Datenbanken | Dieses Dienst-Benutzerkonto greift auf die tanium und tanium_archive-Datenbanken zu. Wenn Sie dasselbe Konto zum Ausführen des Tanium Server-Dienstes verwenden, muss sich das Konto remote mit dem SQL Server verbinden können. Das Konto erfordert die Rollenmitgliedschaft db_owner für die Tanium-Datenbanken. Weisen Sie als bewährtes Verfahren die Berechtigung View server state (Serverstatus anzeigen) zu, damit der Tanium Server schneller auf Daten zuzugreifen kann als die DBO-Rolle allein. | ||
| Host des PostgreSQL-Servers | Berechtigungen auf Benutzerebene | Dieses Dienst-Benutzerkonto greift auf die tanium und tanium_archive-Datenbanken zu. Wenn Sie dasselbe Konto zum Ausführen des Tanium Server-Dienstes verwenden, muss sich das Konto remote mit dem PostgreSQL-Server verbinden können. | ||
| Tanium-Modulserver | AD-Dienstkonto* | Tanium-Modulserver-Host | Administrator | Dieses Dienstkonto führt den Tanium-Modulserver-Dienst aus. Der Dienst läuft im Kontext des lokalen Systemkontos. |
| Tanium Zone Server und Zoneserver-Hub | Lokaler Benutzer oder AD | Tanium Zone Server-Host | Berechtigungen auf Benutzerebene | Dieses Dienstkonto führt den Tanium Zone Server-Dienst aus. Der Dienst läuft im Kontext des lokalen Systems oder des AD-Kontos, je nach der Option, die Sie beim Installieren des Servers auswählen. |
| Tanium Zone Server-Hub-Host | Berechtigungen auf Benutzerebene | Dieses Dienstkonto führt den Tanium Zone Server-Hub-Dienst aus. Der Dienst läuft im Kontext des lokalen Systems oder des AD-Kontos, je nach der Option, die Sie beim Installieren des Servers auswählen. | ||
| Tanium Client | Lokales System | Tanium CDT-Host | Administrator | Bei Windows läuft der Tanium Client-Dienst im Kontext des lokalen Systemkontos. |
| *Es ist möglich, das lokale Systemkonto bei einer POC-Implementierung zu verwenden, aber nicht in einer Produktionsbereitstellung. | ||||
Zuletzt aktualisiert: 20.09.202116:22 | Feedback
