Authentifizieren von Inhaltsdateien

Tanium as a Service (TaaS) importiert automatisch erforderliche Inhalte. Sie können benutzerdefinierte Inhalte nicht in eine TaaS-Verteilung importieren.

Übersicht über den Import und Export von Inhalten

Die Tanium Console unterstützt den Export und Import von Inhalten, was hilfreich ist, wenn Sie den Inhalt zwischen Tanium Servern kopieren möchten. Sie können die Inhaltsdateien im JSON- (Best Practice) oder XML-Format exportieren und importieren.

Entwickeln und testen Sie benutzerdefinierte Inhalte in Ihrer Labor-Umgebung, bevor Sie die Inhalte an die Produktionsserver in Ihrer Tanium-Verteilung verteilen.

Bei Tanium-Bereitstellungen mit einer Produktionslizenz erfordern Inhalte, die Sie importieren, standardmäßig eine digitale Signatur. Die Signaturvalidierung hilft beim Schutz Ihrer Bereitstellung vor dem Import von nicht autorisierten Dateien. Zur Erstellung der Signatur wird ein privater Schlüssel verwendet. Der Tanium Server verwendet während des Importvorgangs den zugehörigen öffentlichen Schlüssel, um die Signatur zu validieren. Sie verwalten die öffentlichen Schlüssel vertrauenswürdiger Unterzeichner auf dem Tanium Server. Wenn keiner der öffentlichen Schlüssel im Tanium Server-Schlüsselspeicher die Signatur validieren kann, importiert der Server den Inhalt nicht und die Tanium Console zeigt Fehlermeldungen an.

Abbildung 1:  Fehler bei der Signaturvalidierung

Bei Tanium-Bereitstellungen mit einer Laborlizenz benachrichtigt die Tanium Console Sie, wenn die Datei, die Sie für einen Import ausgewählt haben, nicht signiert ist, und lässt Sie wählen, ob Sie fortfahren möchten. Das bewährte Verfahren besteht darin, nicht signierte Dateien in keiner Bereitstellung zu importieren.

Sie müssen keine Schlüssel oder Signaturen für Inhalte erstellen, die Sie als Komponente von Tanium-Lösungen oder Tanium-Inhaltspaketen importieren (siehe Tanium-Lösungen verwalten). Tanium signiert diesen Inhalt, bevor er ihn verfügbar macht, und der zugehörige öffentliche Schlüssel wird während des Server-Installationsprozesses an den Tanium Server-Schlüsselspeicher verteilt. Für alle anderen Inhalte müssen Sie manuell ein öffentlich-privates Schlüsselpaar erstellen, um die von Ihnen importierten Inhaltsdateien zu signieren und zu validieren.

Benutzer, die über die reservierte Administratorrolle verfügen, können alle Inhaltstypen exportieren und importieren. Benutzer, die über eine Micro Admin-Rolle mit der Berechtigung Import Signed Content (Signierten Inhalt importieren) verfügen, können nur dann Inhalt importieren, wenn die Inhaltsdatei signiert ist und wenn die Benutzer Schreibberechtigungen für den Inhaltstyp haben. Für andere Benutzer variiert die Fähigkeit zum Export und Import je nach Inhaltstyp und Rollenzuweisungen. Einzelheiten finden Sie unter Berechtigungen für die Inhaltsverwaltung.

Als einmalige Aufgaben vor dem Importieren von Inhalten müssen Sie das öffentlich-private Schlüsselpaar erstellen und den öffentlichen Schlüssel in den Tanium Server-Schlüsselspeicher kopieren. Sie müssen dann den privaten Schlüssel verwenden, um jede neue Inhaltsdatei zu signieren, die Sie importieren. Die Schritte zum Importieren signierter Inhaltsdateien und zum Exportieren von Inhalten finden Sie unter Shared Services und Inhalte verwalten.

Authentifizierungsschlüssel für Inhalte erstellen

Der Tanium Server nutzt das KeyUtility-Befehlszeilenprogramm, um ein kryptographisches Schlüsselpaar zum Signieren und Validieren von Inhaltsdateien zu generieren. KeyUtility und die zugehörigen Dateien befinden sich im obersten Installationsordner des Tanium Servers (wie \Program Files\Tanium\Tanium Server). Sie können das KeyUtility-Programm aus dem Installationsordner ausführen oder die Dateien in einen Arbeitsordner auf einem beliebigen Windows-System kopieren und das Programm aus diesem Arbeitsordner ausführen.

  1. (Optional) Um KeyUtility aus einem Arbeitsordner auszuführen, richten Sie den Ordner wie folgt ein:
    1. Kopieren Sie die folgenden Dateien aus dem Tanium Server-Installationsordner (nur Windows-Verteilungen) oder aus dem Speicherort, an dem Sie die KeyUtility.zip-Datei entpackt haben, die Tanium Support zur Verfügung gestellt hat:
      • KeyUtility.exe
      • libeay32.dll
      • ssleay32.dll
    2. Fügen Sie die Dateien in den Arbeitsordner ein.
  2. Öffnen Sie die Windows-Eingabeaufforderung (cmd.exe) und führen Sie den folgenden Befehl aus dem Ordner aus, in dem sich die KeyUtility-Dateien befinden. Das <file name> Argument definiert die Schlüssel-Dateinamen, Sie müssen jedoch nicht das Suffix angeben. KeyUtility hängt automatisch das Suffix .pub für den öffentlichen Schlüssel und .pvk für den privaten Schlüssel an.

    KeyUtility.exe makekeys <file name>

Im Folgenden finden Sie ein Beispiel für den Befehl und die daraus resultierenden Inhalte eines Arbeitsordners:

D:\Tanium\Working>KeyUtility.exe makekeys TaniumLab

D:\Tanium\Working>dir
			
Directory of D:\Tanium\Working
			
09/05/2018 08:05 PM  <DIR>     .
09/05/2018 08:05 PM  <DIR>     ..
08/17/2018 03:04 AM     4,254,704 KeyUtility.exe
03/27/2018 07:03 PM     2,632,192 libeay32.dll
03/27/2018 07:03 PM      457,728 ssleay32.dll
09/05/2018 08:05 PM        158 TaniumLab.pub
09/05/2018 08:05 PM        241 TaniumLab.pvk
5 File(s)   7,345,023 bytes
2 Dir(s) 41,049,174,016 bytes free

Inhaltsdateien signieren

Nachdem Sie ein öffentlich-privates Schlüsselpaar für die Authentifizierung von Inhaltsdateien erstellt haben, verwenden Sie den privaten Schlüssel, um die Dateien zu signieren:

  1. Kopieren Sie die Inhaltsdatei an einen Speicherort, auf den Sie aus dem Ordner zugreifen können, in dem sich KeyUtility und die inhaltssignierenden Schlüsseldateien befinden.

    Der Ordner ist entweder der Tanium Server-Installationsordner (wie \Program Files\Tanium\Tanium Server) oder ein Arbeitsordner, den Sie einrichten: siehe Authentifizierungsschlüssel für Inhalte erstellen.

  2. Öffnen Sie die Windows-Eingabeaufforderung (cmd.exe) und gehen Sie zum Ordner, in dem sich die KeyUtility- und Schlüsseldateien befinden.
  3. Signieren Sie die Inhaltsdatei.

    KeyUtility.exe signcontent <private_key> <content_file>

    Dies ist ein Beispiel für den Befehl:

    KeyUtility.exe signcontent import.pvk "Example Multicolumn Sensor Windows Registry.json"

  4. Öffnen Sie die Inhaltsdatei in einem Texteditor und überprüfen Sie, ob unten eine Signatur wie die folgende erscheint:

    <!--hash=2a8bc7529c9fcdad037982bcbfc12306aa88ac8b9d95d02248ec369008188b7c0e356ad1811609c7 54eb01dc97c09b9f2acb10331e2d9dbf77d309124c61950a;signature=01AF3D547A97CCBD62A022F398 586DEAD4E29A30C29406283DA2E8F1E9FCF176194D66D4D9602538102F8F2FBBCFBC7AF370DB44E839C04 7253A246447E9A146706F00E94CD26D2CF29D8916E6EE0F21C77F0E13A6769905E5DDC09458912A94BB74 C1311C9B26301DB8D8C73AC043EBC6A5A836FB6815011F1ACB37E0248A30F100B631-->

Den öffentlichen Schlüssel in den Schlüsselspeicher kopieren

Bevor Sie eine Inhaltsdatei importieren, muss im Tanium Server-Schlüsselordner (z. B. \Tanium\Tanium Server\content_public_keys\content) eine Kopie des öffentlichen Schlüssels vorhanden sein, den der Server verwendet, um die Signatur in der Datei zu validieren. Kopieren Sie den öffentlichen Schlüssel aus dem Ordner, in dem Sie den Befehl zur Schlüsselgenerierung ausgeführt haben. Der Ordner ist entweder der Tanium Server-Installationsordner (wie \Program Files\Tanium\Tanium Server) oder ein Arbeitsordner, den Sie einrichten: siehe Authentifizierungsschlüssel für Inhalte erstellen.

Informationen zum Hinzufügen des Schlüssels für die Signatur von Inhalten zum Tanium Server auf einer Tanium Appliance finden Sie in der Installationsanleitung für Tanium Appliance: Import von vom Benutzer erstellten Inhalten aktivieren.