Konfigurieren von Proxy-Server-Einstellungen

Einige Organisationen verwenden Proxy-Server für Datenverkehr zwischen internen Servern und dem Internet. Wenn Ihr Unternehmen Proxys verwendet und die Sicherheitsrichtlinien den direkten Zugriff der Tanium Core Platform-Server auf Internetstandorte nicht zulassen, können Sie den Zugriff über die Proxys konfigurieren. Der Tanium Server stellt eine Verbindung mit dem Internet her, um Inhaltsaktualisierungen von Tanium und notwendige Dateien von anderen vertrauenswürdigen Lieferanten herunterzuladen. Der Tanium-Modulserver stellt eine Verbindung mit dem Internet her, um Modul-Softwareaktualisierungen von Tanium herunterzuladen. Einzelne Tanium-Module müssen möglicherweise auch auf das Internet zugreifen.

Nur Benutzer, die über die reservierte Rolle des Administrators verfügen, können die Seite Configuration (Konfiguration) > Common (Allgemein) > Proxy Settings (Proxy-Einstellungen) sehen und verwenden.

Eine Liste der Standorte, auf die Tanium Core Platform-Server zugreifen, finden Sie unter Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Internet-URLs erforderlich.

Ein Zielserver kann seine eigenen Anforderungen haben, wie z. B. Zertifikatsauthentifizierung oder Benutzerauthentifizierung. Informationen zur Konfiguration erweiterter Optionen für diese Anforderungen finden Sie unter Tanium-Support KB: Tanium Downloader.

Abbildung 1:  Bereitstellung von Tanium mit Proxy-Server

Arten von Proxy-Servern

Die Tanium Core Platform unterstützt zwei Arten von Proxy-Servern:

  • Einfach: Ein streng IP-adressbasierter Proxy-Server ermöglicht einer bestimmten Liste von Servern, den Proxy zu durchlaufen und auf das Netzwerk oder das Internet zuzugreifen. Fügen Sie die IP-Adressen oder Hostnamen des Tanium Servers und Modulservers der Zugriffsliste des Proxy-Servers hinzu. Wenn der Proxy-Server Authentifizierung erfordert, konfigurieren Sie die Konto-ID und das Passwort.
  • NTLM: Wenn der Proxy-Server für die Verwendung von Microsoft NT LAN Manager (NTLM) eingerichtet ist und Sie den Tanium Server-Dienst konfigurieren, um im Kontext eines Dienstkontos zu laufen, das über ausreichende Berechtigungen verfügt, um den Proxy-Server zu durchlaufen, müssen Sie keine Konto-ID und kein Passwort konfigurieren.

Proxy-Server-Einstellungen konfigurieren und testen

In den meisten Fällen sollten Sie als bewährtes Verfahren die Tanium Console verwenden, um wie im Folgenden gezeigt Proxy-Einstellungen zu konfigurieren. Wenn Sie jedoch die Proxy-Einstellungen konfigurieren müssen, bevor Sie Zugriff auf die Tanium Console haben, können Sie Proxy-Einstellungen auf dem Tanium Server- oder Modulserver-Host konfigurieren, wie beschrieben unter Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Proxy-Server-Einstellungen.

Die Proxy-Server-Konfiguration wird in Konfigurationsdateien auf dem Tanium Server-Host gespeichert. Tanium Server synchronisieren die Konfigurationsdateien nicht automatisch unter den HA-Peers. Wenn Sie diese Einstellungen bei HA-Bereitstellungen ändern, müssen Sie das Verfahren auf beiden Tanium Servern im HA-Cluster durchführen.

  1. Gehen Sie zu Configuration (Konfiguration) > Common (Allgemein) > Proxy Settings (Proxy-Einstellungen).
  2. Konfigurieren Sie die folgenden Tanium Server-Proxy-Einstellungen und speichern Sie Ihre Änderungen.
  3. Proxy Server IP-Adresse des Proxy-Servers.
    Proxy User ID Konto-Benutzername, der zum Herstellen der Verbindung mit dem Proxy-Server verwendet wird. Dieses Feld ist erforderlich, wenn der Proxy Type (Proxy-Typ) auf Basic (Einfach) eingestellt ist. NTLM-Proxys verwenden die Zugangsdaten des Benutzerkontexts, der den Tanium Server-Dienst ausführt.
    Proxy Type Wählen Sie den Proxy-Typ aus:
    • None (Keiner) (deaktiviert die Proxy-Server-Einstellungen)
    • Einfach
    • NTLM
    Port Number Port-Nummer des Proxy-Servers.
    Proxy Password Passwort, das zum Herstellen der Verbindung mit dem Proxy-Server verwendet wird. The password is stored in clear text within the registry.
    Bypass Proxy Host List Wenn Sie einen Proxy-Server konfigurieren, müssen Sie möglicherweise Ausnahmen konfigurieren, sodass Verbindungen zu bestimmten Hosts nicht durch den Proxy-Server gehen.

    Verwenden Sie zum Beispiel keinen Proxy-Server für den Datenverkehr zwischen Tanium Servern in einem active-active Cluster.

    Ein Proxy-Server kann Probleme mit anderem Datenverkehr an einen Ziel-Tanium Server verursachen. Beispielsweise kann eine Paketkonfiguration die Datei-URIs (Uniform Resource Identifier, URI) angeben, die lokal auf dem Tanium Server liegen. Es ist wichtig, den Proxy-Server für diese URIs zu umgehen.

    Verwenden Sie diese Einstellung, um Ziele festzulegen, die keine Proxy-Server verwenden. Geben Sie in den meisten Fällen localhost, 127.0.0.1 und alle Tanium Server-Namen und IP-Adressen an.

    Zum Beispiel:

    ts1.example.com, ts2.example.com,localhost,127.0.0.1,10.10.10.11,10.10.10.15

    Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.

    Bypass CRL Check Host List Verwenden Sie diese Einstellung, um Server aufzulisten, denen der Tanium Server vertrauen kann, ohne die Zertifikatssperrliste (CRL) zu prüfen. Wenn in dieser Liste kein Server angegeben ist, führt der Tanium Server eine CRL-Prüfung durch und lädt keine Dateien von einem Server herunter, der nicht besteht.
    Trusted Host List Standardmäßig validiert der Tanium Server das SSL-/TLS-Zertifikat von Remote-Servern, wenn Verbindungen zu diesen hergestellt werden. Um die Zertifikatsvalidierung für bestimmte Server zu umgehen, geben Sie ihre FQDN oder IP-Adresse ein. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.

    Geben Sie in einer HA-Bereitstellung die IP-Adresse oder FQDN jedes Tanium Servers im HA-Cluster ein.

    Wenden Sie sich an Ihren technischen Account Manager, bevor Sie diese Einstellung ändern.

    Mirror all changes to Module Server except Trusted Host List and Bypass CRL Check Host List (Alle Änderungen auf Modulserver spiegeln, mit Ausnahme der Liste vertrauenswürdiger Hosts und der Host-Liste zum Umgehen der CRL-Prüfung) Diese Option wird nur angezeigt, wenn der Modulserver sich auf einem dedizierten Host befindet, der nicht mit dem Tanium Server geteilt wird. Aktivieren Sie die Option, wenn Sie die Werte der Tanium Server-Proxy-Einstellungen in den Bereich Module Server Proxy Settings (Modulserver-Proxy-Einstellungen) kopieren möchten. Die einzigen Werte, die nicht kopiert werden, sind Bypass CRL Check Host List (Host-Liste zum Umgehen der CRL-Prüfung) und Trusted Host List (Liste vertrauenswürdiger Hosts).
  4. Konfigurieren Sie die Modulserver-Proxy-Einstellungen und speichern Sie Ihre Änderungen.
  5. Testen Sie die Einstellungen, indem Sie die Felder unter Validate Proxy Settings (Proxy-Einstellungen überprüfen) konfigurieren und auf Start Download (Download starten) klicken.
    KomponenteTanium Server oder Modulserver.
    Dateiquelle
    • From Tanium (Von Tanium) – Verwenden Sie vordefinierte Einstellungen für eine Verbindung zu content.tanium.com.
    • From Random Site (Vom zufälligen Standort) – Verwenden Sie vordefinierte Einstellungen für eine Verbindung zu www.msftncsi.com.
    • Specify URL/Hash (URL/Hash angeben) – Konfigurieren Sie Ihre eigenen Testeinstellungen.
    URLWenn Sie Specify URL/Hash (URL/Hash angeben) ausgewählt haben, geben Sie die URL an.
    HashWenn Sie Specify URL/Hash (URL/Hash angeben) ausgewählt haben, geben Sie den Hash-Wert an.
    Download-ZeitWenn Sie Specify URL/Hash (URL/Hash angeben) ausgewählt haben, geben Sie eine maximale Download-Zeit an, bevor Sie eine Fehlermeldung zurückgeben.

    Die Tanium Console gibt eine Meldung zurück, die Erfolg oder Fehler anzeigt. Wenn der Test fehlschlägt, prüfen Sie, ob der Proxy-Server eingerichtet und wie erwartet konfiguriert ist. Prüfen Sie auch, ob die von Ihnen festgelegten Tanium Console-Einstellungen mit den Einstellungen übereinstimmen, die der Proxy-Server erwartet. Das Tanium Downloader-Protokoll enthält detaillierte Ereignismeldungen (siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Protokolle).