Conditions préalables au déploiement
Avant de commencer, vérifiez que vous remplissez les conditions préalables suivantes pour assurer la réussite de l'installation.
Aperçu de l'installation
Vous devez installer Tenable Identity Exposure en tant que paquet d'application hébergé dans un environnement Windows dédié répondant à des spécifications d'hébergement spécifiques.Tenable Identity Exposure a besoin d'accéder à l'image principale du système d'exploitation sur le système où vous l'installez.
Tenable préconfigure le paquet d'application en incluant uniquement les services Tenable et vos exigences spécifiques. Cette option de déploiement offre un maximum de flexibilité et s'intègre parfaitement à votre environnement spécifique.
Tenable Identity Exposure fonctionne sur une architecture de micro-services intégrée aux services Windows. Ces services ont un objectif précis (stockage, analyse de la sécurité, application, etc.) et sont tous obligatoires. Par conséquent, vous ne pouvez installer Tenable Identity Exposure que sur des systèmes d'exploitation prenant en charge le modèle de micro-services.
Certificats TLS
Prise encharge d'OpenSSL 3.0 — À partir de la version 3.59.5, Tenable Identity Exposure utilise OpenSSL 3.0.x. Par conséquent, les certificats X.509 signés avec SHA1 ne fonctionnent plus au niveau de sécurité 1 ou supérieur. TLS est par défaut au niveau de sécurité 1, ce qui rend les certificats signés SHA1 non fiables pour authentifier des serveurs ou des clients.
Vous devez mettre à niveau vos certificats en réponse à ce changement. Si vous continuez l'installation sans mettre à jour vos certificats pour utiliser OpenSSL 3.0, le programme d'installation Tenable Identity Exposure retourne les messages d'erreur suivants avec les correctifs recommandés :
Privilèges de compte
Effectuez l'installation en tant que membre du compte local du groupe d'administrateurs locaux ou intégrés, ou en tant qu'administrateur sur le serveur où vous installez Tenable Identity Exposure.
Attention : connectez-vous à la machine en tant que compte administrateur local en dehors du domaine. Ne vous connectez pas en tant qu'administrateur local au sein du domaine.
Le compte nécessite les autorisations suivantes :
-
SeBackupPrivilege
-
SeDebugPrivilege
-
SeSecurityPrivilege
Antivirus (AV) et détection et réponse des terminaux (EDR)
Avant l'installation, désactivez toute solution AV et/ou EDR sur l'hôte. Dans le cas contraire, cela déclenchera une annulation pendant l'installation. Vous pouvez activer la solution AV/EDR en toute sécurité une fois l'installation terminée, mais sachez que cela peut affecter les performances du produit en raison des opérations d'E/S de disque élevées.
Redémarrages en attente
Effectuez tous les redémarrages requis avant l'installation. Lorsque vous lancez le programme d'installation sur un serveur, il procède aux vérifications suivantes :
-
Aucun redémarrage n'est en attente.
-
Le serveur a été redémarré correctement il y a moins de 11 minutes.
-
Le MSI vérifie les clés de registre suivantes :
-
HKLM: \ Software \ Microsoft \ Windows \ CurrentVersion \ Component Based Servicing \ RebootPending
-
HKLM: \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate \ Auto Update \ RebootRequired
-
HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Session Manager -> PendingFileRenameOperations
-
Comptes de service
L'utilisation de comptes de service doit être autorisée sur le système d'exploitation.
Indicateurs d'attaque
Le journal des événements Windows doit avoir un temps de rétention minimum de 5 minutes pour que l'application puisse récupérer avec précision tous les événements.
Configurations non prises en charge
Le tableau suivant détaille les configurations non prises en charge :
|
Configuration |
Description |
|---|---|
|
Solution antivirus ou de détection et réponse des terminaux (EDR) active |
La plateforme Tenable Identity Exposure effectue un grand nombre d'E/S disque.
|
|
Algorithmes conformes aux normes FIPS |
Pour des raisons de confidentialité des données, n'activez pas les algorithmes conformes aux normes FIPS (Federal Information Processing Standards) pour le chiffrement. |
|
Pare-feux |
Effectuez les actions suivantes pour permettre aux services Tenable Identity Exposure de communiquer entre eux, afin d'assurer une surveillance fiable de la sécurité :
|
|
Erlang |
|
Applications tierces
Le déploiement de la plateforme de Tenable Identity Exposure dans un environnement non certifié peut créer des effets secondaires inattendus.
En particulier, le déploiement d'applications tierces (telles qu'un agent ou un démon spécifique) dans l'image principale peut entraîner des problèmes de stabilité ou de performances.
Tenable vous recommande vivement de réduire le nombre d'applications tierces au minimum.
Droits d'accès
La plateforme de Tenable Identity Exposure nécessite des droits d'administration locaux pour pouvoir fonctionner et assurer une bonne gestion des services.
-
Vous devez fournir au responsable technique Tenable les identifiants (nom d'utilisateur et mot de passe) associées au compte administrateur de la machine hôte.
-
Lors du déploiement dans un environnement de production, réfléchissez à un processus de renouvellement de mot de passe que vous validez conjointement avec le responsable technique Tenable.
Actualités du produit
Dans le cadre de son programme de mise à niveau, Tenable publie fréquemment des mises à jour de ses systèmes pour fournir de nouvelles capacités de détection et de nouvelles fonctionnalités.
-
Dans ce déploiement, Tenable ne propose des mises à jour que pour les composants Tenable Identity Exposure. Vous devez assurer la bonne gestion de vos systèmes d'exploitation, notamment en déployant fréquemment des correctifs de sécurité. Pour plus d'informations sur les versions de Tenable Identity Exposure, voir les Notes de version Tenable Identity Exposure.
-
L'architecture de micro-services de Tenable Identity Exposure prend en charge l'application immédiate des correctifs du système d'exploitation.
Autres conditions requises
-
Tenable Identity Exposure fonctionne avec la dernière mise à jour disponible des versions de Windows Server répertoriées dans Configuration matérielle requise.
-
Le programme d'installation de Tenable Identity Exposure nécessite des droits d'administrateur local sur Windows Server 2016 ou une version ultérieure. Si le compte utilisé pour l'installation est le compte par défaut, assurez-vous qu'il peut exécuter des programmes sans restrictions.
-
Les services Tenable Identity Exposure nécessitent des droits d'administrateur local pour exécuter les services locaux sur la machine.
-
Tenable Identity Exposure nécessite une partition de données dédiée. N'exécutez pas Tenable Identity Exposure sur la partition du système d'exploitation afin d'empêcher le gel du système si la partition est pleine.
-
L'instance SQL Tenable Identity Exposure nécessite la fonction d'utilisation de comptes virtuels.
-
Lors de l'installation ou de la mise à niveau de Microsoft SQL Server après avoir mis en œuvre des mesures de sécurité plus strictes, le processus d'installation échoue en raison de droits utilisateur insuffisants. Vérifiez que vous disposez des autorisations nécessaires pour une installation réussie. Pour plus d'informations, voir la documentation Microsoft.
-
Tenable Identity Exposure doit fonctionner comme une boîte noire. Dédiez chaque machine à Tenable Identity Exposure et ne la partagez pas avec un autre produit.
-
Tenable Identity Exposure peut créer n'importe quel dossier commençant par le préfixe « Alsid » ou « Tenable » sur la partition de données. Par conséquent, ne créez pas de dossiers commençant par « Alsid » ou « Tenable » sur la partition de données.
-
Erlang : ne modifiez pas la variable d'environnement HOMEDRIVE. La variable d'environnement PATHEXT doit contenir les extensions de fichier .exe et .bat.
-
Si vous devez définir le compte de service AD de Tenable Identity Exposure en tant que membre du groupe « Protected Users », assurez-vous que votre configuration Tenable Identity Exposure prend en charge l'authentification Kerberos, car les utilisateurs protégés ne peuvent pas utiliser l'authentification NTLM.
Liste de contrôle pré-installation
Ce tableau résume les conditions préalables dans une liste de contrôle pratique avant l'installation.
|
Informations ou ressources à réserver |
Statut |
|---|---|
|
Les accords requis (NDA, licence du logiciel d'évaluation), le cas échéant. |
|
|
Le nombre d'utilisateurs AD actifs dans les domaines cibles à surveiller. |
|
|
Les ressources de calcul et de mémoire sont basées sur la matrice de dimensionnement de Tenable Identity Exposure. Voir Dimensionnement des ressources. |
|
|
L'adresse IP privée de chaque machine virtuelle utilisée pour déployer la plateforme de Tenable. |
|
|
Le type et l'adresse IP de l'infrastructure de gestion des mises à jour, du serveur de temps, du serveur PKI et du fournisseur d'identité. |
|
|
Ouvrez les flux réseau requis pour chaque service requis par Tenable Identity Exposure. Voir Matrice de flux réseau. |
|
|
Les adresses IP privées de chaque émulateur de contrôleur de domaine principal. |
|
|
Création d'un compte utilisateur standard sur chaque forêt Active Directory à surveiller. |
|
|
Sur les conteneurs Active Directory spécifiques, accordez un droit d'accès au compte de service Tenable. |
|
| Accordez l'accès pour l'analyse privilégiée si vous souhaitez activer cette fonctionnalité. | |
|
La connexion au compte utilisateur de domaine AD :
|
|
|
Un certificat TLS délivré pour le portail web de Tenable Identity Exposure provient de la PKI du client
|
|
|
La liste des comptes utilisateur Tenable Identity Exposure à créer :
|
|
|
La liste des configurations facultatives à activer (notification par e-mail, transfert d'événement Syslog, etc.) |
|
|
Un coordinateur de projet identifié et disponible pour travailler avec Tenable. |
|
|
Du personnel technique chargé de répondre aux problèmes techniques potentiels, concernant par exemple le filtrage réseau ou un PDCe inaccessible. |