■はじめに
本記事ではTaniumのエンドポイントクライアントのADを使用したインストール手順をご紹介しています。
=============================
もくじ
■はじめに
■作業の概要
■準備フェイズ
- インストール関連ファイルのダウンロード
- 共有フォルダの準備
- インストール用スクリプトの作成
■AD設定&実行フェイズ
- 共有フォルダへのインストーラ&スクリプト配置
- GPOセンサー展開設定
- インストール実行結果の確認
■最後に
=============================
■作業の概要
Taniumの導入は大規模な環境であるケースが多いです。
端末1台1台に展開したのでは手が追い付きません。
今回はActive Directoryを利用して環境内のWindows端末にTaniumクライアントを展開していきます。
なお、本手順はメーカーのマニュアルに記載された手順ではなく、弊社環境にて試験的に実施し動作を確認したものとなりますので、その点はご留意ください。
※そのため番外編としております。
では、手順を進めていきましょう。
■準備フェイズ
準備フェイズでは、クライアントを展開する前の環境の準備やスクリプトなどの仕掛けの作成をしていきます。
インストール関連ファイルのダウンロード
TaniumクライアントのインストーラはTanium Cloudからダウンロード可能です。
[ Shared Services(工具のマーク) > Client Management ]の順番でクリックしダウンロードの画面まで移動します。
※日本語表示にも対応しているため、一部スクショと文章で日本語と英語が入ります。適宜読み替えていただけますと幸いです。
Install the Tanium Client externally の Download Installer をクリックすると、
・各OSに対応したインストーラー
・Tanium Client Container (コンテナのモニターを行う際に利用)
・Cloud Initialization File (クラウドとの接続に問題があった際に公開キーをリセットするに利用)
の一覧が出てきます。
今回はWindows環境へのインストールなので、Download Windows Packages をダウンロードします。
ダウンロードされたファイルはZip化されているため解凍します。
まずは中身を確認してみましょう。
□install.bat ←今回の手順では使用いたしません。
■SetupClient.exe ←必須
■tanium‑init.dat ←必須
の3ファイルが入っていることが確認できると思います。
インストールにはインストールの実行を行うファイル(SetupClient.exe)とデータファイル(tanium‑init.dat)の組み合わせが必要になります。
どれかかがセキュリティなどで検出されて隔離...となっていたりする場合はエラーでインストールできない可能性があります。
ご利用のセキュリティソフトなどで例外設定等を実施後に再度ダウンロードしてください。
共有フォルダの準備
ご利用の環境で使用可能な共有フォルダを準備します。
本手順で使用するインストール関連ファイルはこちらからインストール対象端末へコピーされます。
※下記の手順はあくまで参考となります。
①フォルダ共有を行うサーバーで以下のサービスが開始されていることを確認します。(ファイル名を指定 > service.msc)
実行中となっていない場合は開始します。
・DNS Client
・Function Discovery Resource Publication
・SSDP Discovery
・UPnP Device Host
②共有に使用する任意の名前のフォルダを作成します
③作成したフォルダの共有設定で共有ユーザーを指定します。
(下記の例ではEveryoneですがSystem等範囲を絞れるものが推奨です)
※本手順はセキュリティに影響のある設定を含みます。
設定内容につきましてはセキュリティホールを作らないように慎重にご検討ください。
④[エクスプローラ > ネットワーク]を展開しサーバ名から
インストーラ配置用のフォルダが表示されることを確認します。
インストール用スクリプトの作成
以下のスクリプトをコピーし、[任意のファイル名+.ps1]で保存します。
本手順ではTaniumClientInstall.ps1とします。
スクリプトに引用されているインストールコマンドは、メーカドキュメントに詳細が記載されていますのでご確認ください。
Tanium Client command-line installation examples
#TaniumClientInstall.ps1
#
# TaniumのAD展開のためのサンプルスクリプトです。
# 複数のサンプルを記載してるので、不要なものをコメントアウト「#」するか、
# 削除してください。
# 赤字部分は環境や指定の値に応じて書き換えてください。
# 配置前に文字コードなどで動作不良が起きないかご確認ください。
#
# ※デフォルトでは通常のサイレントインストールが実行されます。
# (コメントアウトが外されています。)
# ①~④の任意のコマンドを用途によって適宜有効にしてください。
#-------------------------------------------
$InstallerShareFolder = '\\共有サーバホスト名やIP\共有フォルダパス\SetupClient.exe'
$InstallerShareFolderDat = '\\共有サーバホスト名やIP\共有フォルダパス\tanium-init.dat'
$LocalInstaller = 'C:\Temp\SetupClient.exe'
$LocalDat = 'C:\Temp\tanium-init.dat'
# 既存センサーの確認&ローカルのフォルダ作成
if (-not (Get-Service -Name 'Tanium Client' -ErrorAction SilentlyContinue)) {
New-Item -ItemType Directory -Path 'C:\Temp' -Force -ErrorAction SilentlyContinue | Out-Null
# 共有フォルダの確認とインストールの実行
if (Test-Path -Path $InstallerShareFolder) {
Copy-Item -Path $InstallerShareFolder -Destination $LocalInstaller -Force
& Copy-Item -Path $InstallerShareFolderDat -Destination $LocalDat -Force
#-------------------------------------------
#①サイレントエクスプレスインストール
# 設定はデフォルト値
& $LocalInstaller /S
#-------------------------------------------
#②サーバーのアドレスを指定する必要がある場合
# Tanium Cloudクライアント Edge URLの FQDN を指定
# & $LocalInstaller /ServerAddress=taas-example1-zs.cloud.tanium.com,taas-example2-zs.cloud.tanium.com /S
#-------------------------------------------
#③デフォルトの設定値以外を含めたサイレントインストールの場合
# 以下はログレベルを指定したもの
# & $LocalInstaller /LogVerbosityLevel=1 /S
#-------------------------------------------
#④インストールディレクトリを指定する場合
# & $LocalInstaller /LogVerbosityLevel=1 /S /D=C:\Custom Installation Directory\Tanium\Tanium Client
#-------------------------------------------
}
}
■AD設定&実行フェイズ
AD設定&実行フェイズでは、準備した共有ディレクトリにファイルを配置しインストールを実行していきます。
共有フォルダへのインストーラ&スクリプト配置
①ダウンロードしたインストール関連ファイルと作成したスクリプトを共有フォルダに配置します。
GPOセンサー展開設定
①ADサーバで[グループポリシーの管理]を開き、インストールを行う端末が含まれているOUを右クリックし
[このドメインにGPOを作成し、このコンテナーにリンクする]をクリックします。
②表示されたウィンドウで任意のGPO名を入力し[OK]をクリックします。
③作成されたGPOを選択し右クリックメニューより編集をクリックします。
④表示されたウィンドウ内で[コンピューターの構成 > 基本設定 > コントロールパネルの設定 > タスク]の右クリックメニュー
より[新規作成 > タスク(Windows 7 以降)]をクリックします。
⑤表示されたウィンドウで下記表に従い設定いたします。
|
項目 |
値/項目 |
値 |
|
操作 |
更新 |
- |
|
名前 |
任意の値 |
- |
|
説明 |
任意の値 |
- |
|
セキュリティオプション |
タスクの実行時に使うユーザーアカウント |
System |
|
ユーザーがログオンしているかどうかにかかわらず実行する |
選択 |
|
|
最上位の特権で実行する |
チェック |
|
|
構成 |
Windows🄬7、Windows Server™ 2008R2 |
- |
⑥"トリガー"タブをクリックし、[新規]をクリックします。
⑦タスクの開始で"スケジュールに従う"を選択し任意のスケジュールを設定し[OK]をクリックします。
⑧"操作"ータブをクリックし、[新規]をクリックします。
⑨新しい操作ウィンドウで表の値を入力し[OK]をクリックします。
|
項目 |
値 |
|
操作 |
プログラムの開始 |
|
プログラム / スクリプト |
Powershell.exe |
|
引数の追加 |
-ExecutionPolicy Bypass -File \\任意の共有フォルダー\作成したスクリプト |
⑩"設定"タブをクリックし、下記表に従い設定し[OK]をクリックします。
※本手順を実施後にGPOが同期されスケジュールされた時間になるとインストールが開始されます。
|
項目 |
値 |
|
タスクを要求時に実行する |
✓ |
|
スケジュールされた時刻にタスクを開始できなかった場合、 |
✓ |
|
タスクが失敗した場合の再起動の間隔 |
- |
|
タスクを停止するまでの時間 |
✓ |
|
要求時に実行中のタスクが終了しない場合、タスクを強制的に停止する |
✓ |
|
タスクが再度実行するようにスケジュールされていない場合に |
- |
|
タスクがすでに実行中の場合に適用される規則 |
新しいインスタンスを開始しない |
インストール実行結果の確認
ローカルで直接確認する場合は、プログラムの追加と削除にTanium Clientが追加されていれば成功です。
Tanium Platformから確認する場合は、[管理 > 設定 > クライアントのステータス]と遷移し、
クライアント一覧でインストール対象の端末を探します。
以上、ADを利用したTaniumクライアントの展開手順でした。
お疲れ様でした!(__)
■最後に
運用の効率化を加速する最初の一歩となるTaniumクライアントインストールですが、
せっかくなのでこういった部分でも工数を極力かけずに実施していきたいところですね。
お役に立てましたら幸いです。
ご一読いただき、ありがとうございました。
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のオススメ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
宮澤 建人
