デプロイ前の要件

特定のホスティング仕様を満たしている専用の Windows 環境でホストされるアプリケーションパッケージとして Tenable Identity Exposure をインストールしてください。Tenable Identity Exposureは、インストール先システムのオペレーティングシステムのマスターイメージにアクセスする必要があります。

Tenable サービスとお客様固有の要件のみを含むアプリケーションパッケージが、Tenable により事前設定されています。このデプロイメントオプションは、最大限の柔軟性を提供し、お客様固有の環境にシームレスに統合されます。

Tenable Identity Exposure は、Windows サービスに組み込まれているマイクロサービスアーキテクチャ上で実行されます。これらのサービスには専用の目的 (ストレージ、セキュリティ分析、アプリケーションなど) があり、すべて必須です。そのため、Tenable Identity Exposure は、マイクロサービスモデルをサポートするオペレーティングシステムのみにインストールできます。

OpenSSL 3.0 のサポート — バージョン 3.59.5 以降、Tenable Identity Exposure は OpenSSL 3.0.x を使用するようになりました。その結果、SHA1 で署名された X.509 証明書は、セキュリティレベル 1 以上では機能しなくなりました。TLS はセキュリティレベル 1 にデフォルト設定されています。このため、SHA1 署名の証明書は、サーバーまたはクライアントの認証で信頼されなくなります。

この変更に伴い、証明書をアップグレードする必要があります。証明書をアップデートせずにインストールを続行し OpenSSL 3.0 を使用すると、Tenable Identity Exposureインストーラーは次のエラーメッセージを返し、修正方法を提案します。

ローカルまたはビルトインの管理者グループのローカルアカウントメンバーとして、または Tenable Identity Exposure のインストール先となるサーバーの管理者として、インストールを実行してください。

警告: ドメイン外でこのローカル管理者アカウントを使ってマシンにログインしてください。ドメイン内ではローカル管理者としてログインしないでください。

このアカウントには、次のアクセス許可が必要です。

• SeBackupPrivilege

• SeDebugPrivilege

• SeSecurityPrivilege

インストールする前に、ホスト上の AV や EDR ソリューションを無効にしてください。無効にしないと、インストール中にロールバックがトリガーされます。インストール完了後に AV/EDR を安全に有効にできますが、ディスク I/O 操作が増えるため、製品のパフォーマンスに影響を与える可能性があることに注意してください。

インストール前に、必要な再起動があれば実行します。サーバーでインストーラーを起動すると、次の点がチェックされます。

• 保留中の再起動がないこと。

• 11 分以内にサーバーが正常に再起動されたこと。

• MSI が次のレジストリキーをチェックすること。

  • HKLM: \ Software \ Microsoft \ Windows \ CurrentVersion \ Component Based Servicing \ RebootPending

  • HKLM: \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate \ Auto Update \ RebootRequired

  • HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Session Manager -> PendingFileRenameOperations

サービスアカウントの使用が、オペレーティングシステムで許可されている必要があります。

アプリケーションがすべてのイベントを正確に取り出せるように、Windows イベントログの保持期間は 5 分以上にする必要があります。

次の表は、サポートされていない設定の詳細を示しています。

認定されていない環境に Tenable Identity Exposure のプラットフォームをデプロイすると、予期しない副作用が生じる可能性があります。

特に、マスターイメージにサードパーティアプリケーション (特定のエージェントやデーモンなど) をデプロイすると、安定性やパフォーマンスの問題が発生する可能性があります。

Tenable では、サードパーティアプリケーションの数を最小限に抑えることを強く推奨しています。

Tenable Identity Exposure のプラットフォームを動作させ、適切なサービス管理を実現するには、ローカルの管理者権限が必要です。

• ホストマシンの管理アカウントに関連付けられている認証情報 (ユーザー名とパスワード) を Tenable テクニカルリーダーに提供する必要があります。

• 本番環境にデプロイする場合は、パスワード更新プロセスを検討し、Tenable のテクニカルリーダーと共同で検証してください。

アップグレードプログラムの一環として、Tenable はシステムのアップデートを頻繁に公開し、新しい検出機能と製品機能を提供しています。

• このデプロイメントでは、Tenable は Tenable Identity Exposure コンポーネントのアップデートのみを提供します。セキュリティパッチを頻繁にデプロイするなど、オペレーティングシステムを適切に管理する必要があります。Tenable Identity Exposure リリースの詳細については、Tenable Identity Exposureリリースノートを参照してください。

• Tenable Identity Exposure のマイクロサービスアーキテクチャは、オペレーティングシステムパッチの即時適用をサポートしています。

• Tenable Identity Exposure は、ハードウェア要件 にリストされている Windows Server (最新の更新プログラムが適用されたもの) で動作します。

• Tenable Identity Exposure インストールプログラムを実行するには、Windows Server 2016 以降でローカル管理者権限が必要です。インストールに使用したアカウントがデフォルトのアカウントである場合は、このアカウントでプログラムを制限なく実行できるようにしてください。

• Tenable Identity Exposure サービスがマシン上でローカルサービスを実行するには、ローカル管理者権限が必要です。

• Tenable Identity Exposure には専用のデータパーティションが必要です。システムのフリーズを防ぐため、OS パーティションが満杯の場合はそのパーティションで Tenable Identity Exposure を実行しないでください。

• Tenable Identity Exposure SQL インスタンスには、仮想アカウントを使用できる機能が必要です。

• より厳格なセキュリティ対策を導入した後で Microsoft SQL Server をインストールまたはアップグレードすると、ユーザー権限が不十分なためインストールプロセスが失敗します。インストールを成功させるために必要なアクセス許可があることを確認してください。詳細については、Microsoft のドキュメントを参照してください。

• Tenable Identity Exposure はブラックボックスとして実行する必要があります。各マシンを Tenable Identity Exposure 専用とし、他の製品と共用しないでください。

• Tenable Identity Exposure は、データパーティションに「Alsid」または「Tenable」プレフィックスで始まる任意のフォルダーを作成することがあります。したがって、データパーティションには「Alsid」または「Tenable」で始まるフォルダーを作成しないでください。

• Erlang: HOMEDRIVE 環境変数は変更しないでください。PATHEXT 環境変数には、.exe および .bat ファイル拡張子が含まれている必要があります。

• Protected Users は NTLM 認証を使用できないため、Tenable Identity Exposureの AD サービスアカウントを Protected Users グループのメンバーとして設定する必要がある場合、Tenable Identity Exposure設定が Kerberos 認証をサポートするにしてください。

この表は、前提条件をインストール前に使用できる便利なチェックリストの形式でまとめたものです。