WinGet 構成ファイルの信頼性を確認する方法

WinGet 構成ファイルを実行する前に、ファイルに一覧表示されている各リソースを確認して評価し、オペレーティング システムに何がインストール、変更、または適用されるかを十分に認識していること、およびそれが信頼できるセキュリティで保護されたソースからのリソースであることを確認することをお勧めします。

WinGet 構成コマンドの使用の詳細について説明します。

セキュリティ通知と承認

構成を実行する前に、ユーザーは、(構成に合意の承諾パラメーターを明示的に渡さない限り) 構成を検証するという自分の責任について確認し、承認するよう求められます。

WinGet 構成ファイルによって有効になる無人セットアップの利点により、明示的なインストールの通知と承認の数が大幅に少なくなります。 その代わり、WinGet 構成ファイルを使用するには、winget configure コマンドを使用して構成を実行する前に、ファイルの詳細なセキュリティ チェックを事前に行う必要があります。 ユーザーには、インストールされる各パッケージと使用される各 PowerShell Desired State Configuration (DSC) モジュールを調査し、信頼できるソースからのものであることを確認する責任があります。

次の点に注意してください。

• 管理シェルで winget configure を使用して構成を実行するユーザーは、管理コンテキストで行われたシステムに対する変更を求められません。

• ユーザー コンテキストで winget configure を使用して構成を実行するユーザーは、構成全体の昇格を求める 1 つのユーザー アカウント制御 (UAC) プロンプトのみを受け取ることがあります。

構成リソースを確認する

WinGet 構成では、PowerShell DSC を利用してユーザー システムに構成を適用します。 構成ファイルにより、目的の状態を適用するために使用される PowerShell DSC リソースが指定されます。 構成ファイルの実行に同意する前に、各 DSC リソースを確認する必要があります。

PowerShell DSC リソースを確認するには:

• PowerShell Get-PSRepository コマンドレットを使用すると、構成されたリポジトリを表示し、ファイルを実行する前にリソースのソースを特定できます。

構成リソースを確認するときは、次の点に注意してください。

• PowerShell DSC リソースは、任意のコードを実行するように構成できます。コードには、ローカル コンピューターへの追加の DSC リソースとバイナリのプルと実行が含まれますが、これらに限定はされません。 これには、リソースと公開元の信頼性の詳細な整合性チェックが必要です。 たとえば、DSC Script リソースには、ターゲット ノードで Windows PowerShell スクリプト ブロックを実行するメカニズムが用意されています (Get、Set、Test スクリプトを使用)。 スクリプトの内容を確認せずに、信頼されていない公開元からのスクリプト リソースを実行しないでください。

• PowerShell ギャラリーは、PowerShell モジュール、スクリプト、DSC リソースを検出、共有、取得するための中央リポジトリです。 このリポジトリは Microsoft によって検証されておらず、既定で信頼されていないさまざまな作成者や公開元からのリソースが含まれています。 各パッケージには、ギャラリー内に、ギャラリー アカウントに厳密に関連付けられている Owner フィールド (Author フィールドよりも信頼性が高い) と関連付けられたメタデータが記載されている固有のページがあります。 誠意を持って公開されていると思われないパッケージが見つかった場合は、そのパッケージのページの [不正使用を報告] を選択してください。 PowerShell ギャラリーの詳細については、こちらを参照してください。

構成ファイルをテストする

クリーンかつ分離された環境ですべての WinGet 構成ファイルをテストすることをお勧めします。 次のような、いくつかのテスト オプションがあります。

• 仮想化を使用して実行する Windows 11 仮想マシンをダウンロードする

• Azure portal で Windows 仮想マシンを作成する

• 軽量で分離された一時的なデスクトップ環境である Windows サンドボックスを実行する。