Как проверка надежность файла конфигурации WinGet

  • Статья

Перед запуском файла конфигурации WinGet рекомендуется просмотреть и оценить каждый ресурс, указанный в файле, гарантируя, что вы полностью знаете, что установлено, изменено или применено к операционной системе, и что оно поступает из надежного и безопасного источника.

Дополнительные сведения об использовании команды настройки WinGet.

Уведомления и утверждения системы безопасности

Перед запуском конфигурации пользователю будет предложено (если они явно не передают параметр принятия соглашения о конфигурации) для проверки и подтверждения своей ответственности за проверку конфигурации.

Из-за преимущества автоматической установки, которое включает файлы конфигурации WinGet, количество явных уведомлений об установке и утверждений значительно сокращается. Вместо этого для использования файла конфигурации WinGet требуется тщательное проверка безопасности файла перед запуском конфигурации с winget configure помощью команды. Вы несете ответственность за проверку каждого пакета, который будет установлен, и каждого модуля PowerShell Desired State Configuration (DSC), который будет использоваться для обеспечения того, что он поступает из надежного источника.

Обратите внимание на следующее:

  • Пользователи, выполняющие конфигурацию с помощью winget configure административной оболочки, не будут запрашивать изменения в системе, сделанной в административном контексте.

  • Пользователи, которые выполняют конфигурацию через winget configure контекст пользователя, могут получать только один запрос на управление учетными записями пользователей (UAC) для повышения прав для всей конфигурации.

Просмотр ресурсов конфигурации

Конфигурация WinGet использует PowerShell DSC для применения конфигурации к системе пользователей. Файл конфигурации указывает, какие ресурсы PowerShell DSC будут использоваться для применения требуемого состояния. Перед выполнением файла конфигурации необходимо проверить каждый ресурс DSC.

Чтобы просмотреть ресурсы PowerShell DSC, выполните следующие действия.

  • Командлет PowerShell Get-PSRepository можно использовать для просмотра настроенных репозиториев и определения источника ресурсов перед выполнением файла.

При просмотре ресурсов конфигурации следует учитывать следующее:

  • Ресурсы PowerShell DSC можно настроить для выполнения любого произвольного кода, включая, но не ограничиваясь извлечением и выполнением дополнительных ресурсов DSC и двоичных файлов на локальном компьютере. Это требует тщательной целостности проверка ресурса и доверия издателя. Например, ресурс скрипта DSC предоставляет механизм запуска блоков скриптов Windows PowerShell на целевых узлах (с помощью скриптов Get, Set и Test). Не запускайте ресурсы скриптов из ненадежных издателей, не просматривая содержимое скриптов.

  • Коллекция PowerShell — это центральный репозиторий для обнаружения, совместного использования и получения модулей PowerShell, скриптов и ресурсов DSC. Этот репозиторий не проверяется корпорацией Майкрософт и содержит ресурсы из различных авторов и издателей, которые по умолчанию не должны доверять. Каждый пакет имеет определенную страницу в коллекции с связанными метаданными с Owner полем, строго привязанным к учетной записи коллекции (более надежно, чем поле "Автор"). Если вы обнаружите, что пакет, который вы чувствуете, не публикуется в добросовестном состоянии, выберите "Сообщить о злоупотреблении" на странице этого пакета. Дополнительные сведения о коллекция PowerShell.

Тестовые файлы конфигурации

Мы рекомендуем протестировать все файлы конфигурации WinGet в чистой и изолированной среде. Ниже приведены некоторые варианты тестирования: