Partage via

Comment vérifier la fiabilité d’un fichier de configuration WinGet

  • Article

Avant d’exécuter un fichier de configuration WinGet, il est recommandé de passer en revue et d’évaluer chaque ressource répertoriée dans le fichier, en vous assurant que vous savez parfaitement ce qui est installé, modifié ou appliqué à votre système d’exploitation, et qu’il provient d’une source crédible et sécurisée.

Apprenez-en davantage sur l’utilisation de la commande WinGet configure.

Notifications et approbations de sécurité

Avant d’exécuter une configuration, l’utilisateur est invité (sauf s’il passe explicitement le paramètre d’acceptation du contrat de configuration) à passer en revue et à reconnaître sa responsabilité de vérifier une configuration.

En raison de l’avantage d’installation sans assistance activé par les fichiers de configuration WinGet, le nombre de notifications et d’approbations d’installation explicites est considérablement réduit. Au lieu de cela, l’utilisation d’un fichier de configuration WinGet nécessite une vérification de sécurité diligente du fichier à l’avance, avant d’exécuter la configuration avec la commande winget configure. Vous êtes responsable de l’examen de chaque package qui sera installé et de chaque module PowerShell Desired State Configuration (DSC) qui sera utilisé pour vous assurer qu’il provient d’une source fiable.

Sachez que :

  • Les utilisateurs qui exécutent une configuration via winget configure dans un interpréteur de commandes d’administration ne seront pas invités à apporter des modifications au système effectuées dans le contexte administratif.

  • Les utilisateurs qui exécutent une configuration via winget configure dans le contexte utilisateur ne peuvent recevoir qu’une seule invite de contrôle de compte d’utilisateur (UAC) pour l’élévation pour l’ensemble de la configuration.

Passer en revue les ressources de configuration

WinGet Configuration tire parti de PowerShell DSC pour appliquer une configuration au système des utilisateurs. Le fichier de configuration spécifie les ressources PowerShell DSC qui seront utilisées pour appliquer l’état souhaité. Chaque ressource DSC doit être examinée avant d’accepter d’exécuter le fichier de configuration.

Pour consulter les ressources PowerShell DSC :

  • L’applet de commande PowerShell Get-PSRepository peut être utilisée pour afficher les référentiels configurés et déterminer où les ressources seront sources avant l’exécution du fichier.

Lorsque vous examinez les ressources de configuration, n’oubliez pas que :

  • Les ressources DSC PowerShell peuvent être configurées pour exécuter n’importe quel code arbitraire, y compris, mais sans s’y limiter, l’extraction et l’exécution de ressources et de fichiers binaires DSC supplémentaires sur l’ordinateur local. Cela nécessite une intégrité vérification diligente de la ressource et de la crédibilité de l’éditeur. Par exemple, la ressource de script DSC fournit un mécanisme pour exécuter Windows PowerShell blocs de script sur les nœuds cibles (à l’aide de scripts Get, Set et Test). N’exécutez pas de ressources de script à partir d’éditeurs non approuvés sans examiner le contenu des scripts.

  • La galerie PowerShell est un référentiel central pour la découverte, le partage et l’acquisition de modules PowerShell, de scripts et de ressources DSC. Ce dépôt n’est pas vérifié par Microsoft et contient des ressources provenant de divers auteurs et éditeurs qui ne doivent pas être approuvés par défaut. Chaque package a une page spécifique dans la galerie avec des métadonnées associées dont le champ Owner est fortement lié au compte de la galerie (plus fiable que le champ Auteur). Si vous découvrez un package publié qui vous semble suspect, cliquez sur Signaler un abus dans la page du package. En savoir plus sur la galerie PowerShell.

Utiliser les fichiers config

Nous vous recommandons de tester tous les fichiers de configuration WinGet dans un environnement propre et isolé. Voici quelques options de test :