Partager via

Comment vérifier la fiabilité d’un fichier de configuration WinGet

Avant d’exécuter un fichier de configuration WinGet, il est recommandé d’examiner et d’évaluer chaque ressource répertoriée dans le fichier, en vous assurant que vous êtes pleinement conscient de ce qui est installé, modifié ou appliqué à votre système d’exploitation et qu’il provient d’une source crédible et sécurisée.

En savoir plus sur l’utilisation de la commande De configuration WinGet.

Notifications et approbations de sécurité

Avant d’exécuter une configuration, l’utilisateur est invité (sauf s’il transmet explicitement le paramètre d’acceptation du contrat de configuration) à passer en revue et à reconnaître sa responsabilité de vérifier une configuration.

En raison de l’avantage de configuration sans assistance que les fichiers de configuration WinGet activent, le nombre de notifications d’installation et d’approbations explicites est considérablement réduit. Au lieu de cela, l’utilisation d’un fichier de configuration WinGet nécessite un contrôle de sécurité minutieux du fichier avant d’exécuter la configuration avec la winget configure commande. Vous êtes responsable de l’examen de chaque package qui sera installé et de chaque module DSC (Desired State Configuration) PowerShell qui sera utilisé pour vous assurer qu’il provient d’une source fiable.

Sachez que :

  • Les utilisateurs qui exécutent une configuration via winget configure un interpréteur de commandes d’administration ne sont pas invités à apporter des modifications au système dans le contexte administratif.

  • Les utilisateurs qui exécutent une configuration via winget configure dans le contexte de l’utilisateur peuvent recevoir une seule invite de contrôle de compte d’utilisateur (UAC) pour l’élévation de l’intégralité de la configuration.

Passer en revue les ressources de configuration

WinGet Configuration tire parti de PowerShell DSC pour appliquer une configuration au système des utilisateurs. Le fichier de configuration spécifie les ressources PowerShell DSC qui seront utilisées pour appliquer l’état souhaité. Chaque ressource DSC doit être examinée avant d’accepter d’exécuter le fichier de configuration.

Pour passer en revue les ressources DSC PowerShell :

  • L’applet de commande PowerShell Get-PSRepository peut être utilisée pour afficher les référentiels configurés et déterminer où les ressources seront sources avant l’exécution du fichier.

Lorsque vous examinez les ressources de configuration, sachez que :

  • Les ressources DSC PowerShell peuvent être configurées pour exécuter n’importe quel code arbitraire, y compris, sans s'y limiter à télécharger et exécuter des ressources DSC supplémentaires et des fichiers binaires sur l’ordinateur local. Cela nécessite un contrôle d’intégrité diligent de la ressource et de la crédibilité de l’éditeur. Par exemple, la ressource de script DSC fournit un mécanisme permettant d’exécuter des blocs de script Windows PowerShell sur des nœuds cibles (à l’aide de scripts Get, Set et Test). N’exécutez pas de ressources de script à partir d’éditeurs non approuvés sans passer en revue le contenu des scripts.

  • PowerShell Gallery est un référentiel central permettant de découvrir, de partager et d’acquérir des modules, des scripts et des ressources DSC PowerShell. Ce référentiel n’est pas vérifié par Microsoft et contient des ressources provenant de divers auteurs et éditeurs qui ne doivent pas être approuvés par défaut. Chaque package a une page spécifique dans la Galerie avec les métadonnées associées, le champ Owner étant fortement lié au compte Galerie (plus fiable que le champ Auteur). Si vous découvrez un package que vous sentez non publié en bonne foi, sélectionnez « Signaler l’abus » sur la page de ce package. En savoir plus sur la PowerShell Gallery.

Tester les fichiers de configuration

Nous vous recommandons de tester tous les fichiers de configuration WinGet dans un environnement propre et isolé. Voici quelques options de test :

  • Last updated on