Como garantir a confiabilidade de um arquivo de Configuração do WinGet

  • Artigo

Antes de executar um arquivo de Configuração do WinGet, é recomendável examinar e avaliar cada recurso listado no arquivo, garantindo que você esteja totalmente ciente do que está sendo instalado, alterado ou aplicado ao sistema operacional e que ele vem de uma fonte confiável e segura.

Saiba mais sobre como usar o comando WinGet configure.

Notificações e aprovações de segurança

Antes de executar uma configuração, é solicitado que o usuário (a menos que ele passe explicitamente o parâmetro de aceitação do contrato de configuração) revise e reconheça a própria responsabilidade de verificar uma configuração.

Devido ao benefício de instalação autônoma habilitado pelos arquivos de Configuração do WinGet, o número de notificações e aprovações de instalação explícitas é significativamente reduzido. Em vez disso, usar um arquivo de Configuração do WinGet exige uma verificação de segurança prévia cuidadosa do arquivo, antes de executar a configuração com o comando winget configure. Você é responsável por revisar cada pacote que será instalado e cada módulo do DSC (Desired State Configuration) do PowerShell que será utilizado para garantir que ele vem de uma fonte confiável.

Esteja ciente do seguinte:

  • Os usuários que executam uma configuração por meio de winget configure em um shell administrativo não serão solicitados quando alterações no contexto administrativo forem feitas no sistema.

  • Os usuários que executam uma configuração por meio de winget configure no contexto de usuário podem receber apenas um prompt de UAC (Controle de Conta de Usuário) para elevação para toda a configuração.

Examinar os recursos de configuração

A Configuração do WinGet aproveita o DSC do PowerShell para aplicar uma configuração ao sistema de usuários. O arquivo de configuração especifica quais recursos de DSC do PowerShell serão usados para aplicar o estado desejado. Cada recurso de DSC deve ser revisado antes de você concordar em executar o arquivo de configuração.

Para examinar os recursos de DSC do PowerShell:

  • O cmdlet Get-PSRepository do PowerShell pode ser usado para exibir repositórios configurados e determinar onde os recursos serão originados antes da execução do arquivo.

Ao examinar os recursos de configuração, esteja ciente que:

  • Os recursos de DSC do PowerShell podem ser configurados para executar qualquer código arbitrário, incluindo mas não se limitando a efetuar pull down e à execução de recursos e binários adicionais de DSC para o computador local. Isso exige uma análise de integridade cuidadosa do recurso e da credibilidade do editor. Por exemplo, o Recurso de Script DSC fornece um mecanismo para executar blocos de script do Windows PowerShell em nós de destino (usando scripts Get, Set e Test). Não execute recursos de script de editores não confiáveis sem examinar o conteúdo dos scripts.

  • A Galeria do PowerShell é um repositório central para descobrir, compartilhar e adquirir módulos, scripts e recursos de DSC do PowerShell. Esse repositório não é verificado pela Microsoft e contém recursos de uma variedade de autores e editores que não devem ser confiáveis por padrão. Cada pacote tem uma página específica na Galeria com metadados associados com o campo Owner sendo fortemente vinculado à conta da Galeria (mais confiável do que o campo Autor). Se você notar um pacote que acreditar que não tenha sido publicado de boa-fé, clique em Relatar Abuso na página do pacote. Saiba mais sobre a Galeria do PowerShell.

Testar arquivos de configuração

Recomendamos testar todos os arquivos de Configuração do WinGet em um ambiente limpo e isolado. Algumas opções de teste incluem: