Procedimiento para comprobar la confiabilidad de un archivo de configuración de WinGet

Antes de ejecutar un archivo de configuración de WinGet, se recomienda revisar y evaluar cada recurso enumerado en el archivo, y asegurarse de que conoce completamente lo que se instala, cambia o aplica al sistema operativo, y que procede de un origen confiable y seguro.

Obtenga más información sobre el uso del comando WinGet configure.

Notificaciones y aprobaciones de seguridad

Antes de ejecutar una configuración, se solicita al usuario (a menos que pase explícitamente el parámetro de aceptación del contrato de configuración) que revise y confirme su responsabilidad de comprobar una configuración.

Debido a la ventaja de instalación desatendida que habilitan los archivos de configuración de WinGet, se reduce significativamente el número de notificaciones y aprobaciones de instalación explícitas. En su lugar, para usar un archivo de configuración de WinGet se necesita una comprobación de seguridad diligente del archivo por adelantado, antes de ejecutar la configuración con el comando winget configure. Es responsable de revisar cada paquete que se instalará y cada módulo de Desired State Configuration (DSC) de PowerShell que se usará, para asegurarse de que procede de un origen confiable.

Tenga en cuenta que:

  • A los usuarios que ejecuten una configuración mediante winget configure en un shell administrativo no se les pedirá que realicen cambios en el sistema en el contexto administrativo.

  • Los usuarios que ejecutan una configuración mediante winget configure en el contexto de usuario solo pueden recibir un único aviso de Control de cuentas de usuario (UAC) para la elevación de toda la configuración.

Revisión de los recursos de configuración

WinGet Configuration saca provecho de DSC de PowerShell para aplicar una configuración al sistema de usuarios. El archivo de configuración especifica qué recursos de DSC de PowerShell se usarán para aplicar el estado deseado. Cada recurso de DSC se debe revisar antes de aceptar ejecutar el archivo de configuración.

Para revisar los recursos de DSC de PowerShell:

  • El cmdlet Get-PSRepository de PowerShell se puede usar para ver repositorios configurados y determinar dónde se generarán los recursos antes de ejecutar el archivo.

Al revisar los recursos de configuración, tenga en cuenta que:

  • Los recursos de DSC de PowerShell se pueden configurar para ejecutar cualquier código arbitrario, incluida, por ejemplo, la extracción y ejecución de archivos binarios y recursos de DSC adicionales en la máquina local. Para esto se necesita una comprobación diligente de la integridad del recurso y la credibilidad del editor. Por ejemplo, el recurso Script de DSC proporciona un mecanismo para ejecutar bloques de script de Windows PowerShell en nodos de destino (mediante scripts Get, Set y Test). No ejecute recursos de script desde editores que no son de confianza sin revisar el contenido de los scripts.

  • La Galería de PowerShell es un repositorio central para descubrir, compartir y adquirir módulos, scripts y recursos de DSC de PowerShell. Microsoft no comprueba este repositorio y contiene recursos de diversos autores y editores en los que no se debe confiar de manera predeterminada. Cada paquete tiene una página específica en la Galería, con metadatos asociados con el campo Owner que está fuertemente vinculado a la cuenta de galería (más confiable que el campo Autor). Si descubre que un paquete que cree que no se ha publicado de buena fe, seleccione "Notificar abuso" en la página de ese paquete. Más información sobre la Galería de PowerShell.

Prueba de archivos de configuración

Se recomienda probar todos los archivos de configuración de WinGet en un entorno limpio y aislado. Algunas opciones de prueba incluyen las siguientes: