Come controllare l'attendibilità di un file di configurazione WinGet
Prima di eseguire un file di configurazione WinGet, è consigliabile esaminare e valutare ogni risorsa elencata nel file, assicurandosi di essere pienamente consapevoli di ciò che viene installato, modificato o applicato al sistema operativo e che proviene da un'origine credibile e sicura.
Altre informazioni sull'uso del comando Configura WinGet.
Notifiche di sicurezza e approvazioni
Prima di eseguire una configurazione, all'utente viene richiesto (a meno che non passino in modo esplicito il parametro di accettazione del contratto di configurazione) per esaminare e confermare la responsabilità di verificare una configurazione.
A causa del vantaggio di installazione automatica abilitato dai file di configurazione WinGet, il numero di notifiche e approvazioni esplicite di installazione è notevolmente ridotto. L'uso di un file di configurazione WinGet richiede invece un controllo di sicurezza diligente del file prima di eseguire la configurazione con il comando winget configure
. L'utente è responsabile della revisione di ogni pacchetto che verrà installato e di ogni modulo PowerShell Desired State Configuration (DSC) di PowerShell che verrà usato per assicurarsi che provenga da un'origine affidabile.
Tenere presente che:
Agli utenti che eseguono una configurazione tramite
winget configure
in una shell amministrativa non verranno richieste modifiche al sistema apportate nel contesto amministrativo.Gli utenti che eseguono una configurazione tramite
winget configure
nel contesto utente possono ricevere solo una singola richiesta di elevazione del Controllo dell'account utente per l'intera configurazione.
Esaminare le risorse di configurazione
La configurazione WinGet sfrutta PowerShell DSC per applicare una configurazione al sistema degli utenti. Il file di configurazione specifica le risorse DSC di PowerShell da usare per applicare lo stato desiderato. Ogni risorsa DSC deve essere esaminata prima di accettare di eseguire il file di configurazione.
Per esaminare le risorse DSC di PowerShell:
- Il cmdlet
Get-PSRepository
di PowerShell può essere usato per visualizzare i repository configurati e determinare dove verranno generate le risorse prima di eseguire il file.
Quando si esaminano le risorse di configurazione, tenere presente che:
Le risorse DSC di PowerShell possono essere configurate per eseguire qualsiasi codice arbitrario, tra cui, a titolo esemplificativo, il pull down e l'esecuzione di risorse e file binari DSC aggiuntivi nel computer locale. Ciò richiede un controllo di integrità diligente della risorsa e della credibilità dell'editore. Ad esempio, la risorsa script DSC fornisce un meccanismo per eseguire blocchi di script di Windows PowerShell nei nodi di destinazione (usando gli script Get, Set e Test). Non eseguire risorse script da autori non attendibili senza esaminare il contenuto degli script.
La PowerShell Gallery è un repository centrale per l'individuazione, la condivisione e l'acquisizione di moduli, script e risorse DSC di PowerShell. Questo repository non viene verificato da Microsoft e contiene risorse di diversi autori e editori che non devono essere considerati attendibili per impostazione predefinita. Ogni pacchetto ha una pagina specifica nella raccolta con i metadati associati al campo
Owner
strettamente associato all'account della raccolta (più attendibile rispetto al campo Autore). Se si scopre che un pacchetto che si ritiene non sia pubblicato in buona fede, selezionare "Segnala abusi" nella pagina del pacchetto. Altre informazioni su PowerShell Gallery.
Usa file di configurazione
È consigliabile testare tutti i file di configurazione WinGet in un ambiente pulito e isolato. Alcune opzioni di test includono: