Dieser Artikel führt Sie am Beispiel von Winget durch die Einrichtung erweiterter Regeln für Blocker. Die Einrichtung von Winget mit Unternehmenssicherheitsregeln erfordert einen strategischen Ansatz, um eine reibungslose Softwarebereitstellung bei gleichzeitig starkem Systemschutz zu gewährleisten. Diese Anleitung unterstützt Sie bei der Konfiguration von Winget mit erweiterten Sicherheitsblockierungsmechanismen, um unbefugte Softwareinstallationen und potenzielle Living-off-the-land (LOTL)-Angriffsvektoren zu verhindern. Mit dieser Anleitung stellen Sie sicher, dass Winget in Ihrer AutoElevate gesicherten Umgebung reibungslos funktioniert und gleichzeitig starke Sicherheit gegen LOTL-Angriffe gewährleistet ist.

Vorbereitung und Voraussetzungen

• Installieren Sie AutoElevate Sicherheitsblocker
• Bestätigen Sie die Winget-Installation auf den Zielcomputern
• Sicherstellung des Administratorzugriffs für die Konfiguration

Bereitstellungsstrategie

Schritt 1: Einrichten des Überwachungsmodus

1. Aktivieren Sie den Überwachungsmodus :
– Melden Sie sich bei der AutoElevate Verwaltungskonsole an.
- Navigieren Sie zu den Blocker-Einstellungen.
- Aktivieren Sie den Audit-Modus, um Prozessaktivitäten zu überwachen, ohne Regeln durchzusetzen.

2. Führen Sie Winget-Befehle aus :
- Führen Sie allgemeine Winget-Befehle wie „winget install“ und „winget upgrade --all“ aus.
- Überwachen Sie die Prüfprotokolle, um von Winget ausgelöste Prozesse zu identifizieren.

Schritt 2: Ausführungsprotokolle überprüfen

1. Zugriff auf Prüfprotokolle :
– Navigieren Sie in der AutoElevate Konsole zum Abschnitt „Überwachungsprotokolle“.
- Überprüfen Sie die Protokolle auf Einträge im Zusammenhang mit Winget und seinen untergeordneten Prozessen.

2. Erforderliche Prozesse identifizieren :
– Notieren Sie alle Prozesse, die von Winget ausgelöst werden, z. B. „msiexec.exe“, „powershell.exe“ oder „cmd.exe“.

Schritt 3: Zulassungsregeln erstellen

1. Zulassungsregeln definieren :
– Erstellen Sie in den Blocker-Einstellungen Regeln, um „winget.exe“ und die erforderlichen untergeordneten Prozesse zuzulassen.
- Verwenden Sie Eltern-Kind-Prozessbeziehungen, um sicherzustellen, dass Winget die erforderlichen Installationsprogramme erstellen kann.

2. Beispielregeln :
– Erlauben Sie die Ausführung von „winget.exe“.
- Erlaube „msiexec.exe“, wenn es von „winget.exe“ ausgelöst wird.
- Erlaube „powershell.exe“, wenn es durch „winget.exe“ ausgelöst wird.

Schritt 4: Wechseln Sie in den Live-Modus

1. Live-Modus aktivieren :
- Wenn Sie mit Ihren Zulassungsregeln zufrieden sind, schalten Sie den Blocker vom Prüfmodus in den Livemodus.
- Dadurch werden die Regeln durchgesetzt und alle nicht autorisierten Prozesse blockiert.

Schritt 5: Testen

1. Testen Sie die Winget-Befehle :
- Führen Sie „winget upgrade --all“ in einer PowerShell-Sitzung mit erhöhten Rechten aus.
– Stellen Sie sicher, dass der Befehl ausgeführt wird, ohne UAC-Eingabeaufforderungen auszulösen oder blockiert zu werden.

2. Protokolle überwachen :
- Überwachen Sie die Prüfprotokolle kontinuierlich, um sicherzustellen, dass keine legitimen Prozesse blockiert werden.

## Bereitstellung

1. Konfiguration bereitstellen :
– Wenden Sie die konfigurierten Regeln auf allen Zielcomputern in Ihrer Unternehmensumgebung an.
- Stellen Sie sicher, dass alle Benutzer über die neue Konfiguration informiert sind.

2. Regelmäßige Updates :
- Überprüfen und aktualisieren Sie die Regeln regelmäßig anhand neuer Prüfprotokolle und Prozessaktivitäten.
- Bleiben Sie über Updates der Winget- und AutoElevate Blocker-Funktionen auf dem Laufenden.