Proceso avanzado de creación de reglas de bloqueo: Secure Winget
Una guía completa para implementar controles de seguridad de nivel empresarial para Winget, que cubre el mapeo de procesos, la configuración de reglas y las estrategias de implementación para evitar instalaciones de software no autorizadas y posibles vectores de ataque.
Written by Owen Parry
Updated at June 10th, 2025
Este artículo está diseñado para guiarle en el proceso de configuración de reglas más avanzadas para Blocker, utilizando Winget como ejemplo. Configurar Winget con reglas de seguridad empresariales requiere un enfoque estratégico para garantizar una implementación fluida del software y mantener una sólida protección del sistema. Esta guía le ayuda a configurar Winget con mecanismos avanzados de bloqueo de seguridad para evitar instalaciones de software no autorizadas y posibles vectores de ataque de tipo "living off the land" (LOTL). Siguiendo esta guía, podrá garantizar que Winget funcione sin problemas en su entorno protegido AutoElevate , manteniendo una sólida seguridad contra ataques LOTL.
Preparación y prerrequisitos
- Instalar el bloqueador de seguridad AutoElevate
- Confirmar la instalación de Winget en las máquinas de destino
- Garantizar el acceso administrativo para la configuración
Estrategia de implementación
Paso 1: Configuración del modo de auditoría
2. Ejecute los comandos Winget :
- Ejecute comandos winget comunes como `winget install` y `winget upgrade --all`.
- Supervisar los registros de auditoría para identificar los procesos activados por winget.
Paso 2: Revisar los registros de ejecución
1. Acceder a los registros de auditoría :
- En la consola AutoElevate , navegue hasta la sección de registros de auditoría.
- Revisar los registros en busca de entradas relacionadas con winget y sus procesos secundarios.
2. Identificar los procesos necesarios :
- Anote cualquier proceso que active winget, como `msiexec.exe`, `powershell.exe` o `cmd.exe`.
Paso 3: Crear reglas de permiso
1. Definir reglas de permiso :
- En la configuración del bloqueador, cree reglas para permitir `winget.exe` y sus procesos secundarios requeridos.
- Utilice relaciones de procesos padre-hijo para garantizar que winget pueda generar los instaladores necesarios.
2. Reglas de ejemplo :
- Permitir que se ejecute `winget.exe`.
- Permitir `msiexec.exe` cuando se activa mediante `winget.exe`.
- Permitir `powershell.exe` cuando se activa mediante `winget.exe`.
Creación de reglas de "Permitir"
Puede encontrar instrucciones adicionales sobre cómo administrar y crear reglas, incluidas las reglas "Permitir" , aquí: Administrar reglas de bloqueo - CyberFOX
Paso 4: Cambiar al modo en vivo
1. Habilitar el modo en vivo :
- Una vez que esté seguro de sus reglas de permiso, cambie el bloqueador del modo auditoría al modo en vivo.
- Esto hará cumplir las reglas y bloqueará cualquier proceso no autorizado.
Antes de salir al aire
Revise las recomendaciones adicionales antes de publicar, incluido el uso de nuestro motor de recomendaciones, aquí: Guía de inicio rápido del bloqueador - CyberFOX
Paso 5: Prueba
1. Pruebe los comandos Winget :
- Ejecute `winget upgrade --all` en una sesión de PowerShell elevada.
- Asegúrese de que el comando se ejecute sin activar avisos de UAC ni bloquearse.
2. Monitorear registros :
- Supervisar continuamente los registros de auditoría para garantizar que no se bloqueen procesos legítimos.
## Implementación
1. Implementar configuración :
- Aplique las reglas configuradas en todas las máquinas de destino en su entorno empresarial.
- Asegúrese de que todos los usuarios estén informados sobre la nueva configuración.
2. Actualizaciones periódicas :
- Revisar y actualizar periódicamente las reglas en función de los nuevos registros de auditoría y actividades del proceso.
- Manténgase informado sobre las actualizaciones de las funciones de winget y AutoElevate Blocker.