Processus de création de règles de blocage avancées : Secure Winget
Un guide complet pour la mise en œuvre de contrôles de sécurité de niveau entreprise pour Winget, couvrant la cartographie des processus, la configuration des règles et les stratégies de déploiement pour empêcher les installations de logiciels non autorisées et les vecteurs d'attaque potentiels.
Written by Owen Parry
Updated at June 9th, 2025
Cet article vous guide dans la configuration de règles plus avancées pour Blocker, en prenant Winget comme exemple. La configuration de Winget avec des règles de sécurité d'entreprise nécessite une approche stratégique pour garantir un déploiement logiciel fluide tout en maintenant une protection système renforcée. Ce guide vous aide à configurer Winget avec des mécanismes de blocage de sécurité avancés afin d'empêcher les installations de logiciels non autorisées et les vecteurs d'attaque potentiels de type « living-off-the-land » (LOTL). En suivant ce guide, vous pouvez garantir le bon fonctionnement de Winget dans votre environnement sécurisé AutoElevate , tout en maintenant une sécurité renforcée contre les attaques LOTL.
Préparation et prérequis
- Installer le bloqueur de sécurité AutoElevate
- Confirmer l'installation de Winget sur les machines cibles
- Assurer l'accès administratif pour la configuration
Stratégie de déploiement
Étape 1 : Configuration du mode audit
2. Exécutez les commandes Winget :
- Exécutez les commandes winget courantes telles que « winget install » et « winget upgrade --all ».
- Surveillez les journaux d'audit pour identifier les processus déclenchés par winget.
Étape 2 : Examiner les journaux d’exécution
1. Accéder aux journaux d'audit :
- Dans la console AutoElevate , accédez à la section des journaux d’audit.
- Examinez les journaux pour les entrées liées à winget et à ses processus enfants.
2. Identifier les processus requis :
- Notez tous les processus déclenchés par winget, tels que « msiexec.exe », « powershell.exe » ou « cmd.exe ».
Étape 3 : Créer des règles d’autorisation
1. Définir les règles d’autorisation :
- Dans les paramètres du bloqueur, créez des règles pour autoriser « winget.exe » et ses processus enfants requis.
- Utilisez les relations de processus parent-enfant pour garantir que winget peut générer les installateurs nécessaires.
2. Exemples de règles :
- Autoriser l'exécution de `winget.exe`.
- Autoriser `msiexec.exe` lorsqu'il est déclenché par `winget.exe`.
- Autoriser `powershell.exe` lorsqu'il est déclenché par `winget.exe`.
Création de règles « Autoriser »
Des instructions supplémentaires sur la gestion et la création de règles, y compris les règles « Autoriser » , sont disponibles ici : Gestion des règles de blocage - CyberFOX
Étape 4 : Passer en mode direct
1. Activer le mode Live :
- Une fois que vous êtes sûr de vos règles d'autorisation, passez le bloqueur du mode audit au mode direct.
- Cela appliquera les règles et bloquera tout processus non autorisé.
Avant la mise en ligne
Veuillez consulter les recommandations supplémentaires avant de passer en direct, y compris en utilisant d'abord notre moteur de recommandation, ici : Guide de démarrage rapide du bloqueur - CyberFOX
Étape 5 : Test
1. Tester les commandes Winget :
- Exécutez « winget upgrade --all » dans une session PowerShell avec privilèges élevés.
- Assurez-vous que la commande s'exécute sans déclencher d'invites UAC ni être bloquée.
2. Journaux de surveillance :
- Surveillez en permanence les journaux d’audit pour vous assurer qu’aucun processus légitime n’est bloqué.
## Déploiement
1. Déployer la configuration :
- Appliquez les règles configurées sur toutes les machines cibles de votre environnement d’entreprise.
- Assurez-vous que tous les utilisateurs sont informés de la nouvelle configuration.
2. Mises à jour régulières :
- Examiner et mettre à jour régulièrement les règles en fonction des nouveaux journaux d’audit et des activités de processus.
- Restez informé des mises à jour des fonctionnalités de winget et AutoElevate Blocker.