Processo di creazione di regole di blocco avanzate: Secure Winget
Una guida completa all'implementazione di controlli di sicurezza di livello aziendale per Winget, che comprende la mappatura dei processi, la configurazione delle regole e le strategie di distribuzione per impedire installazioni di software non autorizzate e potenziali vettori di attacco.
Written by Owen Parry
Updated at June 10th, 2025
Questo articolo è pensato per guidarvi attraverso il processo di configurazione di regole più avanzate per Blocker, utilizzando Winget come esempio. Configurare Winget con regole di sicurezza aziendale richiede un approccio strategico per garantire un'implementazione software fluida, mantenendo al contempo una solida protezione del sistema. Questa guida vi aiuterà a configurare Winget con meccanismi di blocco di sicurezza avanzati per prevenire installazioni software non autorizzate e potenziali vettori di attacco LOTL (Living-off-the-Land). Seguendo questa guida, potrete garantire il corretto funzionamento di Winget all'interno del vostro ambiente protetto AutoElevate , mantenendo al contempo una solida sicurezza contro gli attacchi LOTL.
Preparazione e prerequisiti
- Installa il blocco di sicurezza AutoElevate
- Conferma l'installazione di Winget sulle macchine di destinazione
- Garantire l'accesso amministrativo per la configurazione
Strategia di distribuzione
Passaggio 1: configurazione della modalità di controllo
2. Esegui i comandi Winget :
- Eseguire i comandi winget più comuni, come `winget install` e `winget upgrade --all`.
- Monitorare i registri di controllo per identificare i processi attivati da winget.
Passaggio 2: rivedere i registri di esecuzione
1. Accedi ai registri di controllo :
- Nella console AutoElevate , accedere alla sezione dei registri di controllo.
- Esaminare i registri per le voci relative a winget e ai suoi processi figlio.
2. Identificare i processi richiesti :
- Annotare tutti i processi attivati da winget, come `msiexec.exe`, `powershell.exe` o `cmd.exe`.
Passaggio 3: creare regole di autorizzazione
1. Definisci le regole di autorizzazione :
- Nelle impostazioni del Blocco, crea regole per consentire `winget.exe` e i relativi processi figlio necessari.
- Utilizzare relazioni di processo padre-figlio per garantire che winget possa generare i programmi di installazione necessari.
2. Regole di esempio :
- Consentire l'esecuzione di `winget.exe`.
- Consenti `msiexec.exe` quando attivato da `winget.exe`.
- Consenti `powershell.exe` quando attivato da `winget.exe`.
Creazione di regole "Consenti"
Ulteriori istruzioni sulla gestione e la creazione di regole, incluse le regole "Consenti" , sono disponibili qui: Gestione delle regole di blocco - CyberFOX
Passaggio 4: passare alla modalità Live
1. Abilita la modalità Live :
- Una volta che sei sicuro delle tue regole di autorizzazione, cambia Blocker dalla modalità di controllo alla modalità live.
- Ciò farà rispettare le regole e bloccherà tutti i processi non autorizzati.
Prima di andare in diretta
Si prega di rivedere ulteriori raccomandazioni prima di andare in onda, incluso l'utilizzo del nostro motore di raccomandazione, qui: Guida rapida al blocco - CyberFOX
Fase 5: Test
1. Prova i comandi Winget :
- Eseguire `winget upgrade --all` in una sessione di PowerShell con privilegi elevati.
- Assicurarsi che il comando venga eseguito senza attivare richieste UAC o essere bloccato.
2. Monitorare i registri :
- Monitorare costantemente i registri di controllo per garantire che nessun processo legittimo venga bloccato.
## Distribuzione
1. Configurazione di distribuzione :
- Applica le regole configurate su tutte le macchine di destinazione nel tuo ambiente aziendale.
- Assicurarsi che tutti gli utenti siano informati della nuova configurazione.
2. Aggiornamenti regolari :
- Rivedere e aggiornare regolarmente le regole in base ai nuovi registri di controllo e alle nuove attività di processo.
- Rimani informato sugli aggiornamenti delle funzionalità di winget e AutoElevate Blocker.