Geavanceerd proces voor het maken van blokkeringsregels: Secure Winget
Een uitgebreide handleiding voor het implementeren van beveiligingsmaatregelen op ondernemingsniveau voor Winget, met aandacht voor procestoewijzing, configuratie van regels en implementatiestrategieën om ongeautoriseerde software-installaties en potentiële aanvalsvectoren te voorkomen.
Written by Owen Parry
Updated at June 9th, 2025
Dit artikel is bedoeld om u te begeleiden bij het instellen van geavanceerdere regels voor Blocker, met Winget als voorbeeld. Het instellen van Winget met beveiligingsregels voor bedrijven vereist een strategische aanpak om een soepele software-implementatie te garanderen en tegelijkertijd een sterke systeembeveiliging te behouden. Deze handleiding helpt u Winget te configureren met geavanceerde beveiligingsblokkeringsmechanismen om ongeautoriseerde software-installaties en potentiële living-off-the-land (LOTL)-aanvalsvectoren te voorkomen. Door deze handleiding te volgen, kunt u ervoor zorgen dat Winget soepel werkt binnen uw AutoElevate beveiligde omgeving en tegelijkertijd een sterke beveiliging tegen LOTL-aanvallen behoudt.
Voorbereiding en vereisten
- Installeer AutoElevate beveiligingsblokkering
- Bevestig Winget-installatie op doelmachines
- Zorg voor administratieve toegang voor configuratie
Implementatiestrategie
Stap 1: Auditmodus instellen
2. Voer Winget-opdrachten uit :
- Voer algemene winget-opdrachten uit, zoals `winget install` en `winget upgrade --all`.
- Controleer de auditlogs om processen te identificeren die door winget worden geactiveerd.
Stap 2: Uitvoeringslogboeken bekijken
1. Toegang tot auditlogs :
- Navigeer in de AutoElevate console naar het gedeelte Auditlogs.
- Controleer logboeken op vermeldingen met betrekking tot winget en de onderliggende processen.
2. Identificeer de vereiste processen :
- Noteer alle processen die door winget worden geactiveerd, zoals `msiexec.exe`, `powershell.exe` of `cmd.exe`.
Stap 3: Toestaanregels maken
1. Definieer de regels voor toestaan :
- Maak in de Blocker-instellingen regels om `winget.exe` en de vereiste onderliggende processen toe te staan.
- Gebruik ouder-kindprocesrelaties om ervoor te zorgen dat winget de benodigde installatieprogramma's kan genereren.
2. Voorbeeldregels :
- Sta toe dat `winget.exe` wordt uitgevoerd.
- `msiexec.exe` toestaan wanneer geactiveerd door `winget.exe`.
- `powershell.exe` toestaan wanneer geactiveerd door `winget.exe`.
"Toestaan"-regels maken
Aanvullende instructies over het beheren en maken van regels, inclusief 'Toestaan'- regels, vindt u hier: Blocker-regels beheren - CyberFOX
Stap 4: Schakel over naar de livemodus
1. Live-modus inschakelen :
- Zodra u zeker bent van uw toestemmingsregels, schakelt u de Blocker van de auditmodus naar de livemodus.
- Hiermee worden de regels afgedwongen en worden ongeautoriseerde processen geblokkeerd.
Voordat u live gaat
Bekijk de aanvullende aanbevelingen voordat u 'Live' gaat, inclusief het eerst gebruiken van onze aanbevelingsengine, hier: Blocker Quickstart Guide - CyberFOX
Stap 5: Testen
1. Test Winget-opdrachten :
- Voer `winget upgrade --all` uit in een verhoogde PowerShell-sessie.
- Zorg ervoor dat de opdracht wordt uitgevoerd zonder dat UAC-prompts worden geactiveerd of dat deze wordt geblokkeerd.
2. Monitorlogboeken :
- Controleer voortdurend de auditlogs om er zeker van te zijn dat er geen legitieme processen worden geblokkeerd.
## Inzet
1. Configuratie implementeren :
- Pas de geconfigureerde regels toe op alle doelmachines in uw bedrijfsomgeving.
- Zorg ervoor dat alle gebruikers op de hoogte zijn van de nieuwe configuratie.
2. Regelmatige updates :
- Controleer en actualiseer de regels regelmatig op basis van nieuwe auditlogs en procesactiviteiten.
- Blijf op de hoogte van updates voor winget- en AutoElevate Blocker-functies.