English version: SECURITY.en.md
Этот проект - PowerShell-обертка для установки Windows Admin Center на клиентские системы Windows. Он не распространяет бинарники Microsoft Windows Admin Center. Установщик скачивает официальный установщик Microsoft во время работы либо принимает локальный путь к установщику, который пользователь передал явно.
После публикации используйте GitHub Security Advisories в репозитории, если эта функция включена. Если приватные advisories еще недоступны, откройте минимальный публичный issue без деталей эксплуатации и чувствительных диагностических данных и запросите приватный канал для передачи подробностей.
Не публикуйте подробности, по которым уязвимость можно воспроизвести или использовать, до разбора проблемы и появления исправления или пути снижения риска.
Не публикуйте в публичных issue чувствительные журналы, приватные ключи сертификатов, имена локальных учетных записей и машинно-специфичные пути. Перед отправкой диагностических данных удаляйте или заменяйте локальные пути, имена хостов, имена учетных записей, отпечатки сертификатов и IP-адреса.
Во время установки сценарий может включить WinRM, добавить правила брандмауэра, зарегистрировать привязки HTTP.SYS, создать или доверить самоподписанный сертификат и запустить службы от имени NETWORK SERVICE. Перед применением изменений проверьте экран итогового плана установки.
Официальный установщик Microsoft Windows Admin Center перед распаковкой проверяется через Authenticode. Подпись должна быть действительной, а сертификат подписанта должен содержать O=Microsoft Corporation. Эта проверка применяется и к локальному установщику, и к скачанному; она не заменяет EULA Microsoft и лицензионные условия.
Если используется -TrustSelfSignedCertificate, созданный или повторно использованный самоподписанный сертификат добавляется в Cert:\LocalMachine\Root. Это машинное хранилище доверенных корневых сертификатов: добавление сертификата туда заставляет Windows доверять цепочкам, которые заканчиваются этим сертификатом. Приватный ключ остается в Cert:\LocalMachine\My, а установщик выдает NETWORK SERVICE доступ к этому ключу, чтобы служба WAC могла его использовать.
При удалении сценарий убирает службы Windows Admin Center, привязки HTTP.SYS, правила брандмауэра и служебные файлы проекта, но не удаляет сертификаты из Cert:\LocalMachine\My или Cert:\LocalMachine\Root автоматически. Проверьте эти хранилища по отпечатку и удалите сертификат вручную, если больше ему не доверяете.
Если включено управление TrustedHosts, установщик может изменить значение WinRM client TrustedHosts. Широкие значения вроде * означают, что WinRM-клиент может доверять любому удаленному хосту в сценариях workgroup/NTLM; это не означает, что веб-сервер WAC открыт для всех, но это все равно чувствительная настройка локальной машины. Установщик сохраняет предыдущее значение в служебном файле проекта, а удаление восстанавливает его только если текущее значение все еще равно *; если после установки значение изменилось, удаление оставляет его как есть. Проверьте настройку после тестов.