Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Te wskazówki są przeznaczone dla administratorów IT lub analityków zabezpieczeń odpowiedzialnych za konfigurowanie środowisk roboczych przedsiębiorstwa w celu dystrybucji oprogramowania na wielu maszynach i utrzymania spójnego poziomu ustawień zabezpieczeń na tych maszynach roboczych.
Wiele firm używa usług Microsoft Intune i Microsoft Defender do zarządzania tymi ustawieniami zabezpieczeń. Jednak skonfigurowanie protokołu WSL i uzyskiwanie dostępu do dystrybucji systemu Linux w tym kontekście wymaga określonej konfiguracji. Te wskazówki zawierają informacje, które należy wiedzieć, aby umożliwić bezpieczne korzystanie z systemu Linux z usługą WSL w środowisku przedsiębiorstwa.
Zalecana konfiguracja przedsiębiorstwa za pomocą usługi Microsoft Defender dla punktów końcowych, usługi Intune i zaawansowanych mechanizmów kontroli sieci
Istnieje wiele sposobów konfigurowania bezpiecznego środowiska przedsiębiorstwa, ale zalecamy skonfigurowanie bezpiecznego środowiska korzystającego z protokołu WSL.
Wymagania wstępne
Aby rozpocząć pracę, upewnij się, że wszystkie urządzenia w przedsiębiorstwie mają zainstalowane następujące minimalne wersje:
- Windows 10 22H2 lub nowszy lub Windows 11 22H2 lub nowszy
- Zaawansowane funkcje sieciowe są dostępne tylko w systemie Windows 11 22H2 lub nowszym.
-
WSL w wersji 2.0.9 lub nowszej
- Możesz sprawdzić wersję programu WSL, uruchamiając polecenie
wsl --version.
- Możesz sprawdzić wersję programu WSL, uruchamiając polecenie
Włączanie integracji z usługą Microsoft Defender for Endpoint (MDE)
Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń punktu końcowego przedsiębiorstwa zaprojektowana w celu ułatwienia sieciom przedsiębiorstwa zapobiegania, wykrywania, badania i reagowania na zaawansowane zagrożenia. Rozwiązanie MDE jest teraz integrowane z usługą WSL jako wtyczką WSL, która umożliwia zespołom ds. zabezpieczeń ciągłe monitorowanie zdarzeń zabezpieczeń we wszystkich uruchomionych dystrybucjach WSL z usługą Defender for Endpoint przy minimalnym wpływie na wydajność obciążeń deweloperskich.
Aby dowiedzieć się więcej na temat rozpoczynania pracy, zobacz Wtyczka usługi Microsoft Defender dla punktu końcowego dla programu WSL .
Konfigurowanie zalecanych ustawień za pomocą usługi Intune
Microsoft Intune to oparte na chmurze rozwiązanie do zarządzania punktami końcowymi. Zarządza ono dostępem użytkowników do zasobów organizacji oraz upraszcza zarządzanie aplikacjami i urządzeniami na wielu urządzeniach, a w tym na urządzeniach przenośnych, komputerach stacjonarnych i wirtualnych punktach końcowych. Za pomocą usługi Microsoft Intune można zarządzać urządzeniami w organizacji, co obejmuje również zarządzanie dostępem do usługi WSL i jej kluczowych ustawień zabezpieczeń.
Zobacz Ustawienia usługi Intune dla programu WSL , aby uzyskać wskazówki dotyczące używania usługi Intune do zarządzania usługą WSL jako składnikiem systemu Windows i zalecanymi ustawieniami.
Korzystanie z zaawansowanych funkcji sieciowych i kontrolek
Począwszy od systemów Windows 11 22H2 i WSL 2.0.9 lub nowszych, reguły zapory systemu Windows będą automatycznie stosowane do systemu WSL. Dzięki temu reguły zapory ustawione na hoście systemu Windows będą automatycznie stosowane do wszystkich dystrybucji WSL domyślnie. Aby uzyskać wskazówki dotyczące dostosowywania ustawień zapory dla protokołu WSL, zobacz Konfigurowanie zapory Hyper-V.
Ponadto zalecamy skonfigurowanie ustawień w obszarze [wsl2] w pliku w celu dopasowania do konkretnego .wslconfig scenariusza przedsiębiorstwa.
Sieć w trybie lustrzanym
networkingMode=mirrored włącza sieć w trybie dublowania. Ten nowy tryb sieciowy zwiększa zgodność ze złożonymi środowiskami sieciowymi, zwłaszcza sieci VPN i nie tylko, a także dodaje obsługę nowych funkcji sieciowych niedostępnych w domyślnym trybie NAT, takim jak IPv6.
Tunelowanie DNS
dnsTunneling=true zmienia sposób uzyskiwania informacji DNS przez program WSL. To ustawienie poprawia zgodność w różnych środowiskach sieciowych i korzysta z funkcji wirtualizacji w celu uzyskania informacji DNS, a nie pakietu sieciowego. Zaleca się włączenie tej opcji w przypadku wystąpienia problemów z łącznością i może być szczególnie przydatne w przypadku korzystania z sieci VPN, zaawansowanych ustawień zapory i nie tylko.
Automatyczny serwer proxy
autoProxy=true wymusza protokół WSL do korzystania z informacji serwera proxy HTTP systemu Windows. Zalecamy włączenie tego ustawienia podczas korzystania z serwera proxy w systemie Windows, ponieważ spowoduje to automatyczne zastosowanie tego serwera proxy do dystrybucji WSL.
Tworzenie niestandardowego obrazu WSL
To, co jest często określane jako "obraz", to po prostu migawka oprogramowania i jego składników zapisanych w pliku. W przypadku podsystemu Windows dla systemu Linux obraz składa się z podsystemu, jego dystrybucji oraz oprogramowania i pakietów zainstalowanych w dystrybucji.
Aby rozpocząć tworzenie obrazu WSL, najpierw zainstaluj podsystem Windows dla systemu Linux.
Po zainstalowaniu użyj sklepu Microsoft Store , aby pobrać i zainstalować dystrybucję systemu Linux, która jest odpowiednia dla Ciebie.
Eksportowanie obrazu WSL
Wyeksportuj niestandardowy obraz WSL, uruchamiając wsl --export <Distro> <FileName> [Options] polecenie, co spowoduje zapisanie obrazu w pliku tar i przygotowanie go do dystrybucji do innych maszyn. Możesz tworzyć dystrybucje niestandardowe, w tym CentOS, RedHat i nie tylko, korzystając z niestandardowego przewodnika dystrybucji.
Dystrybucja obrazu WSL
Dystrybuuj obraz WSL z udziału lub urządzenia pamięci masowej, uruchamiając polecenie wsl --import <Distro> <InstallLocation> <FileName> [Options], aby zaimportować określony plik tar jako nową dystrybucję.
Aktualizowanie i stosowanie poprawek dystrybucji i pakietów systemu Linux
Korzystanie z narzędzi programu Configuration Manager systemu Linux jest zdecydowanie zalecane do monitorowania przestrzeni użytkownika systemu Linux i zarządzania nią. Istnieje wiele menedżerów konfiguracji systemu Linux do wyboru. Zobacz ten wpis w blogu na temat szybkiego uruchamiania platformy Puppet w programie WSL 2.
Dostęp do systemu plików systemu Windows
Gdy plik binarny systemu Linux wewnątrz programu WSL uzyskuje dostęp do pliku systemu Windows, robi to z uprawnieniami użytkownika systemu Windows, który uruchomił wsl.exepolecenie . Mimo że użytkownik systemu Linux ma dostęp do katalogu głównego w programie WSL, nie może wykonywać operacji na poziomie administratora systemu Windows w systemie Windows, jeśli użytkownik systemu Windows nie ma tych uprawnień. Jeśli chodzi o dostęp do plików systemu Windows i plików wykonywalnych systemu Windows z poziomu WSL, uruchomienie powłoki bash podobnej do tych samych uprawnień na poziomie zabezpieczeń co system powershell Windows jako ten użytkownik.
Wsparte
- Udostępnianie zatwierdzonego obrazu wewnętrznie przy użyciu elementów
wsl --importiwsl --export - Tworzenie własnej dystrybucji WSL dla przedsiębiorstwa przy użyciu repozytorium WSL Distro Launcher
- Monitorowanie zdarzeń zabezpieczeń wewnątrz dystrybucji WSL przy użyciu usługi Microsoft Defender for Endpoint (MDE)
- Używanie ustawień zapory do kontrolowania sieci w programie WSL (obejmuje synchronizowanie ustawień zapory systemu Windows z usługą WSL)
- Kontrolowanie dostępu do protokołu WSL i jego kluczowych ustawień zabezpieczeń przy użyciu usługi Intune lub zasad grupy
Oto lista funkcji, dla których jeszcze nie obsługujemy, ale badamy.
Obecnie nieobsługiwane
Poniżej znajduje się lista często zadawanych funkcji, które są obecnie nieobsługiwane w programie WSL. Te żądania znajdują się na naszej liście prac i badamy sposoby ich dodawania.
- Zarządzanie aktualizacjami i stosowaniem poprawek dystrybucji i pakietów systemu Linux przy użyciu narzędzi systemu Windows
- Aktualizacja systemu Windows umożliwia również aktualizowanie zawartości dystrybucji WSL
- Kontrolowanie, do których dystrybucji użytkownicy w przedsiębiorstwie mogą uzyskiwać dostęp
- Kontrolowanie dostępu głównego dla użytkowników
Współpracuj z nami na GitHub
Źródło tej treści można znaleźć na GitHubie, gdzie można także tworzyć i przeglądać problemy oraz pull requesty. Więcej informacji znajdziesz w naszym przewodniku dla współautorów.
Windows Subsystem for Linux