您現在可以使用 Intune 之類的管理工具,將 WSL 管理為 Windows 元件。
若要存取這些設定,請流覽至您的 Microsoft Intune 系統管理中心入口網站,然後選取:裝置 - 組態設定檔 ->> 建立 -> 新增原則 -> Windows 10 和更新版本 -> 設定目錄,建立新配置檔的名稱,並搜尋 「適用於 Linux 的 Windows 子系統」,以查看並新增可用設定的完整清單。
建議的設定
若要在企業環境中最大化安全性,建議您指定下列設定:
| 設定名稱 | 價值觀 | 說明 |
|---|---|---|
| 允許適用於Linux的 Windows 子系統收件匣版本 | 已停用 | 當設定為停用時,此原則會停用 Windows 子系統 Linux 版的收件匣版本(選用元件)。 如果停用此原則,則只能使用 WSL 的存放區版本。 在這裡深入瞭解市集 WSL 與收件匣 WSL 之間的差異 |
| 允許 WSL1 | 已停用 | 當設定為停用時,此原則會停用 WSL1。 停用時,只能使用 WSL2 散發套件。 |
| 允許偵錯殼層 | 已停用 | 當設定為停用時,此原則會停用偵錯殼層 (wsl.exe --debug-shell)。 此原則僅適用於市集 WSL。 |
| 允許自定義核心設定 | 已停用 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.kernel) 停用自定義核心組態。 此原則僅適用於市集 WSL。 |
| 允許核心命令行設定 | 已停用 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.kernelCommandLine) 停用核心命令行組態。 此原則僅適用於市集 WSL。 |
| 允許自定義系統散發組態 | 已停用 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.systemDistro) 停用自定義系統散發組態。 此原則僅適用於市集 WSL。 |
| 允許自定義網路設定 | 已停用 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.networkingmode) 停用自定義網路設定。 此原則僅適用於市集 WSL。 |
| 允許用戶設定防火牆設定 | 已停用 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.firewall) 停用防火牆組態。 此原則僅適用於市集 WSL。 |
| 允許巢狀虛擬化 | 已停用 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.nestedVirtualization) 停用巢狀虛擬化組態。 此原則僅適用於市集 WSL。 |
| 允許核心偵錯 | 已停用 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.kernelDebugPort) 停用核心偵錯組態。 此原則僅適用於市集 WSL。 |
控制 WSL 的存取
AllowWSL、 AllowInboxWSL和 AllowWSL1 設定可控制使用者對 WSL 的存取。 您可以設定這些設定,以啟用或停用 WSL、WSL 1 散發版本或 WSL 本身的 Windows 版本存取。
這可讓您設定 WSL,以確保使用者只使用最新版本的 WSL 搭配企業功能支援。
控制 WSL 命令
AllowDebugShell 並 AllowDiskMount 控制使用者是否可以執行 wsl --debug-shell 和 wsl --mount 命令。 深入瞭解如何使用 命令 在 WSL 2wsl --mount 中掛接磁碟。
在中控制 WSL 設定的存取 .wslconfig
最後一組設定,最後一組設定結束 *UserSettingConfigurable 於 中 .wslconfig控制 WSL 進階設定的存取權。 當這些設定為停用時,使用者就只能使用該設定的預設值,而且無法將它設定為自定義值。 深入瞭解 .wslconfig 的組態設定,包括可針對使用 WSL 2 執行的所有 Linux 散發套件全域設定的設定清單。
可用設定的完整清單
| 設定名稱 | 說明 |
|---|---|
| 允許適用於Linux的 Windows 子系統 | 當設定為停用時,此原則會停用計算機上所有使用者的 Windows 子系統 Linux 存取權。 |
| 允許適用於Linux的 Windows 子系統收件匣版本 | 當設定為停用時,此原則會停用 Windows 子系統 Linux 版的收件匣版本(選用元件)。 如果停用此原則,則只能使用 WSL 的存放區版本。 |
| 允許 WSL1 | 當設定為停用時,此原則會停用 WSL1。 停用時,只能使用 WSL2 散發套件。 |
| 允許偵錯殼層 | 當設定為停用時,此原則會停用偵錯殼層 (wsl.exe --debug-shell)。 此原則僅適用於市集 WSL。 |
| 允許傳遞磁碟掛接 | 當設定為停用時,此原則會停用 WSL2 中的傳遞磁碟掛接(wsl.exe --mount)。 此原則僅適用於市集 WSL。 |
| 允許自定義核心設定 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.kernel) 停用自定義核心組態。 此原則僅適用於市集 WSL。 |
| 允許核心命令行設定 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.kernelCommandLine) 停用核心命令行組態。 此原則僅適用於市集 WSL。 |
| 允許自定義系統散發組態 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.systemDistro) 停用自定義系統散發組態。 此原則僅適用於市集 WSL。 |
| 允許自定義網路設定 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.networkingmode) 停用自定義網路設定。 此原則僅適用於市集 WSL。 |
| 允許用戶設定防火牆設定 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.firewall) 停用防火牆組態。 此原則僅適用於市集 WSL。 |
| 允許巢狀虛擬化 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.nestedVirtualization) 停用巢狀虛擬化組態。 此原則僅適用於市集 WSL。 |
| 允許核心偵錯 | 當設定為停用時,此原則會透過 .wslconfig (wsl2.kernelDebugPort) 停用核心偵錯組態。 此原則僅適用於市集 WSL。 |
使用組策略設定
WSL 原則是由可從 GitHub 下載的 WSL ADMX 檔案 所定義。
ADMX 檔案可以手動匯入,並用來在本機計算機上管理組策略, 請參閱 ADMX 檔頁面 以深入瞭解該程式。
