Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tyto pokyny jsou určené pro správce IT nebo analytiky zabezpečení zodpovědné za nastavení podnikových pracovních prostředí s cílem distribuovat software napříč několika počítači a udržovat konzistentní úroveň nastavení zabezpečení napříč těmito pracovními počítači.
Mnoho společností používá Microsoft Intune a Microsoft Defender ke správě těchto nastavení zabezpečení. Nastavení WSL a přístup k distribucím Linuxu v tomto kontextu ale vyžaduje určité konkrétní nastavení. Tyto pokyny poskytují informace, které potřebujete vědět, abyste v podnikovém prostředí povolili zabezpečené použití Linuxu se WSL.
Doporučené podnikové nastavení pomocí Microsoft Defenderu for Endpoint, Intune a rozšířených síťových ovládacích prvků
Existují různé způsoby nastavení zabezpečeného podnikového prostředí, ale pro nastavení zabezpečeného prostředí, které využívá WSL, doporučujeme následující.
Požadavky
Abyste mohli začít, ujistěte se, že všechna podniková zařízení mají nainstalované následující minimální verze:
- Windows 10 22H2 nebo novější nebo Windows 11 22H2 nebo vyšší
- Pokročilé síťové funkce jsou dostupné jenom ve Windows 11 22H2 nebo novějších.
-
WSL verze 2.0.9 nebo vyšší
- Verzi WSL můžete zkontrolovat spuštěním příkazu
wsl --version.
- Verzi WSL můžete zkontrolovat spuštěním příkazu
Povolení integrace Microsoft Defenderu for Endpoint (MDE)
Microsoft Defender for Endpoint je podniková platforma zabezpečení koncových bodů navržená tak, aby pomohla podnikovým sítím předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. MDE se teď integruje s WSL jako modulem plug-in WSL, který týmům zabezpečení umožňuje sledovat a průběžně monitorovat události zabezpečení ve všech spuštěných distribucích WSL pomocí programu Defender for Endpoint a zároveň mít minimální dopad na výkon úloh vývojářů.
Další informace o tom, jak začít, najdete v modulu plug-in Microsoft Defender for Endpoint pro WSL .
Konfigurace doporučených nastavení v Intune
Microsoft Intune je cloudové řešení správy koncových bodů. Spravuje přístup uživatelů k prostředkům organizace a zjednodušuje správu aplikací a zařízení na mnoha vašich zařízeních, včetně mobilních zařízení, stolních počítačů a virtuálních koncových bodů. Microsoft Intune můžete použít ke správě zařízení ve vaší organizaci, která teď také zahrnuje správu přístupu k WSL a jeho klíčovým nastavením zabezpečení.
Pokyny k používání Intune ke správě WSL jako součásti Windows a doporučených nastavení najdete v tématu Nastavení Intune pro WSL .
Použití pokročilých síťových funkcí a ovládacích prvků
Od Windows 11 22H2 a WSL 2.0.9 nebo novější se pravidla brány Windows Firewall automaticky použijí pro WSL. Tím se zajistí, že pravidla brány firewall nastavená na hostiteli Windows se automaticky použijí pro všechny distribuce WSL ve výchozím nastavení. Pokyny k přizpůsobení nastavení brány firewall pro WSL najdete v tématu Konfigurace Hyper-V brány firewall.
Kromě toho doporučujeme nakonfigurovat nastavení [wsl2] v .wslconfig souboru tak, aby vyhovovala vašemu konkrétnímu podnikovému scénáři.
Síť v zrcadleném režimu
networkingMode=mirrored umožňuje sítě v zrcadleném režimu. Tento nový síťový režim zlepšuje kompatibilitu se složitými síťovými prostředími, zejména sítěmi VPN a dalšími, a také přidáním podpory nových síťových funkcí nedostupných ve výchozím režimu překladu adres (NAT), jako je IPv6.
Tunelování DNS
dnsTunneling=true změní způsob, jakým WSL získá informace DNS. Toto nastavení zlepšuje kompatibilitu v různých síťových prostředích a využívá virtualizační funkce k získání informací DNS místo síťového paketu. Pokud dochází k problémům s připojením, doporučujeme ho zapnout a může být užitečné zejména při používání sítí VPN, upřesňujících nastavení brány firewall a dalších možností.
Automatický proxy server
autoProxy=true vynucuje WSL, aby používal informace o proxy serveru HTTP systému Windows. Toto nastavení doporučujeme zapnout při použití proxy serveru ve Windows, protože se tento proxy server automaticky použije pro vaše distribuce WSL.
Vytvoření vlastní image WSL
To, co se běžně označuje jako "image", je jednoduše snímek vašeho softwaru a jeho komponent uložených do souboru. V případě subsystému Windows pro Linux by image obsahovala subsystém, jeho distribuce a jakýkoli software a balíčky nainstalované v distribuci.
Pokud chcete začít vytvářet image WSL, nejprve nainstalujte subsystém Windows pro Linux.
Po instalaci si pomocí Microsoft Storu stáhněte a nainstalujte linuxovou distribuci, která je pro vás správná.
Export image WSL
Exportujte vlastní image WSL spuštěním wsl --export <Distro> <FileName> [Options], která zabalí image do souboru tar a připraví ji k distribuci na jiných počítačích. Vlastní distribuce, včetně CentOS, RedHat a dalších, můžete vytvářet pomocí vlastního průvodce distribucí.
Distribuce image WSL
Distribuujte image WSL ze sdílené složky nebo úložného zařízení spuštěním wsl --import <Distro> <InstallLocation> <FileName> [Options]příkazu , který importuje zadaný soubor tar jako novou distribuci.
Aktualizace a oprava linuxových distribucí a balíčků
Pro monitorování a správu uživatelského prostoru linuxu se důrazně doporučuje používat nástroje nástroje nástroje Configuration Manager pro Linux. Existuje řada správců konfigurace Linuxu, ze které si můžete vybrat. Podívejte se na tento blogový příspěvek o spuštění Puppetu rychle ve WSL 2.
Přístup k systému souborů Windows
Když linuxový binární soubor uvnitř WSL přistupuje k souboru Windows, provede to s uživatelskými oprávněními uživatele Systému Windows, který spustil wsl.exe. Takže i když má uživatel s Linuxem kořenový přístup v rámci WSL, nemůže provádět operace na úrovni správce Systému Windows ve Windows, pokud uživatel Systému Windows toto oprávnění nemá. Pokud jde o soubor Windows a spustitelný přístup windows z WSL, spuštění prostředí bash má stejná oprávnění na úrovni zabezpečení jako spuštění powershell z Windows jako tento uživatel.
Podporováno
- Interní sdílení schváleného obrázku pomocí
wsl --importawsl --export - Vytvoření vlastní distribuce WSL pro podnik pomocí úložiště WSL Distro Launcher
- Monitorování událostí zabezpečení uvnitř distribucí WSL pomocí Programu Microsoft Defender for Endpoint (MDE)
- Použití nastavení brány firewall k řízení sítí ve WSL (zahrnuje synchronizaci nastavení brány Windows Firewall s WSL)
- Řízení přístupu k WSL a jeho klíčovým nastavením zabezpečení pomocí zásad Intune nebo skupiny
Tady je seznam funkcí, pro které zatím nemáme podporu, ale prošetřujeme.
Aktuálně nepodporované
Níže je seznam běžně dotazovaných funkcí, které aktuálně nejsou v rámci WSL podporovány. Tyto požadavky jsou v našem backlogu a snažíme se zjistit, jak je přidat.
- Správa aktualizací a oprav distribucí a balíčků Linuxu pomocí nástrojů systému Windows
- Aktualizace Windows také aktualizuje obsah distribuce WSL.
- Řízení, ke kterým distribucím mají uživatelé ve vašem podniku přístup
- Řízení kořenového přístupu pro uživatele
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Windows Subsystem for Linux