Entorno empresarial: Configuración del Subsistema de Windows para Linux para tu empresa

Esta guía está pensada para administradores de TI o analistas de seguridad responsables de configurar entornos de trabajo empresariales con el objetivo de distribuir software entre varias máquinas y mantener un nivel coherente de configuración de seguridad en esas máquinas de trabajo.

Muchas empresas usan Microsoft Intune y Microsoft Defender para administrar esta configuración de seguridad. Sin embargo, la configuración de WSL y el acceso a distribuciones de Linux en este contexto requiere una configuración específica. Esta guía proporciona lo que necesita saber para habilitar el uso seguro de Linux con WSL en un entorno empresarial.

Configuración empresarial recomendada con Microsoft Defender para punto de conexión, Intune y controles de redes avanzadas

Hay varias maneras de configurar un entorno empresarial seguro, pero se recomienda lo siguiente para configurar un entorno seguro que use WSL.

Requisitos previos

Para empezar, asegúrese de que todos los dispositivos empresariales tengan instaladas las siguientes versiones mínimas:

• Windows 10 22H2 o posterior, o Windows 11 22H2 o posterior
  • Las características avanzadas de red solo están disponibles en Windows 11 22H2 o versiones posteriores.
• WSL versión 2.0.9 o posterior
  • Puede comprobar la versión de WSL ejecutando wsl --version.

Habilitación de la integración de Microsoft Defender para punto de conexión (MDE)

Microsoft Defender para punto de conexión es una plataforma de seguridad empresarial para puntos de conexión diseñada para evitar, detectar, investigar y responder a amenazas avanzadas. MDE ahora se integra con WSL como complemento WSL, lo que permite a los equipos de seguridad ver y supervisar continuamente los eventos de seguridad en todas las distribuciones de WSL en ejecución con Defender para punto de conexión, a la vez que afecta al rendimiento mínimo en las cargas de trabajo del desarrollador.

Vea Microsoft Defender para punto de conexión complemento para WSL para obtener más información sobre cómo empezar.

Configuración de las opciones recomendadas con Intune

Microsoft Intune es una solución de administración de puntos de conexión basada en la nube. Administra el acceso de los usuarios a los recursos de la organización y simplifica la administración de aplicaciones y dispositivos en todos los dispositivos, incluidos los dispositivos móviles, los equipos de escritorio y los puntos de conexión virtuales. Puede usar Microsoft Intune para administrar dispositivos dentro de su organización, que ahora también incluye la administración del acceso a WSL y su configuración de seguridad clave.

Vea Configuración de Intune para WSL para obtener instrucciones sobre el uso de InTune para administrar WSL como componente de Windows y la configuración recomendada.

Uso de características y controles avanzados de red

A partir de Windows 11 22H2 y WSL 2.0.9 o posterior, las reglas de firewall de Windows se aplicarán automáticamente a WSL. Esto garantiza que las reglas de firewall establecidas en el host de Windows se aplicarán automáticamente a todas las distribuciones de WSL de forma predeterminada. Para obtener instrucciones sobre cómo personalizar la configuración del firewall para WSL, visite Configuración del firewall de Hyper-V.

Además, se recomienda establecer configuraciones en [wsl2] en el archivo .wslconfig para adaptarse a su escenario empresarial específico.

Redes en modo reflejado

networkingMode=mirrored habilita las redes en modo reflejado. Este nuevo modo de red mejora la compatibilidad con entornos de red complejos, especialmente VPN y mucho más, así como la adición de compatibilidad con nuevas características de red que no están disponibles en el modo NAT predeterminado, como IPv6.

Tunelización de DNS

dnsTunneling=true cambia la forma en que WSL obtiene información de DNS. Esta configuración mejora la compatibilidad en diferentes entornos de red y usa características de virtualización para obtener información de DNS en lugar de un paquete de red. Se recomienda activarlo si experimenta algún problema de conectividad y puede resultar especialmente útil al usar VPN, configuración avanzada del firewall, etc.

Proxy automático

autoProxy=true exige que WSL use la información del proxy HTTP de Windows. Se recomienda activar esta configuración al usar un proxy en Windows, ya que hará que ese proxy se aplique automáticamente a las distribuciones de WSL.

Creación de una imagen de WSL personalizada

Lo que se conoce comúnmente como una "imagen" no es más que una instantánea del software y sus componentes guardada en un archivo. En el caso del Subsistema de Windows para Linux, la imagen constaría del subsistema, sus distribuciones y el software y los paquetes instalados en la distribución.

Para empezar a crear la imagen de WSL, primero instale el Subsistema de Windows para Linux.

Una vez instalado, use Microsoft Store para Empresas para descargar e instalar la distribución de Linux adecuada para usted. Crear una cuenta con Microsoft Store para Empresas.

Exportación de la imagen de WSL

Ejecute wsl --export <Distro> <FileName> para exportar la imagen de WSL personalizada. Esto encapsulará la imagen en un archivo .tar y la preparará para su distribución en otras máquinas. Puede crear distribuciones personalizadas, como CentOS, RedHat y mucho más mediante la guía de distribución personalizada.

Distribución de la imagen de WSL

Ejecute wsl --import <Distro> <InstallLocation> <FileName> para distribuir la imagen de WSL desde un recurso compartido o un dispositivo de almacenamiento. Esto importará el archivo .tar especificado como una nueva distribución.

Actualización y revisión de distribuciones y paquetes de Linux

Se recomienda usar las herramientas de administrador de configuración de Linux para supervisar y administrar el espacio de usuario de Linux. Hay una gran variedad de administradores de configuración de Linux entre los que elegir. Vea esta entrada de blog sobre Running Puppet rápidamente en WSL 2.

Acceso al sistema de archivos de Windows

Cuando un binario de Linux dentro de WSL accede a un archivo de Windows, lo hace con los permisos de usuario del usuario de Windows que ejecutó wsl.exe. Por lo tanto, aunque un usuario de Linux tenga acceso raíz dentro de WSL, no podrá realizar operaciones de nivel de administrador de Windows en Windows si el usuario de Windows no tiene esos permisos. Con respecto al acceso ejecutable de Windows y archivos de Windows desde WSL, ejecutar un shell como bash tiene los mismos permisos de nivel de seguridad que ejecutar powershell desde Windows que ese usuario.

Compatible

• Uso interno compartido de una imagen aprobada mediante wsl --import y wsl --export
• Creación de una distribución de WSL propia para su empresa con el repositorio del iniciador de distribuciones de WSL
• Supervisión de eventos de seguridad dentro de distribuciones de WSL mediante Microsoft Defender para punto de conexión (MDE)
• Usar la configuración del firewall para controlar las redes en WSL (incluye la sincronización de la configuración del firewall de Windows con WSL)
• Controlar el acceso a WSL y su configuración de seguridad clave con Intune o directiva de grupo

Esta es una lista de las características que aún no admitimos, pero estamos investigando.

No se admiten actualmente.

A continuación se muestra una lista de las características solicitadas con más frecuencia que actualmente no se admiten en WSL. Estas solicitudes se encuentran en nuestro trabajo pendiente y estamos investigando cómo agregarlas.

• Administración de actualizaciones y revisiones de las distribuciones y los paquetes de Linux mediante herramientas de Windows
• Actualización del contenido de distribuciones de WSL mediante Windows Update
• Control de las distribuciones a las que pueden acceder los usuarios de la empresa
• Control del acceso raíz para los usuarios