Environnement d’entreprise : installer le sous-système Windows pour Linux pour votre entreprise
Ce guide est destiné aux administrateurs informatiques ou aux analystes de sécurité chargés de configurer des environnements de travail d’entreprise dans le but de distribuer des logiciels sur plusieurs ordinateurs et de maintenir un niveau cohérent de paramètres de sécurité sur ces machines professionnelles.
De nombreuses entreprises utilisent Microsoft Intune et Microsoft Defender pour gérer ces paramètres de sécurité. Toutefois, la configuration de WSL et l’accès aux distributions Linux dans ce contexte nécessitent une configuration spécifique. Ce guide fournit ce que vous devez savoir pour activer l’utilisation sécurisée de Linux avec WSL dans un environnement d’entreprise.
Configuration d’entreprise recommandée avec Microsoft Defender for Endpoint, Intune et Advanced Networking Controls
Il existe différentes façons de configurer un environnement d’entreprise sécurisé, mais nous vous recommandons de configurer un environnement sécurisé qui utilise WSL.
Conditions préalables
Pour commencer, vérifiez que tous les appareils d’entreprise disposent des versions minimales suivantes :
- Windows 10 22H2 ou version ultérieure, ou Windows 11 22H2 ou version ultérieure
- Les fonctionnalités réseau avancées sont disponibles uniquement sur Windows 11 22H2 ou version ultérieure.
- WSL version 2.0.9 ou ultérieure
- Vous pouvez vérifier la version WSL en exécutant
wsl --version.
- Vous pouvez vérifier la version WSL en exécutant
Activer l’intégration de Microsoft Defender pour point de terminaison (MDE)
Microsoft Defender pour point de terminaison est une plateforme de sécurité des points de terminaison d’entreprise conçue pour aider les réseaux d’entreprise à prévenir, détecter, enquêter et répondre aux menaces avancées. MDE s’intègre désormais à WSL en tant que plug-in WSL , ce qui permet aux équipes de sécurité de voir et de surveiller en permanence les événements de sécurité dans toutes les distributions WSL en cours d’exécution avec Defender pour point de terminaison tout en ayant un impact minimal sur les performances des charges de travail des développeurs.
Consultez plug-in Microsoft Defender pour point de terminaison pour WSL pour en savoir plus sur la prise en main.
Configurer les paramètres recommandés avec Intune
Microsoft Intune est une solution de gestion des points de terminaison basée sur le cloud. Il gère l’accès utilisateur aux ressources organisationnelles et simplifie la gestion des applications et des appareils sur vos nombreux appareils, notamment les appareils mobiles, les ordinateurs de bureau et les points de terminaison virtuels. Vous pouvez utiliser Microsoft Intune pour gérer les appareils au sein de votre organisation, ce qui inclut désormais la gestion de l’accès à WSL et à ses paramètres de sécurité clés.
Consultez paramètres Intune pour WSL pour obtenir des conseils sur l’utilisation de InTune pour gérer WSL en tant que composant Windows et les paramètres recommandés.
Utiliser des fonctionnalités et des contrôles de mise en réseau avancées
À partir de Windows 11 22H2 et WSL 2.0.9 ou version ultérieure, les règles de pare-feu Windows s’appliquent automatiquement à WSL. Cela garantit que les règles de pare-feu définies sur l’hôte Windows s’appliquent automatiquement à toutes les distributions WSL par défaut. Pour obtenir des conseils sur la personnalisation des paramètres de pare-feu pour WSL, visitez Configurer le pare-feu Hyper-V.
En outre, nous vous recommandons de configurer paramètres sous [wsl2] dans le .wslconfigfichier pour répondre à votre scénario Entreprise spécifique.
Mise en réseau en mode mise en miroir
networkingMode=mirrored active la mise en réseau en mode miroir. Ce nouveau mode de mise en réseau améliore la compatibilité avec les environnements réseau complexes, en particulier les VPN et bien plus encore, ainsi que l’ajout de la prise en charge des nouvelles fonctionnalités réseau indisponibles dans le mode NAT par défaut, comme IPv6.
DNS Tunneling
dnsTunneling=true modifie la façon dont WSL obtient des informations DNS. Ce paramètre améliore la compatibilité dans différents environnements réseau et utilise des fonctionnalités de virtualisation pour obtenir des informations DNS plutôt qu’un paquet réseau. Il est recommandé d’activer cette option si vous rencontrez des problèmes de connectivité, et peut être particulièrement utile lors de l’utilisation des VPN, des paramètres de pare-feu avancés, etc.
Proxy automatique
autoProxy=true applique WSL pour utiliser les informations de proxy HTTP de Windows. Nous vous recommandons d’activer ce paramètre lors de l’utilisation d’un proxy sur Windows, car ce proxy s’applique automatiquement à vos distributions WSL.
Création d’une image WSL personnalisée
Ce qui est communément appelé « image », est simplement un instantané de votre logiciel et de ses composants enregistré dans un fichier. Dans le cas du Sous-système Windows pour Linux, votre image se compose du sous-système, de ses distributions, et de tous les logiciels et packages installés sur la distribution.
Pour commencer à créer votre image WSL, installez d’abord le Sous-système Windows pour Linux.
Une fois l’installation terminée, utilisez le Microsoft Store pour Entreprises pour télécharger et installer la distribution Linux qui vous convient. Créer un compte avec Microsoft Store pour Entreprises.
Exportation de votre image WSL
Exportez votre image WSL personnalisée en exécutant wsl --export <Distro> <FileName>, qui va encapsuler votre image dans un fichier tar et la préparer pour la distribution sur d’autres machines. Vous pouvez créer des distributions personnalisées, notamment CentOS, RedHat et bien plus encore à l’aide du guide de distribution personnalisé.
Distribution de votre image WSL
Distribuez l’image WSL à partir d’un partage ou d’un périphérique de stockage en exécutant wsl --import <Distro> <InstallLocation> <FileName>, qui va importer le fichier tar spécifié en tant que nouvelle distribution.
Mettre à jour et corriger des distributions et des packages Linux
L’utilisation des outils du gestionnaire de configuration Linux est vivement recommandée pour la surveillance et la gestion de l’espace utilisateur Linux. Il existe de nombreux gestionnaires de configuration Linux. Consultez ce billet de blog sur Running Puppet rapidement dans WSL 2.
Accès au système de fichiers Windows
Lorsqu’un binaire Linux à l’intérieur de WSL accède à un fichier Windows, il le fait avec les autorisations utilisateur de l’utilisateur Windows qui a exécuté wsl.exe. Ainsi, même si un utilisateur Linux dispose d’un accès racine à l’intérieur de WSL, il ne peut pas effectuer d’opérations au niveau administrateur Windows sur Windows si l’utilisateur Windows ne dispose pas de ces autorisations. En ce qui concerne le fichier Windows et l’accès exécutable Windows à partir de WSL, l’exécution d’un interpréteur de commandes comme bash dispose des mêmes autorisations de niveau de sécurité que l’exécution powershell à partir de Windows comme cet utilisateur.
Prise en charge
- Partage d’une image approuvée en interne en utilisant
wsl --importetwsl --export - Création de votre propre distribution WSL pour votre entreprise en utilisant le dépôt de lanceurs de distribution WSL
- Surveiller les événements de sécurité à l’intérieur des distributions WSL à l’aide de Microsoft Defender pour point de terminaison (MDE)
- Utilisez les paramètres de pare-feu pour contrôler la mise en réseau dans WSL (inclut la synchronisation des paramètres de pare-feu Windows avec WSL)
- Contrôler l’accès à WSL et ses paramètres de sécurité clés avec Intune ou stratégie de groupe
Voici une liste de fonctionnalités non encore prises en charge, mais que nous étudions.
Actuellement non pris en charge
Vous trouverez ci-dessous une liste des fonctionnalités couramment demandées qui ne sont pas prises en charge dans WSL pour le moment. Ces demandes se trouvent dans notre backlog et nous étudions actuellement comment nous pourrions les ajouter.
- Gestion des mises à jour et des correctifs des distributions et des packages Linux en utilisant des outils Windows
- Une mise à jour de Windows met également à jour le contenu de la distribution WSL
- Contrôle des distributions auxquelles les utilisateurs de votre entreprise peuvent accéder
- Contrôle de l’accès racine pour les utilisateurs
Windows Subsystem for Linux
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour