Ambiente aziendale: configurare il sottosistema Windows per Linux per l'azienda

Queste linee guida sono destinate agli amministratori IT o agli analisti della sicurezza responsabili della configurazione di ambienti di lavoro aziendali con l'obiettivo di distribuire software tra più computer e mantenere un livello coerente di impostazioni di sicurezza in tali computer.

Molte aziende usano Microsoft Intune e Microsoft Defender per gestire queste impostazioni di sicurezza. Tuttavia, la configurazione di WSL e l'accesso alle distribuzioni linux in questo contesto richiede una configurazione specifica. Queste indicazioni forniscono le informazioni necessarie per abilitare l'uso sicuro di Linux con WSL in un ambiente aziendale.

Configurazione aziendale consigliata con Microsoft Defender per endpoint, Intune e controlli di rete avanzati

Esistono diversi modi per configurare un ambiente aziendale sicuro, ma è consigliabile configurare un ambiente sicuro che usa WSL.

Prerequisiti

Per iniziare, assicurarsi che tutti i dispositivi aziendali abbiano installato le versioni minime seguenti:

• Windows 10 22H2 o versione successiva o Windows 11 22H2 o versione successiva
  • Le funzionalità di rete avanzate sono disponibili solo in Windows 11 22H2 o versione successiva.
• WSL versione 2.0.9 o successiva
  • È possibile controllare la versione di WSL eseguendo wsl --version.

Abilitare l'integrazione di Microsoft Defender per endpoint (MDE)

Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendali progettata per prevenire, rilevare, analizzare e rispondere a minacce avanzate per la rete aziendale. MDE si integra ora con WSL come plug-in WSL, che consente ai team di sicurezza di visualizzare e monitorare continuamente gli eventi di sicurezza in tutte le distribuzioni WSL in esecuzione con Defender per endpoint, con un impatto minimo sulle prestazioni sui carichi di lavoro degli sviluppatori.

Per altre informazioni su come iniziare, vedere Microsoft Defender per endpoint plug-in per WSL.

Configurare le impostazioni consigliate con Intune

Microsoft Intune è una soluzione di gestione degli endpoint basata sul cloud. Gestisce l'accesso degli utenti alle risorse dell'organizzazione e semplifica la gestione delle app e dei dispositivi in molti dispositivi, tra cui dispositivi mobili, computer desktop ed endpoint virtuali. È possibile usare Microsoft Intune per gestire i dispositivi all'interno dell'organizzazione, che ora include anche la gestione dell'accesso a WSL e le relative impostazioni di sicurezza chiave.

Per indicazioni sull'uso di InTune per gestire WSL come componente windows e le impostazioni consigliate, vedere Impostazioni di Intune per WSL .

Usare funzionalità e controlli di rete avanzati

A partire da Windows 11 22H2 e WSL 2.0.9 o versione successiva, le regole di Windows Firewall verranno applicate automaticamente a WSL. In questo modo, le regole del firewall impostate nell'host Windows verranno applicate automaticamente a tutte le distribuzioni WSL per impostazione predefinita. Per indicazioni sulla personalizzazione delle impostazioni del firewall per WSL, vedere Configurare il firewall Hyper-V.

È anche consigliabile configurare le impostazioni [wsl2] nel .wslconfig file in modo da adattarsi allo scenario aziendale specifico.

Rete in modalità con mirroring

networkingMode=mirrored abilita la rete in modalità con mirroring. Questa nuova modalità di rete migliora la compatibilità con ambienti di rete complessi, in particolare VPN e altro ancora, oltre ad aggiungere il supporto per le nuove funzionalità di rete non disponibili nella modalità NAT predefinita come IPv6.

DNS Tunneling

dnsTunneling=true modifica il modo in cui WSL ottiene informazioni DNS. Questa impostazione migliora la compatibilità in ambienti di rete diversi e usa le funzionalità di virtualizzazione per ottenere informazioni DNS anziché un pacchetto di rete. È consigliabile attivare questa opzione se si verificano problemi di connettività e può essere particolarmente utile quando si usano VPN, impostazioni del firewall avanzate e altro ancora.

Proxy automatico

autoProxy=true applica WSL per l'uso delle informazioni sul proxy HTTP di Windows. È consigliabile attivare questa impostazione quando si usa un proxy in Windows, perché il proxy verrà applicato automaticamente alle distribuzioni WSL.

Creazione di un'immagine di WSL personalizzata

Ciò che viene comunemente definito "immagine", è semplicemente uno snapshot del software e dei relativi componenti salvato in un file. Nel caso del sottosistema Windows per Linux, l'immagine sarà costituita dal sottosistema, dalle relative distribuzioni e dal software e dai pacchetti installati nella distribuzione.

Per iniziare a creare l'immagine di WSL, prima di tutto installare il sottosistema Windows per Linux.

Dopo l'installazione , usare Microsoft Store per scaricare e installare la distribuzione linux più adatta.

Esportazione dell'immagine di WSL

Esportare l'immagine di WSL personalizzata eseguendo wsl --export <Distro> <FileName>. Il comando eseguirà il wrapping dell'immagine in un file tar, rendendola pronta per la distribuzione in altri computer. È possibile creare distribuzioni personalizzate, tra cui CentOS, RedHat e altro ancora, usando la guida alla distribuzione personalizzata.

Distribuzione dell'immagine di WSL

Distribuire l'immagine WSL da una condivisione o da un dispositivo di archiviazione eseguendo wsl --import <Distro> <InstallLocation> <FileName>. Il comando importerà il file tar specificato come nuova distribuzione.

Aggiornamento e applicazione di patch a pacchetti e distribuzioni di Linux

L'uso di strumenti di gestione della configurazione Linux per il monitoraggio e la gestione dello spazio utente Linux è fortemente consigliato. È possibile scegliere tra numerosi strumenti di gestione della configurazione Linux. Vedere questo post di blog sull'esecuzione rapida di Puppet in WSL 2.

Accesso al file system di Windows

Quando un file binario Linux all'interno di WSL accede a un file di Windows, lo fa con le autorizzazioni utente dell'utente di Windows che ha eseguito wsl.exe. Pertanto, anche se un utente Linux ha accesso radice all'interno di WSL, non può eseguire operazioni a livello di amministratore di Windows in Windows se l'utente di Windows non dispone di tali autorizzazioni. Per quanto riguarda l'accesso ai file windows e ai file eseguibili di Windows da WSL, l'esecuzione di una shell come bash ha le stesse autorizzazioni a livello di sicurezza dell'esecuzione powershell da Windows a quella dell'utente.

Supportata

• Condivisione di un'immagine approvata internamente con wsl --import e wsl --export
• Creazione di una distribuzione di WSL personalizzata per l'azienda usando il repository WSL DistroLauncher
• Monitorare gli eventi di sicurezza all'interno delle distribuzioni WSL usando Microsoft Defender per endpoint (MDE)
• Usare le impostazioni del firewall per controllare la rete in WSL (include la sincronizzazione delle impostazioni di Windows Firewall con WSL)
• Controllare l'accesso a WSL e alle relative impostazioni di sicurezza chiave con Intune o criteri di gruppo

Ecco un elenco delle funzionalità per cui non è ancora disponibile il supporto, ma attualmente in esame.

Non sono supportati attualmente.

Di seguito è riportato un elenco delle funzionalità richieste con frequenza e attualmente non supportate in WSL. Queste richieste sono allo studio e stiamo esaminando modi per aggiungerle.

• Gestione degli aggiornamenti e dell'applicazione di patch ai pacchetti e alle distribuzioni di Linux con gli strumenti di Windows
• Aggiornamento di Windows che include anche l'aggiornamento del contenuto della distribuzione di WSL
• Controllo delle distribuzioni a cui gli utenti dell'azienda possono accedere
• Controllo dell'accesso radice per gli utenti