Impostazioni di Intune per WSL
È ora possibile usare strumenti di gestione come Intune per gestire WSL come componente windows.
Per accedere a queste impostazioni, passare al portale dell'interfaccia di amministrazione di Microsoft Intune e quindi selezionare: Devices -> Configuration Profiles -> Create -> New Policy -> Windows 10 and later -> Settings catalog, creare un nome per il nuovo profilo e cercare "sottosistema Windows per Linux" per visualizzare e aggiungere l'elenco completo delle impostazioni disponibili.
Impostazioni consigliate
Per ottimizzare la sicurezza in un ambiente aziendale, è consigliabile specificare queste impostazioni:
| Nome dell'impostazione | Valore | Descrizione |
|---|---|---|
| Consenti la versione posta in arrivo del sottosistema Windows per Linux | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la versione della posta in arrivo (componente facoltativo) del sottosistema Windows per Linux. Se questo criterio è disabilitato, è possibile usare solo la versione dello store di WSL. Altre informazioni sulla differenza tra Windows Store WSL e WSL posta in arrivo sono disponibili qui |
| Consenti WSL1 | Disabilitata | Se impostato su disabilitato, questo criterio disabilita WSL1. Se disabilitato, è possibile usare solo le distribuzioni WSL2. |
| Consenti la shell di debug | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la shell di debug (wsl.exe --debug-shell). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione del kernel personalizzata | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la configurazione personalizzata del kernel tramite .wslconfig (wsl2.kernel). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione della riga di comando del kernel | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la configurazione della riga di comando del kernel tramite .wslconfig (wsl2.kernelCommandLine). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione di distribuzione del sistema personalizzata | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la configurazione della distribuzione del sistema personalizzata tramite .wslconfig (wsl2.systemDistro). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione di rete personalizzata | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la configurazione di rete personalizzata tramite .wslconfig (wsl2.networkingmode). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione del firewall delle impostazioni utente | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la configurazione del firewall tramite .wslconfig (wsl2.firewall). Questo criterio si applica solo a Windows Store WSL. |
| Consenti virtualizzazione annidata | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la configurazione della virtualizzazione annidata tramite .wslconfig (wsl2.nestedVirtualization). Questo criterio si applica solo a Windows Store WSL. |
| Consenti debug del kernel | Disabilitata | Se impostato su disabilitato, questo criterio disabilita la configurazione del debug del kernel tramite .wslconfig (wsl2.kernelDebugPort). Questo criterio si applica solo a Windows Store WSL. |
Controllare l'accesso a WSL
Le AllowWSLimpostazioni , AllowInboxWSLe AllowWSL1 controllano l'accesso utente a WSL. È possibile configurare queste impostazioni per abilitare o disabilitare l'accesso alla versione in Windows delle distribuzioni WSL, WSL 1 o WSL stessa.
In questo modo sarà possibile configurare WSL per assicurarsi che gli utenti usino solo la versione più recente di WSL con il supporto delle funzionalità Enterprise.
Controllare i comandi WSL
AllowDebugShell e AllowDiskMount controllare se gli utenti possono eseguire i wsl --debug-shell comandi e wsl --mount . Altre informazioni su come montare un disco in WSL 2 usando il wsl --mount comando .
Controllare l'accesso alle impostazioni WSL in .wslconfig
Ultimo gruppo di impostazioni che terminano con *UserSettingConfigurable il controllo dell'accesso alle impostazioni avanzate di WSL in .wslconfig. Quando questi sono impostati su disabilitati, gli utenti potranno usare solo il valore predefinito per tale impostazione e non potranno configurarlo in valori personalizzati. Altre informazioni sull'impostazione di configurazione per .wslconfig, incluso un elenco di impostazioni che possono essere configurate a livello globale per tutte le distribuzioni Linux in esecuzione con WSL 2.
Elenco completo delle impostazioni disponibili
| Nome dell'impostazione | Descrizione |
|---|---|
| Consentire il sottosistema Windows per Linux | Se impostato su disabilitato, questo criterio disabilita l'accesso al sottosistema Windows per Linux per tutti gli utenti del computer. |
| Consentire la versione posta in arrivo del sottosistema Windows per Linux | Se impostato su disabilitato, questo criterio disabilita la versione della posta in arrivo (componente facoltativo) del sottosistema Windows per Linux. Se questo criterio è disabilitato, è possibile usare solo la versione dello store di WSL. |
| Consenti WSL1 | Se impostato su disabilitato, questo criterio disabilita WSL1. Se disabilitato, è possibile usare solo le distribuzioni WSL2. |
| Consenti la shell di debug | Se impostato su disabilitato, questo criterio disabilita la shell di debug (wsl.exe --debug-shell). Questo criterio si applica solo a Windows Store WSL. |
| Consenti montaggio su disco pass-through | Se impostato su disabilitato, questo criterio disabilita il montaggio del disco pass-through in WSL2 (wsl.exe --mount). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione del kernel personalizzata | Se impostato su disabilitato, questo criterio disabilita la configurazione personalizzata del kernel tramite .wslconfig (wsl2.kernel). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione della riga di comando del kernel | Se impostato su disabilitato, questo criterio disabilita la configurazione della riga di comando del kernel tramite .wslconfig (wsl2.kernelCommandLine). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione di distribuzione del sistema personalizzata | Se impostato su disabilitato, questo criterio disabilita la configurazione della distribuzione del sistema personalizzata tramite .wslconfig (wsl2.systemDistro). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione di rete personalizzata | Se impostato su disabilitato, questo criterio disabilita la configurazione di rete personalizzata tramite .wslconfig (wsl2.networkingmode). Questo criterio si applica solo a Windows Store WSL. |
| Consenti configurazione del firewall delle impostazioni utente | Se impostato su disabilitato, questo criterio disabilita la configurazione del firewall tramite .wslconfig (wsl2.firewall). Questo criterio si applica solo a Windows Store WSL. |
| Consenti virtualizzazione annidata | Se impostato su disabilitato, questo criterio disabilita la configurazione della virtualizzazione annidata tramite .wslconfig (wsl2.nestedVirtualization). Questo criterio si applica solo a Windows Store WSL. |
| Consenti debug del kernel | Se impostato su disabilitato, questo criterio disabilita la configurazione del debug del kernel tramite .wslconfig (wsl2.kernelDebugPort). Questo criterio si applica solo a Windows Store WSL. |
Windows Subsystem for Linux