次の方法で共有

エンタープライズ環境: 会社向けに Linux 用 Windows サブシステムを設定する

このガイダンスは、複数のコンピューターにソフトウェアを配布し、それらの作業マシン間で一貫したレベルのセキュリティ設定を維持することを目的として、エンタープライズ作業環境を設定する IT 管理者またはセキュリティ アナリストを対象としています。

多くの企業では、これらのセキュリティ設定を管理するために Microsoft IntuneMicrosoft Defender を使用しています。 ただし、WSL を設定し、このコンテキストで Linux ディストリビューションにアクセスするには、いくつかの特定のセットアップが必要です。 このガイダンスでは、エンタープライズ環境で WSL で Linux を安全に使用できるようにするために知っておくべきことを示します。

セキュリティで保護されたエンタープライズ環境を設定するにはさまざまな方法がありますが、WSL を利用するセキュリティで保護された環境を設定するには、次の方法をお勧めします。

前提条件

開始するには、すべてのエンタープライズ デバイスに次の最小バージョンがインストールされていることを確認します。

  • Windows 10 22H2 以降、または Windows 11 22H2 以降
    • 高度なネットワーク機能は、Windows 11 22H2 以降でのみ使用できます。
  • WSL バージョン 2.0.9 以降
    • WSL のバージョンは、 wsl --versionを実行して確認できます。

Microsoft Defender for Endpoint (MDE) 統合を有効にする

Microsoft Defender for Endpoint は、エンタープライズ ネットワークが高度な脅威の防止、検出、調査、対応を支援するように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 MDE は WSL プラグインとして WSL と統合されるようになりました。これにより、セキュリティ チームは Defender for Endpoint を使用して実行中のすべての WSL ディストリビューションのセキュリティ イベントを確認し、継続的に監視しながら、開発者のワークロードのパフォーマンスに最小限の影響を与えることができます。

開始する方法の詳細については、 WSL 用 Microsoft Defender for Endpoint プラグイン を参照してください。

Microsoft Intuneは、クラウドベースのエンドポイント管理ソリューションです。 それは、組織のリソースへのユーザー アクセスを管理し、モバイル デバイス、デスクトップ コンピューター、仮想エンドポイントなど、多くのデバイスでのアプリとデバイスの管理を簡素化します。 Microsoft Intune を使用して組織内のデバイスを管理できます。これには、WSL へのアクセスとその主要なセキュリティ設定の管理も含まれるようになりました。

Windows コンポーネントとして WSL を管理するために Intune を使用する方法と推奨される設定については、 WSL の Intune 設定を参照してください。

高度なネットワーク機能とコントロールを使用する

Windows 11 22H2 および WSL 2.0.9 以降では、Windows ファイアウォール規則が WSL に自動的に適用されます。 これにより、Windows ホストに設定されているファイアウォール規則が、既定ですべての WSL ディストリビューションに自動的に適用されるようになります。 WSL のファイアウォール設定のカスタマイズに関するガイダンスについては、「 Hyper-V ファイアウォールの構成」を参照してください。

さらに、特定のエンタープライズ シナリオに合わせて[wsl2] ファイルの .wslconfig で設定を構成することをお勧めします。

ミラーモードのネットワーク

networkingMode=mirrored では、ミラーリング モードのネットワークが有効になります。 この新しいネットワーク モードにより、複雑なネットワーク環境 (特に VPN など) との互換性が向上し、IPv6 などの既定の NAT モードでは使用できない新しいネットワーク機能のサポートが追加されます。

DNS トンネリング

dnsTunneling=true は、WSL が DNS 情報を取得する方法を変更します。 この設定により、さまざまなネットワーク環境での互換性が向上し、仮想化機能を使用してネットワーク パケットではなく DNS 情報を取得します。 接続の問題が発生した場合は、これを有効にすることをお勧めします。VPN や高度なファイアウォール設定などを使用する場合は特に役立ちます。

自動プロキシ

autoProxy=true は、WINDOWS の HTTP プロキシ情報を使用するように WSL を強制します。 Windows でプロキシを使用する場合は、この設定をオンにすることをお勧めします。これにより、そのプロキシが WSL ディストリビューションに自動的に適用されます。

カスタム WSL イメージの作成

一般的に "イメージ" と呼ばれるのは、単にソフトウェアとそのコンポーネントのスナップショットをファイルに保存することです。 Linux 用 Windows サブシステムの場合、イメージはサブシステム、そのディストリビューション、およびディストリビューションにインストールされているソフトウェアとパッケージで構成されます。

WSL イメージの作成を開始するには、まず Windows Subsystem for Linux をインストールします。

インストールが完了したら、 Microsoft Store を使用して、適切な Linux ディストリビューションをダウンロードしてインストールします。

WSL イメージのエクスポート

wsl --export <Distro> <FileName> [Options]を実行してカスタム WSL イメージをエクスポートします。このイメージは tar ファイルにラップされ、他のマシンに配布する準備が整います。 カスタム ディストリビューション ガイドを使用して、CentOS、RedHat などのカスタムディストリビューションを作成できます。

WSL イメージの配布

指定した tar ファイルを新しいディストリビューションとしてインポートする wsl --import <Distro> <InstallLocation> <FileName> [Options]を実行して、共有またはストレージ デバイスから WSL イメージを配布します。

Linux のディストリビューションとパッケージの更新と修正プログラムの適用

Linux ユーザー領域の監視と管理には、Linux 構成マネージャー ツールの使用を強くお勧めします。 選択できる Linux 構成マネージャーのホストがあります。 WSL 2 での Puppet の実行に関するこのブログ記事を参照してください。

Windows ファイル システムへのアクセス

WSL 内の Linux バイナリが Windows ファイルにアクセスすると、 wsl.exe実行した Windows ユーザーのユーザーアクセス許可を使用してアクセスできます。 そのため、Linux ユーザーは WSL 内でルート アクセス権を持っていても、Windows ユーザーがそれらのアクセス許可を持っていない場合、Windows で Windows 管理者レベルの操作を行うことはできません。 WSL からの Windows ファイルと Windows 実行可能ファイルのアクセスに関しては、 bash のようなシェルを実行すると、そのユーザーと同じセキュリティ レベルのアクセス許可が Windows から powershell 実行されます。

サポートされています

  • wsl --importと a0/> を使用して承認されたイメージを内部で共有するwsl --export
  • WSL Distro Launcher リポジトリを使用してエンタープライズ用の独自の WSL ディストリビューションを作成する
  • Microsoft Defender for Endpoint (MDE) を使用して WSL ディストリビューション内のセキュリティ イベントを監視する
  • ファイアウォール設定を使用して WSL のネットワークを制御する (Windows ファイアウォール設定と WSL の同期を含む)
  • Intune またはグループ ポリシーを使用して WSL とその主要なセキュリティ設定へのアクセスを制御する

まだサポートされていないが調査中の機能の一覧を次に示します。

現在サポートされていません

WSL 内で現在サポートされていない、よく寄せられる機能の一覧を次に示します。 これらの要求はバックログにあり、追加する方法を調査しています。

  • Windows ツールを使用した Linux ディストリビューションとパッケージの更新プログラムと修正プログラムの管理
  • Windows Update を使用して WSL ディストリビューションの内容を更新する
  • エンタープライズ内のユーザーがアクセスできるディストリビューションを制御する
  • ユーザーのルート アクセスの制御
  • Last updated on