エンタープライズ環境: 企業向けに Linux 用 Windows サブシステムを設定する
[アーティクル] 2024/08/16
7 人の共同作成者
フィードバック
この記事の内容
Microsoft Defender for Endpoint、Intune、高度なネットワーク制御での推奨されるエンタープライズ セットアップ
カスタムの WSL イメージを作成する
WSL イメージの配布
Linux のディストリビューションとパッケージの更新およびパッチ
Windows ファイル システムへのアクセス
このガイダンスの対象者は、複数のコンピューターにソフトウェアを配布し、それらの作業コンピューター間で一貫したレベルのセキュリティ設定を維持することを目標として、エンタープライズ作業環境のセットアップを担当する、IT 管理者またはセキュリティ アナリストです。
多くの企業が、Microsoft Intune と Microsoft Defender を使って、これらのセキュリティ設定を管理しています。 ただし、WSL を設定し、このコンテキストで Linux ディストリビューションにアクセスするには、いくつか特定のセットアップが必要です。 このガイダンスでは、エンタープライズ環境の WSL で Linux を安全に使用できるようにするために知っておくべきことを説明します。
Microsoft Defender for Endpoint、Intune、高度なネットワーク制御での推奨されるエンタープライズ セットアップ
セキュリティ保護されたエンタープライズ環境を設定するにはさまざまな方法がありますが、WSL を利用するセキュリティ保護された環境を設定するには、次の方法をお勧めします。
最初に、すべてのエンタープライズ デバイスに少なくとも次のバージョンがインストールされていることを確認します。
Windows 10 22H2 以降、または Windows 11 22H2 以降
高度なネットワーク機能は、Windows 11 22H2 以降でのみ利用できます。
WSL バージョン 2.0.9 以降
WSL のバージョンは、wsl --version
を実行して確認できます。
Microsoft Defender for Endpoint (MDE) の統合を有効にする
Microsoft Defender for Endpoint は、企業ネットワークによる高度な脅威に対する防御、検出、調査、対応を支援するように、設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 MDE は WSL プラグイン としての WSL と統合されるようになったため、セキュリティ チームは、開発者ワークロードのパフォーマンスへの影響を最小限に抑えながら、Defender for Endpoint を使って、実行中のすべての WSL ディストリビューションでのセキュリティ イベントを表示して継続的に監視できます。
使い始める方法について詳しくは、WSL 用の Microsoft Defender for Endpoint プラグイン に関する記事をご覧ください。
Microsoft Intune は、クラウドベースのエンドポイント管理ソリューションです。 それは、組織のリソースへのユーザー アクセスを管理し、モバイル デバイス、デスクトップ コンピューター、仮想エンドポイントなど、多くのデバイスでのアプリとデバイスの管理を簡素化します。 Microsoft Intune を使って組織内のデバイスを管理できます。これには、WSL とその主要なセキュリティ設定へのアクセスの管理も含まれるようになりました。
InTune を使用した Windows コンポーネントとしての WSL の管理に関するガイダンスと推奨される設定については、「WSL のための Intune の設定 」をご覧ください。
Windows 11 22H2 以降と WSL 2.0.9 以降では、Windows ファイアウォール規則が WSL に自動的に適用されます。 これにより、Windows ホストで設定されているファイアウォール規則が、すべての WSL ディストリビューションに既定で自動的に適用されるようになります。 WSL 用のファイアウォール設定のカスタマイズに関するガイダンスについては、「Hyper-V ファイアウォールを構成する 」をご覧ください。
さらに、特定のエンタープライズ シナリオに合わせて、.wslconfig
ファイルの [wsl2]
の下の設定 を構成することをお勧めします。
networkingMode=mirrored
は、ミラー モードのネットワークを有効にします。 この新しいネットワーク モードを使うと、複雑なネットワーク環境 (特に VPN など) との互換性が向上し、IPv6 などの既定の NAT モードでは使用できない新しいネットワーク機能のサポートが追加されます。
dnsTunneling=true
は、WSL が DNS 情報を取得する方法を変更します。 この設定を使うと、さまざまなネットワーク環境での互換性が向上し、ネットワーク パケットではなく仮想化機能を使って DNS 情報が取得されます。 何らかの接続の問題が発生する場合は、これを有効にすることをお勧めします。VPN や高度なファイアウォール設定などを使うときは特に役立ちます。
autoProxy=true
は、Windows の HTTP プロキシ情報を使うよう WSL に強制します Windows でプロキシを使う場合は、この設定をオンにすることをお勧めします。そうすると、そのプロキシが WSL ディストリビューションに自動的に適用されます。
一般に "イメージ" と呼ばれるものは、簡単に説明すると、ファイルに保存されたソフトウェアとそのコンポーネントのスナップショットです。 Linux 用 Windows サブシステムの場合、イメージは、サブシステム、そのディストリビューション、そのディストリビューションにインストールされているすべてのソフトウェアとパッケージで構成されます。
WSL イメージの作成を開始するには、まず Linux 用 Windows サブシステムをインストールします 。
インストールしたら、Microsoft Store を使用して適切な Linux ディストリビューションをダウンロードし、インストールします。
カスタムの WSL イメージをエクスポートするには、wsl --export <Distro> <FileName>
を実行します。これにより、イメージは tar ファイルにラップされ、他のマシンに配布できるようになります。 カスタム ディストリビューション ガイドを使って、CentOS や RedHat などのカスタム ディストリビューションを作成 できます。
共有デバイスまたはストレージ デバイスから WSL イメージを配布するには、wsl --import <Distro> <InstallLocation> <FileName>
を実行します。これにより、指定した tar ファイルが新しい配布としてインポートされます。
Linux のディストリビューションとパッケージの更新およびパッチ
Linux ユーザー領域の監視と管理には、Linux 構成マネージャー ツールを使用することを強くお勧めします。 選択できる Linux 構成マネージャーは多数あります。 WSL 2 での Puppet のすばやい実行 に関するこちらのブログ記事をご覧ください。
WSL の内部の Linux バイナリは、Windows ファイルにアクセスするとき、wsl.exe
を実行した Windows ユーザーのユーザー アクセス許可を使ってそれを行います。 そのため、Linux ユーザーは、WSL 内でルート アクセス権を持っていたとしても、Windows ユーザーがそれらのアクセス許可を持たない場合は、Windows で Windows 管理者レベルの操作を行うことはできません。 WSL からの Windows ファイルと Windows 実行可能ファイルへのアクセスに関しては、bash
などのシェルの実行には、そのユーザーとして Windows から powershell
を実行するのと同じセキュリティ レベルのアクセス許可が付与されます。
wsl --import
と wsl --export
を使用して承認済みのイメージを内部で共有する
WSL Distro Launcher リポジトリ を使用して自社向けに独自の WSL ディストリビューションを作成する
Microsoft Defender for Endpoint (MDE) を使って、WSL ディストリビューション内のセキュリティ イベントを監視する
ファイアウォールの設定を使って、WSL のネットワークを制御する (Windows ファイアウォール設定の WSL への同期を含む)
Intune またはグループ ポリシーを使って、WSL とその主要なセキュリティ設定へのアクセスを制御する
まだサポートされていませんが、調査中である機能の一覧を次に示します。
WSL 内で現在サポートされていない、一般的な機能の一覧を次に示します。 Microsoft ではこれらの要求を把握しており、追加方法を調査しています。
Windows ツールを使用した Linux ディストリビューションとパッケージの更新とパッチの管理
Windows Update を使用して WSL ディストリビューションのコンテンツも更新する
自社内のユーザーがアクセスできるディストリビューションの制御
ユーザーに対するルート アクセスの制御