다음을 통해 공유

엔터프라이즈 환경: 회사를 위한 Linux용 Windows 하위 시스템 설정

  • 아티클

이 지침은 여러 컴퓨터에 소프트웨어를 배포하고 기본 이러한 작업 머신에서 일관된 수준의 보안 설정을 기본 목표로 엔터프라이즈 작업 환경을 설정하는 IT 관리istrator 또는 Security Analysts를 위한 것입니다.

많은 회사에서 Microsoft IntuneMicrosoft Defender를 사용하여 이러한 보안 설정을 관리합니다. 그러나 WSL을 설정하고 이 컨텍스트에서 Linux 배포에 액세스하려면 몇 가지 특정 설정이 필요합니다. 이 지침에서는 엔터프라이즈 환경에서 WSL과 함께 Linux를 안전하게 사용할 수 있도록 하기 위해 알아야 할 사항을 제공합니다.

보안 엔터프라이즈 환경을 설정하는 방법에는 여러 가지가 있지만 WSL을 활용하는 보안 환경을 설정하려면 다음을 사용하는 것이 좋습니다.

필수 구성 요소

시작하려면 모든 엔터프라이즈 디바이스에 다음과 같은 최소 버전이 설치되어 있는지 확인합니다.

  • Windows 10 22H2 이상 또는 Windows 11 22H2 이상
    • 고급 네트워킹 기능은 Windows 11 22H2 이상에서만 사용할 수 있습니다.
  • WSL 버전 2.0.9 이상
    • 를 실행wsl --version하여 WSL 버전을 검사 수 있습니다.

MDE(엔드포인트용 Microsoft Defender) 통합 사용

Microsoft Defender For Endpoint는 엔터프라이즈 네트워크가 고급 위협을 방지, 검색, 조사 및 대응하는 데 도움이 되도록 설계된 엔터프라이즈 엔드포인트 보안 플랫폼입니다. MDE는 이제 WSL과 WSL 플러그 인으로 통합되어 보안 팀이 엔드포인트용 Defender를 사용하여 실행 중인 모든 WSL 배포에서 보안 이벤트를 보고 지속적으로 모니터링하면서 개발자 워크로드의 성능에 최소한의 영향을 줄 수 있습니다.

시작하는 방법에 대한 자세한 내용은 WSL의 엔드포인트용 Microsoft Defender 플러그 인을 참조하세요.

Microsoft Intune 은 클라우드 기반 엔드포인트 관리 솔루션입니다. 조직 리소스에 대한 사용자 액세스를 관리하고 모바일 디바이스, 데스크톱 컴퓨터 및 가상 엔드포인트를 비롯한 여러 디바이스에서 앱 및 디바이스 관리를 간소화합니다. Microsoft Intune을 사용하여 조직 내에서 디바이스를 관리할 수 있으며, 이제 WSL 및 주요 보안 설정에 대한 액세스 관리도 포함됩니다.

InTune을 사용하여 WSL을 Windows 구성 요소로 관리하는 방법에 대한 지침 및 권장 설정은 WSL에 대한 Intune 설정을 참조하세요.

고급 네트워킹 기능 및 컨트롤 사용

Windows 11 22H2 및 WSL 2.0.9 이상부터 Windows 방화벽 규칙이 WSL에 자동으로 적용됩니다. 이렇게 하면 Windows 호스트에 설정된 방화벽 규칙이 기본적으로 모든 WSL 배포에 자동으로 적용됩니다. WSL에 대한 방화벽 설정을 사용자 지정하는 방법에 대한 지침은 Hyper-V 방화벽 구성을 참조하세요.

또한 특정 엔터프라이즈 시나리오에 .wslconfig 맞게 파일[wsl2] 설정을 구성하는 것이 좋습니다.

미러 모드 네트워킹

networkingMode=mirrored는 미러 모드 네트워킹을 사용하도록 설정합니다. 이 새로운 네트워킹 모드는 복잡한 네트워킹 환경, 특히 VPN 등의 호환성을 향상시킬 뿐만 아니라 IPv6과 같은 기본 NAT 모드에서 사용할 수 없는 새로운 네트워킹 기능에 대한 지원을 추가합니다.

DNS 터널링

dnsTunneling=true 는 WSL이 DNS 정보를 가져오는 방법을 변경합니다. 이 설정은 다른 네트워킹 환경의 호환성을 향상시키고 가상화 기능을 사용하여 네트워킹 패킷이 아닌 DNS 정보를 가져옵니다. 연결 문제가 발생하는 경우 이를 켜는 것이 좋으며 VPN, 고급 방화벽 설정 등을 사용할 때 특히 유용할 수 있습니다.

자동 프록시

autoProxy=true 는 WSL을 적용하여 Windows의 HTTP 프록시 정보를 사용합니다. Windows에서 프록시를 사용하는 경우 해당 프록시가 WSL 배포에 자동으로 적용되므로 이 설정을 설정하는 것이 좋습니다.

사용자 지정 WSL 이미지 만들기

일반적으로 "이미지"라고 하는 것은 단순히 소프트웨어 및 해당 구성 요소가 파일에 저장된 스냅샷입니다. Linux용 Windows 하위 시스템의 경우 이미지는 하위 시스템, 해당 배포 및 배포에 설치된 소프트웨어와 패키지로 구성됩니다.

WSL 이미지 만들기를 시작하려면 먼저 Linux용 Windows 하위 시스템을 설치합니다.

설치가 완료되면 비즈니스용 Microsoft Store를 사용하여 사용자에게 적합한 Linux 배포를 다운로드하고 설치합니다. 비즈니스용 Microsoft Store를 사용하여 계정 만들기

WSL 이미지 내보내기

wsl --export <Distro> <FileName>을 실행하여 사용자 지정 WSL 이미지를 내보냅니다. 그러면 해당 이미지가 tar 파일로 래핑되고 다른 머신에 배포할 준비가 됩니다. 사용자 지정 배포판 가이드를 사용하여 CentOS, RedHat 등을 비롯한 사용자 지정 배포를 만들 수 있습니다.

WSL 이미지 배포

wsl --import <Distro> <InstallLocation> <FileName>을 실행하여 공유 또는 스토리지 디바이스에서 WSL 이미지를 배포합니다. 그러면 지정된 tar 파일이 새 배포로 가져옵니다.

Linux 배포 및 패키지 업데이트 및 패치

Linux 사용자 공간을 모니터링하고 관리하려면 Linux 구성 관리자 도구를 사용하는 것이 좋습니다. 선택할 수 있는 다양한 Linux 구성 관리자가 있습니다. WSL 2에서 빠른 실행 Puppet에 대한 이 블로그 게시물을 참조하세요.

Windows 파일 시스템 액세스

WSL 내의 Linux 이진 파일이 Windows 파일에 액세스하면 실행 wsl.exe된 Windows 사용자의 사용자 권한으로 액세스합니다. 따라서 Linux 사용자가 WSL 내부에 루트 액세스 권한을 가지고 있더라도 Windows 사용자에게 해당 권한이 없는 경우 Windows에서 Windows 관리자 수준 작업을 수행할 수 없습니다. WSL에서 Windows 파일 및 Windows 실행 파일 액세스와 관련하여 셸을 실행하는 경우 해당 bash 사용자와 Windows에서 실행하는 powershell 것과 동일한 보안 수준 권한이 있습니다.

지원됨

  • wsl --importwsl --export를 사용하여 내부적으로 승인된 이미지 공유
  • WSL Distro Launcher 리포지토리를 사용하여 자신만의 엔터프라이즈용 WSL 배포판 만들기
  • MDE(엔드포인트용 Microsoft Defender)를 사용하여 WSL 배포판 내부의 보안 이벤트 모니터링
  • 방화벽 설정을 사용하여 WSL에서 네트워킹 제어(Windows 방화벽 설정을 WSL에 동기화 포함)
  • Intune 또는 그룹 정책을 사용하여 WSL 및 해당 주요 보안 설정에 대한 액세스 제어

다음은 아직 지원하지는 않지만 조사 중인 기능 목록입니다.

현재 지원되지 않음

다음은 현재 WSL에서 지원되지 않지만 자주 묻는 기능의 목록입니다. 이러한 요청은 백로그에 있으며 추가 방법을 조사하고 있습니다.

  • Windows 도구를 사용하여 Linux 배포 및 패키지의 업데이트 및 패치 관리
  • Windows 업데이트 시 WSL 배포 콘텐츠도 업데이트
  • 엔터프라이즈의 사용자가 액세스할 수 있는 배포 제어
  • 사용자에 대한 루트 액세스 제어