Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze richtlijnen zijn bedoeld voor IT-beheerders of beveiligingsanalisten die verantwoordelijk zijn voor het instellen van bedrijfswerkomgevingen met als doel software over meerdere computers te distribueren en een consistent beveiligingsniveau op deze werkmachines te onderhouden.
Veel bedrijven gebruiken Microsoft Intune en Microsoft Defender om deze beveiligingsinstellingen te beheren. Voor het instellen van WSL en het openen van Linux-distributies in deze context is echter een specifieke installatie vereist. Deze richtlijnen bieden wat u moet weten om het veilige gebruik van Linux met WSL in een bedrijfsomgeving in te schakelen.
Aanbevolen enterprise-instellingen met Microsoft Defender voor Eindpunt, Intune en Geavanceerde netwerkbesturingselementen
Er zijn verschillende manieren om een beveiligde bedrijfsomgeving in te stellen, maar we raden u aan het volgende in te stellen voor het instellen van een beveiligde omgeving die gebruikmaakt van WSL.
Voorwaarden
Zorg ervoor dat op alle bedrijfsapparaten de volgende minimale versies zijn geïnstalleerd om aan de slag te gaan:
- Windows 10 22H2 of hoger, of Windows 11 22H2 of hoger
- Geavanceerde netwerkfuncties zijn alleen beschikbaar in Windows 11 22H2 of hoger.
-
WSL-versie 2.0.9 of hoger
- U kunt de WSL-versie controleren door deze uit te voeren
wsl --version.
- U kunt de WSL-versie controleren door deze uit te voeren
Integratie van Microsoft Defender voor Eindpunt (MDE) inschakelen
Microsoft Defender voor Eindpunt is een platform voor eindpuntbeveiliging voor ondernemingen dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. MDE kan nu worden geïntegreerd met WSL als een WSL-invoegtoepassing, waardoor beveiligingsteams beveiligingsevenementen in alle actieve WSL-distributies met Defender for Endpoint kunnen bekijken en continu kunnen bewaken, terwijl ze de prestaties van ontwikkelaarsworkloads minimaal beïnvloeden.
Zie de invoegtoepassing Microsoft Defender voor Eindpunt voor WSL voor meer informatie over hoe u aan de slag kunt gaan.
Aanbevolen instellingen configureren met Intune
Microsoft Intune is een oplossing voor eindpuntbeheer in de cloud. Het beheert gebruikerstoegang tot organisatorische bronnen en vereenvoudigt apparaat- en appbeheer op uw apparaten, waaronder mobiele apparaten, desktopcomputers en virtuele eindpunten. U kunt Microsoft Intune gebruiken om apparaten binnen uw organisatie te beheren. Dit omvat nu ook het beheren van toegang tot WSL en de belangrijkste beveiligingsinstellingen.
Zie Intune-instellingen voor WSL voor hulp bij het gebruik van Intune voor het beheren van WSL als een Windows-onderdeel en de aanbevolen instellingen.
Geavanceerde netwerkfuncties en besturingselementen gebruiken
Vanaf Windows 11 22H2 en WSL 2.0.9 of hoger zijn windows-firewallregels automatisch van toepassing op WSL. Dit zorgt ervoor dat de firewallregels die zijn ingesteld op de Windows-host automatisch van toepassing zijn op alle WSL-distributies. Ga naar Configure Hyper-V firewall voor hulp bij het aanpassen van de firewallinstellingen voor WSL.
Daarnaast raden we u aan om instellingen onder [wsl2] in het .wslconfig bestand te configureren voor uw specifieke Enterprise-scenario.
Netwerken in gespiegeld modus
networkingMode=mirrored maakt netwerken met gespiegelde modus mogelijk. Deze nieuwe netwerkmodus verbetert de compatibiliteit met complexe netwerkomgevingen, met name VPN's en meer, en het toevoegen van ondersteuning voor nieuwe netwerkfuncties die niet beschikbaar zijn in de standaard NAT-modus, zoals IPv6.
DNS-tunneling
dnsTunneling=true wijzigt hoe WSL DNS-gegevens verkrijgt. Deze instelling verbetert de compatibiliteit in verschillende netwerkomgevingen en maakt gebruik van virtualisatiefuncties om DNS-informatie te verkrijgen in plaats van een netwerkpakket. Het is raadzaam dit in te schakelen als er verbindingsproblemen zijn en vooral handig kan zijn bij het gebruik van VPN's, geavanceerde firewallinstellingen en meer.
Automatische proxy
autoProxy=true dwingt WSL af om http-proxygegevens van Windows te gebruiken. U wordt aangeraden deze instelling in te schakelen wanneer u een proxy in Windows gebruikt, omdat deze proxy automatisch wordt toegepast op uw WSL-distributies.
Een aangepaste WSL-installatiekopieën maken
Wat vaak een 'installatiekopie' wordt genoemd, is gewoon een momentopname van uw software en de bijbehorende onderdelen die zijn opgeslagen in een bestand. In het geval van het Windows-subsysteem voor Linux bestaat uw installatiekopieën uit het subsysteem, de distributies en alle software en pakketten die op de distributie zijn geïnstalleerd.
Installeer eerst het Windows-subsysteem voor Linux om te beginnen met het maken van uw WSL-installatiekopieën.
Zodra deze is geïnstalleerd, gebruikt u de Microsoft Store om de Linux-distributie te downloaden en te installeren die geschikt is voor u.
Uw WSL-installatiekopieën exporteren
Exporteer uw aangepaste WSL-installatiekopieën door deze uit te voeren wsl --export <Distro> <FileName> [Options], waarmee uw installatiekopieën in een tar-bestand worden verpakt en klaar zijn voor distributie naar andere computers. U kunt aangepaste distributies maken, waaronder CentOS, RedHat en meer met behulp van de aangepaste distributiehandleiding.
Uw WSL-installatiekopieën distribueren
Distribueer de WSL-image vanaf een share of opslagapparaat door wsl --import <Distro> <InstallLocation> <FileName> [Options] uit te voeren, waardoor het opgegeven tar-bestand als een nieuwe distributie wordt geïmporteerd.
Linux-distributies en -pakketten bijwerken en patchen
Het gebruik van Hulpprogramma's voor Linux Configuration Manager wordt sterk aanbevolen voor het bewaken en beheren van linux-gebruikersruimte. Er zijn een groot aantal Linux-configuratiebeheerders waaruit u kunt kiezen. Zie dit blogbericht over Running Puppet snel in WSL 2.
Toegang tot windows-bestandssysteem
Wanneer een binair Linux-bestand in WSL toegang krijgt tot een Windows-bestand, gebeurt dit met de gebruikersmachtigingen van de Windows-gebruiker die is uitgevoerd wsl.exe. Hoewel een Linux-gebruiker hoofdtoegang heeft binnen WSL, kunnen ze geen bewerkingen op Windows-beheerdersniveau uitvoeren als de Windows-gebruiker niet over deze machtiging beschikt. Met betrekking tot toegang tot Windows-bestanden en uitvoerbare Windows-bestanden vanuit WSL heeft het uitvoeren van een shell dezelfde bash machtigingen op beveiligingsniveau als die powershell van Windows als die gebruiker.
Ondersteund
- Een goedgekeurde installatiekopieën intern delen met behulp van
wsl --importenwsl --export - Uw eigen WSL-distributie voor uw onderneming maken met behulp van de WSL Distro Launcher-opslagplaats
- Beveiligingsevenementen in WSL-distributies bewaken met Behulp van Microsoft Defender voor Eindpunt (MDE)
- Firewallinstellingen gebruiken om netwerken in WSL te beheren (inclusief het synchroniseren van Windows-firewallinstellingen naar WSL)
- Toegang tot WSL en de belangrijkste beveiligingsinstellingen beheren met Intune of groepsbeleid
Hier volgt een lijst met functies waarvoor we nog geen ondersteuning hebben, maar die worden onderzocht.
Momenteel niet ondersteund
Hieronder ziet u een lijst met veelgebruikte functies die momenteel niet worden ondersteund binnen WSL. Deze aanvragen staan in onze achterstand en we onderzoeken manieren om ze toe te voegen.
- Updates en patching van de Linux-distributies en -pakketten beheren met behulp van Windows-hulpprogramma's
- Windows Update ook de inhoud van WSL-distributie bijwerken
- Bepalen welke distributies gebruikers in uw onderneming toegang hebben
- Hoofdtoegang voor gebruikers beheren
Met ons samenwerken op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
Windows Subsystem for Linux