Прочитать на английском

Поделиться через


Корпоративная среда. Настройка подсистемы Windows для Linux для вашей организации

Это руководство предназначено для ИТ-администраторов или аналитиков безопасности, ответственных за настройку корпоративных рабочих сред с целью распространения программного обеспечения на нескольких компьютерах и обеспечения согласованного уровня параметров безопасности на этих рабочих компьютерах.

Многие компании используют Microsoft Intune и Microsoft Defender для управления этими параметрами безопасности. Однако для настройки WSL и доступа к дистрибутивам Linux в этом контексте требуется определенная настройка. В этом руководстве описано, что необходимо знать, чтобы обеспечить безопасное использование Linux с WSL в корпоративной среде.

Существует множество способов настройки защищенной корпоративной среды, но рекомендуется настроить безопасную среду, которая использует WSL.

Предварительные требования

Чтобы приступить к работе, убедитесь, что на всех корпоративных устройствах установлены следующие минимальные версии:

  • Windows 10 22H2 или более поздней версии или Windows 11 22H2 или более поздней версии
    • Расширенные сетевые функции доступны только в Windows 11 22H2 или более поздней версии.
  • WSL версии 2.0.9 или более поздней
    • Вы можете проверить версию WSL, выполнив команду wsl --version.

Включение интеграции Microsoft Defender для конечной точки (MDE)

Microsoft Defender для конечной точки — это корпоративная платформа защиты конечных точек, позволяющая организациям предотвращать, обнаруживать, исследовать современные угрозы в сети и реагировать на них. MDE теперь интегрируется с WSL в качестве подключаемого модуля WSL, что позволяет командам безопасности просматривать и непрерывно отслеживать события безопасности во всех запущенных дистрибутивах WSL с Defender для конечной точки при минимальном влиянии на производительность рабочих нагрузок разработчиков.

Дополнительные сведения о начале работы см. в Microsoft Defender для конечной точки подключаемых модулях WSL.

Microsoft Intune — это облачное решение для управления конечными точками. Он управляет доступом пользователей к ресурсам организации и упрощает управление приложениями и устройствами на многих устройствах, включая мобильные устройства, настольные компьютеры и виртуальные конечные точки. С помощью Microsoft Intune можно управлять устройствами внутри организации, которые теперь также включают управление доступом к WSL и его ключевым параметрам безопасности.

Сведения об использовании InTune для WSL см. в разделе "Параметры Intune" для управления WSL в качестве компонента Windows и рекомендуемых параметров.

Использование расширенных сетевых функций и элементов управления

Начиная с Windows 11 22H2 и WSL 2.0.9 или более поздней версии правила брандмауэра Windows будут автоматически применяться к WSL. Это гарантирует, что правила брандмауэра, заданные на узле Windows, будут автоматически применяться ко всем дистрибутивам WSL по умолчанию. Инструкции по настройке параметров брандмауэра для WSL см. в статье "Настройка брандмауэра Hyper-V".

Кроме того, рекомендуется настроить параметры [wsl2] в .wslconfig файле , чтобы соответствовать конкретному сценарию Enterprise.

Зеркальное отображение сети

networkingMode=mirrored включает зеркальное отображение сети. Этот новый сетевой режим улучшает совместимость со сложными сетевыми средами, особенно виртуальными сетями и многое другое, а также добавляет поддержку новых сетевых функций, недоступных в режиме NAT по умолчанию, например IPv6.

Туннелирование DNS

dnsTunneling=true изменяет способ получения сведений DNS WSL. Этот параметр улучшает совместимость в разных сетевых средах и использует функции виртуализации для получения сведений DNS, а не сетевого пакета. Рекомендуется включить эту функцию, если возникают проблемы с подключением и может быть особенно полезной при использовании виртуальных сетей, расширенных параметров брандмауэра и т. д.

Автоматический прокси-сервер

autoProxy=true принудительно применяет WSL для использования сведений о ПРОКСИ-сервере Windows. Мы рекомендуем включить этот параметр при использовании прокси-сервера в Windows, так как он автоматически применяется к дистрибутивам WSL.

Создание пользовательского образа WSL

То, что часто называют образом, представляет собой просто моментальный снимок программного обеспечения и его компонентов, сохраненный в файле. В случае Подсистемы Windows для Linux образ будет состоять из подсистемы, ее дистрибутивов, а также установленных программ и пакетов в дистрибутиве.

Чтобы приступить к созданию образа WSL, сначала установите Подсистему Windows для Linux.

После установки используйте Microsoft Store для скачивания и установки дистрибутива Linux, подходящего для вас.

Экспорт образа WSL

Экспортируйте пользовательский образ WSL, выполнив команду wsl --export <Distro> <FileName>, которая упакует образ в файл с расширением .tar и подготовит его для распространения на другие компьютеры. Вы можете создавать пользовательские дистрибутивы, включая CentOS, RedHat и многое другое с помощью настраиваемого руководства по дистрибутиву.

Распространение образа WSL

Распространите образ WSL из общей папки или устройства хранения, выполнив команду wsl --import <Distro> <InstallLocation> <FileName>, которая импортирует указанный файл с расширением .tar в качестве нового дистрибутива.

Обновление и исправление дистрибутивов и пакетов Linux

Настоятельно рекомендуется использовать средства диспетчера конфигурации Linux для мониторинга пространства пользователя Linux и управления им. Есть много диспетчеров конфигурации Linux. Ознакомьтесь с этой записью блога о запуске Puppet быстро в WSL 2.

Доступ к файловой системе Windows

Если двоичный файл Linux внутри WSL обращается к файлу Windows, он делает это с разрешениями пользователя Windows, запущенного пользователем wsl.exe. Таким образом, даже если у пользователя Linux есть корневой доступ внутри WSL, они не могут выполнять операции уровня администратора Windows в Windows, если у пользователя Windows нет этих разрешений. Что касается доступа к файлам Windows и исполняемым файлам Windows из WSL, при выполнении оболочки, как bash и у этого пользователя, есть те же разрешения уровня безопасности, что и в powershell Windows.

Поддерживается

  • Совместное использование утвержденного образа с помощью wsl --import и wsl --export
  • Создание собственного дистрибутива WSL для предприятия с помощью репозитория WSL Distro Launcher.
  • Мониторинг событий безопасности внутри дистрибутивов WSL с помощью Microsoft Defender для конечной точки (MDE)
  • Использование параметров брандмауэра для управления сетями в WSL (включает синхронизацию параметров брандмауэра Windows с WSL)
  • Управление доступом к WSL и его ключевым параметрам безопасности с помощью Intune или групповой политики

Ниже приведен список функций, которые пока не поддерживаются, но изучаются.

Сейчас не поддерживаются.

Ниже приведен список популярных функций, которые в настоящее время не поддерживаются в WSL. Мы регистрируем запросы по таким функциям и рассматриваем способы их добавления.

  • Управление обновлениями и установка исправлений для дистрибутивов и пакетов Linux с помощью средств Windows
  • Обновление содержимого WSL также обновляет содержимое дистрибутива в Windows
  • Управление тем, к каким дистрибутивам могут получить доступ пользователи вашего предприятия
  • Управление корневым доступом для пользователей