Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu kılavuz, yazılımları birden çok makineye dağıtma ve bu iş makineleri arasında tutarlı bir güvenlik ayarları düzeyini koruma hedefiyle kurumsal çalışma ortamlarını ayarlamaktan sorumlu BT Yöneticilerine veya Güvenlik Analistlerine yöneliktir.
Birçok şirket bu güvenlik ayarlarını yönetmek için Microsoft Intune ve Microsoft Defender kullanır. Ancak, WSL'yi ayarlamak ve bu bağlamda Linux dağıtımlarına erişmek için belirli bir kurulum gerekir. Bu kılavuz, kurumsal bir ortamda WSL ile Linux'un güvenli kullanımını etkinleştirmek için bilmeniz gerekenleri sağlar.
Uç Nokta, Intune ve Gelişmiş Ağ Denetimleri için Microsoft Defender ile Önerilen Kurumsal kurulum
Güvenli bir kurumsal ortam ayarlamanın çeşitli yolları vardır, ancak WSL kullanan güvenli bir ortam ayarlamak için aşağıdakileri öneririz.
Önkoşullar
Başlamak için tüm kurumsal cihazlarda aşağıdaki en düşük sürümlerin yüklü olduğundan emin olun:
- Windows 10 22H2 veya üzeri ya da Windows 11 22H2 veya üzeri
- Gelişmiş ağ özellikleri yalnızca Windows 11 22H2 veya üzeri sürümlerde kullanılabilir.
-
WSL sürüm 2.0.9 veya üzeri
- komutunu çalıştırarak
wsl --versionWSL sürümünü de kontrol edebilirsiniz.
- komutunu çalıştırarak
Uç Nokta için Microsoft Defender (MDE) tümleştirmesini etkinleştirme
Uç Nokta için Microsoft Defender, kurumsal ağların gelişmiş tehditleri önlemesine, algılamasına, araştırmasına ve yanıtlamasına yardımcı olmak için tasarlanmış bir kurumsal uç nokta güvenlik platformudur. MDE artık WSL eklentisi olarak WSL ile tümleştirilmiştir. Bu eklenti, güvenlik ekiplerinin Uç Nokta için Defender ile çalışan tüm WSL dağıtımlarındaki güvenlik olaylarını görmesine ve sürekli izlemesine olanak tanırken geliştirici iş yükleri üzerindeki performansı en az düzeyde etkiler.
Kullanmaya başlama hakkında daha fazla bilgi edinmek için bkz . WSL için Uç Nokta için Microsoft Defender eklentisi .
Intune ile önerilen ayarları yapılandırma
Microsoft Intune , bulut tabanlı bir uç nokta yönetimi çözümüdür. Kuruluş kaynaklarına kullanıcı erişimini yönetir ve mobil cihazlar, masaüstü bilgisayarlar ve sanal uç noktalar dahil olmak üzere birçok cihazınızda uygulama ve cihaz yönetimini basitleştirir. Kuruluşunuzun içindeki cihazları yönetmek için Microsoft Intune'u kullanabilirsiniz. Bu, WSL'ye erişimi ve temel güvenlik ayarlarını yönetmeyi de içerir.
Windows bileşeni olarak WSL'yi yönetmek için Intune'u kullanma yönergeleri ve önerilen ayarlar için bkz. WSL için Intune ayarları.
Gelişmiş ağ özelliklerini ve denetimlerini kullanma
Windows 11 22H2 ve WSL 2.0.9 veya sonraki sürümlerinden itibaren Windows güvenlik duvarı kuralları WSL'ye otomatik olarak uygulanır. Bu, Windows ana bilgisayarında ayarlanan güvenlik duvarı kurallarının varsayılan olarak tüm WSL dağıtımlarına otomatik olarak uygulanmasını sağlar. WSL için güvenlik duvarı ayarlarını özelleştirme hakkında yönergeler için Hyper-V güvenlik duvarını yapılandırma sayfasını ziyaret edin.
Buna ek olarak, dosyadaki .wslconfig altında [wsl2] ayarlarını özel Kurumsal senaryonuza uyacak şekilde yapılandırmanızı öneririz.
Yansıtılmış modda ağ iletişimi
networkingMode=mirrored yansıtılmış mod ağını etkinleştirir. Bu yeni ağ modu, özellikle VPN'ler ve daha fazlası olmak üzere karmaşık ağ ortamlarıyla uyumluluğu artırır ve IPv6 gibi varsayılan NAT modunda kullanılamayan yeni ağ özellikleri için destek ekler.
DNS Tüneli
dnsTunneling=true , WSL'nin DNS bilgilerini alma şeklini değiştirir. Bu ayar, farklı ağ ortamlarında uyumluluğu artırır ve ağ paketi yerine DNS bilgilerini almak için sanallaştırma özelliklerinden yararlanır. Bağlantı sorunları yaşıyorsanız bunu açmanız önerilir ve VPN'ler, gelişmiş güvenlik duvarı ayarları ve daha fazlasını kullanırken özellikle yararlı olabilir.
Otomatik ara sunucu
autoProxy=true , Windows'un HTTP proxy bilgilerini kullanmak için WSL'yi zorlar. Ara sunucunun WSL dağıtımlarınıza otomatik olarak uygulanmasını sağlayacağı için Windows'ta ara sunucu kullanırken bu ayarı açmanızı öneririz.
Özel WSL görüntüsü oluşturma
Genellikle "görüntü" olarak adlandırılan şey, yalnızca yazılımınızın ve bir dosyaya kaydedilen bileşenlerinin anlık görüntüsüdür. Linux için Windows Alt Sistemi söz konusu olduğunda, görüntünüz alt sistemden, dağıtımlarından ve dağıtıma yüklenen yazılım ve paketlerden oluşur.
WSL görüntünüzü oluşturmaya başlamak için önce Linux için Windows Alt Sistemi'ni yükleyin.
Yüklendikten sonra, size uygun Linux dağıtımını indirip yüklemek için Microsoft Store'u kullanın.
WSL görüntünüzü dışarı aktarma
komutunu çalıştırarak wsl --export <Distro> <FileName> [Options]özel WSL görüntünüzü dışarı aktarın. Bu, görüntünüzü bir katran dosyasına sarmalar ve diğer makinelere dağıtılmaya hazır hale getirir.
Özel dağıtım kılavuzunu kullanarak CentOS, RedHat ve daha fazlası dahil olmak üzere özel dağıtımlar oluşturabilirsiniz.
WSL görüntünüzü dağıtma
WSL görüntüsünü komutunu çalıştırarak wsl --import <Distro> <InstallLocation> <FileName> [Options]bir paylaşım veya depolama cihazından dağıtın. Bu, belirtilen tar dosyasını yeni bir dağıtım olarak içeri aktarır.
Linux dağıtımlarını ve paketlerini güncelleştirme ve düzeltme eki uygulama
Linux kullanıcı alanını izlemek ve yönetmek için Linux yapılandırma yöneticisi araçlarının kullanılması kesinlikle önerilir. Aralarından seçim yapabileceğiniz bir grup Linux yapılandırma yöneticisi vardır. WSL 2'de Puppet'ı hızlı bir şekilde çalıştırma hakkındaki bu blog gönderilerine bakın.
Windows dosya sistemi erişimi
WSL içindeki bir Linux ikili dosyası bir Windows dosyasına eriştiğinde, bunu çalıştıran wsl.exeWindows kullanıcısının kullanıcı izinleriyle yapar. Bu nedenle, Bir Linux kullanıcısının WSL içinde kök erişimi olsa da, Windows kullanıcısının bu izni yoksa Windows'ta Windows yönetici düzeyinde işlemler yapamaz. WSL'den Windows dosyası ve Windows yürütülebilir erişimi ile ilgili olarak, gibi bash bir kabuk çalıştırmak, Windows'tan çalıştırılan powershell kullanıcıyla aynı güvenlik düzeyi izinlerine sahiptir.
Destekleniyor
- ve kullanarak onaylı bir görüntüyü dahili olarak paylaşma
wsl --importwsl --export - WSL Distro Launcher depoyu kullanarak Kuruluşunuz için kendi WSL dağıtımınızı oluşturma
- Uç Nokta için Microsoft Defender'ı (MDE) kullanarak WSL dağıtımlarının içindeki güvenlik olaylarını izleme
- WSL'de ağı denetlemek için güvenlik duvarı ayarlarını kullanma (Windows güvenlik duvarı ayarlarını WSL ile eşitlemeyi içerir)
- Intune veya grup ilkesi ile WSL'ye ve temel güvenlik ayarlarına erişimi denetleme
Henüz desteklemediğimiz ancak araştırdığımız özelliklerin listesi aşağıdadır.
Şu anda desteklenmiyor
WSL içinde şu anda desteklenmeyen sık sorulan özelliklerin listesi aşağıdadır. Bu istekler kapsamımızda yer alıyor ve bunları eklemenin yollarını araştırıyoruz.
- Windows araçlarını kullanarak Linux dağıtımlarının ve paketlerinin güncelleştirmelerini ve düzeltme eklerini yönetme
- Windows update'in WSL dağıtım içeriğini de güncelleştirmesini sağlar
- Kuruluşunuzdaki kullanıcıların erişebileceği dağıtımları denetleme
- Kullanıcılar için kök erişimi denetleme
GitHub'da bizimle işbirliği yapın
Bu içeriğin kaynağı GitHub'da bulunabilir; burada ayrıca sorunları ve çekme isteklerini oluşturup gözden geçirebilirsiniz. Daha fazla bilgi için katkıda bulunan kılavuzumuzu inceleyin.
Windows Subsystem for Linux