企业环境:为公司设置适用于 Linux 的 Windows 子系统

作为管理员或经理,你可能会要求所有开发人员都使用相同的经过批准的软件。 此一致性有助于创建定义完善的工作环境。 适用于 Linux 的 Windows 子系统通过允许将自定义的 WSL 映像从一台计算机导出并导入下一台计算机,从而帮助实现此一致性。 阅读下面的指南,详细了解:

创建自定义的 WSL 映像

通常所说的“映像”只是软件及其组件保存到文件中的快照。 对于适用于 Linux 的 Windows 子系统,映像将由子系统、其分发版以及分发版上安装的所有软件和包组成。

若要开始创建 WSL 映像,请先安装适用于 Linux 的 Windows 子系统

安装完成后,使用适用于企业的 Microsoft Store 下载并安装适合你的 Linux 分发版。 使用适用于企业的 Microsoft Store创建帐户。

导出 WSL 映像

导出自定义的 WSL 映像,方法是运行 wsl --export <Distro> <FileName>,将映像打包到 tar 文件中,并准备好将其分发到其他计算机。

分发 WSL 映像

从共享或存储设备分发 WSL 映像,方法是运行 wsl --import <Distro> <InstallLocation> <FileName>,将指定的 tar 文件作为新的分发版导入。

更新和修补 Linux 分发版和包

强烈建议使用 Linux 配置管理器工具来监视和管理 Linux 用户空间。 可以从许多 Linux 配置管理器的主机进行选择。 查看博客文章,了解如何在 WSL 2 中安装 Puppet。

企业安全和控制选项

目前,WSL 提供了有限的控制机制来改变企业场景中的用户体验。 企业功能仍在不断开发中,但以下是受支持和不受支持的功能领域。 若要请求此列表中未包含的新功能,请在我们的 GitHub 存储库中提交问题。

配置 WSL 防火墙规则

Microsoft 实现 Windows 使用的防火墙协议,以维护安全性并阻止流入或传出本地设备的未经授权的网络流量。 若要优化网络中设备的保护, 请根据最佳做法配置 Windows 防火墙

对于 WSL,如果 本地策略合并 防火墙策略设置为“否”,则 WSL 网络将不起作用。 (有关详细信息,请参阅 “建立本地策略合并和应用程序规则”。)

若要更改此配置,可以将以下内容添加到 Windows 防火墙设置:

  • 操作允许、方向入站、协议 UDP、LocalPort 53、程序: %Systemroot%\System32\svchost.exe、服务 SharedAccess

另请参阅: WSL 在工作计算机上或 Enterpise 环境中没有网络连接

支持

  • 使用 wsl --importwsl --export 在内部共享已批准的映像
  • 使用 WSL Distro Launcher 存储库为企业创建自己的 WSL 分发版

下面是我们尚不支持但正在研究的功能列表。

目前不支持

下面是 WSL 中当前不支持但常被要求提供的功能的列表。 这些请求已成为我们的积压工作 (backlog),我们正在设法添加它们。

  • 将 WSL 中的用户与主机上的 Windows 用户同步
  • 使用 Windows 工具管理 Linux 分发版和包的更新和修补程序
  • Windows 更新也会更新 WSL 分发版的内容
  • 控制企业中的用户可以访问哪些分发版
  • 在 WSL 中运行强制服务(日志记录或监视)
  • 使用 SCCM 或 Intune 等 Windows 配置管理器工具监视 Linux 实例
  • McAfee 支持