WSL 的 Intune 设置
本文内容
建议的设置
控制对 WSL 的访问
控制 WSL 命令
控制对 .wslconfig 中 WSL 设置的访问
可用设置的完整列表
现在可以使用 Intune 等管理工具将 WSL 作为 Windows 组件进行管理。
若要访问这些设置,请导航到 Microsoft Intune 管理中心门户,然后选择:Devices -> Configuration Profiles -> Create -> New Policy -> Windows 10 and later -> Settings catalog
为新配置文件创建名称并搜索“适用于 Linux 的 Windows 子系统”以查看并添加可用设置的完整列表。
若要最大程度地提高企业环境中的安全性,建议指定以下设置:
展开表
设置名称
“值”
说明
允许适用于 Linux 的 Windows 子系统的收件箱版本
已禁用
设置为“已禁用”时,此策略将禁用适用于 Linux 的 Windows 子系统的收件箱版本(可选组件)。 如果禁用此策略,则只能使用 WSL 的存储版本。 在此处详细了解 Microsoft Store WSL 与收件箱 WSL 之间的差异
允许 WSL1
已禁用
设置为禁用时,此策略将禁用 WSL1。 禁用后,只能使用 WSL2 分发版。
允许调试 shell
已禁用
设置为禁用时,此策略将禁用调试 shell (wsl.exe --debug-shell)。 此策略仅适用于存储版 WSL。
允许自定义内核配置
已禁用
设置为禁用时,此策略通过 .wslconfig (wsl2.kernel) 禁用自定义内核配置。 此策略仅适用于存储版 WSL。
允许内核命令行配置
已禁用
设置为禁用时,此策略通过 .wslconfig (wsl2.kernelCommandLine) 禁用内核命令行配置。 此策略仅适用于存储版 WSL。
允许自定义系统分发配置
已禁用
设置为禁用时,此策略通过 .wslconfig (wsl2.systemDistro) 禁用自定义系统分发配置。 此策略仅适用于存储版 WSL。
允许自定义网络配置
已禁用
设置为禁用时,此策略禁用通过 wslconfig (wsl2.networkingmode) 自定义网络配置。 此策略仅适用于存储版 WSL。
允许用户设置防火墙配置
已禁用
设置为禁用时,此策略禁用通过 .wslconfig (wsl2.firewall) 来进行防火墙配置。 此策略仅适用于存储版 WSL。
允许嵌套虚拟化
已禁用
设置为禁用时,此策略禁用通过 .wslconfig (wsl2.nestedVirtualization) 来进行嵌套可视化配置。 此策略仅适用于存储版 WSL。
允许内核调试
已禁用
设置为禁用时,此策略禁用通过 .wslconfig (wsl2.kernelDebugPort) 来禁用内核调试配置。 此策略仅适用于存储版 WSL。
AllowWSL
、AllowInboxWSL
和 AllowWSL1
设置负责控制对 WSL 的用户访问。 可以将这些设置配置为启用或禁用访问 WSL 的 Windows 内版本、WSL 1 发行版或 WSL 本身。
这样,就可以配置 WSL,以确保用户仅使用最新版本的 WSL 和 Enterprise 功能支持。
AllowDebugShell
和 AllowDiskMount
控制用户是否可以运行 wsl --debug-shell
和 wsl --mount
命令。 详细了解如何使用 wsl --mount
命令在 WSL 2 中装载磁盘 。
控制对 .wslconfig
中 WSL 设置的访问
以 *UserSettingConfigurable
结尾的最后一组设置控制对 .wslconfig
中 WSL 高级设置的访问权限。 当这些设置为禁用时,用户只能使用该设置的默认值,并且无法将其配置为自定义值。 详细了解 .wslconfig 的配置设置 ,包括可为使用 WSL 2 运行的所有 Linux 分发版全局配置的设置列表。
展开表
设置名称
说明
允许适用于 Linux 的 Windows 子系统
设置为已禁用时,此策略将禁用对计算机上的所有用户对适用于 Linux 的 Windows 子系统的访问。
允许适用于 Linux 的 Windows 子系统的收件箱版本
设置为“已禁用”时,此策略将禁用适用于 Linux 的 Windows 子系统的收件箱版本(可选组件)。 如果禁用此策略,则只能使用 WSL 的存储版本。
允许 WSL1
设置为禁用时,此策略将禁用 WSL1。 禁用后,只能使用 WSL2 分发版。
允许调试 shell
设置为禁用时,此策略将禁用调试 shell (wsl.exe --debug-shell)。 此策略仅适用于存储版 WSL。
允许传递磁盘挂载
设置为禁用时,此策略在 WSL2 (wsl.exe --mount) 中禁用传递磁盘挂载。 此策略仅适用于存储版 WSL。
允许自定义内核配置
设置为禁用时,此策略通过 .wslconfig (wsl2.kernel) 禁用自定义内核配置。 此策略仅适用于存储版 WSL。
允许内核命令行配置
设置为禁用时,此策略通过 .wslconfig (wsl2.kernelCommandLine) 禁用内核命令行配置。 此策略仅适用于存储版 WSL。
允许自定义系统分发配置
设置为禁用时,此策略通过 .wslconfig (wsl2.systemDistro) 禁用自定义系统分发配置。 此策略仅适用于存储版 WSL。
允许自定义网络配置
设置为禁用时,此策略禁用通过 wslconfig (wsl2.networkingmode) 自定义网络配置。 此策略仅适用于存储版 WSL。
允许用户设置防火墙配置
设置为禁用时,此策略禁用通过 .wslconfig (wsl2.firewall) 来进行防火墙配置。 此策略仅适用于存储版 WSL。
允许嵌套虚拟化
设置为禁用时,此策略禁用通过 .wslconfig (wsl2.nestedVirtualization) 来进行嵌套可视化配置。 此策略仅适用于存储版 WSL。
允许内核调试
设置为禁用时,此策略禁用通过 .wslconfig (wsl2.kernelDebugPort) 来禁用内核调试配置。 此策略仅适用于存储版 WSL。