企業環境: 為您的公司設定 Windows 子系統 Linux 版

  • 發行項

本指南適用於負責設定企業工作環境的IT管理員 istrators 或 Security Analysts,目標是將軟體分散到多部計算機,並維護這些工作機器上一致的安全性設定層級。

許多公司都使用 Microsoft IntuneMicrosoft Defender 來管理這些安全性設定。 不過,在此內容中設定 WSL 和存取 Linux 散發套件需要一些特定的設定。 本指南提供在企業環境中啟用Linux與WSL的安全使用所需的內容。

有各種不同的方式可以設定安全的企業環境,但我們建議使用 WSL 來設定安全的環境。

必要條件

若要開始使用,請確定所有企業裝置都已安裝下列最低版本:

  • Windows 10 22H2 或更高版本,或 Windows 11 22H2 或更高版本
    • 進階網路功能僅適用於 Windows 11 22H2 或更高版本。
  • WSL 2.0.9 版或更高版本
    • 您可以執行 wsl --version來檢查 WSL 版本。

啟用 適用於端點的 Microsoft Defender (MDE) 整合

適用於端點的 Microsoft Defender 是企業端點安全性平臺,其設計目的是協助企業網路防止、偵測、調查及回應進階威脅。 MDE 現在與 WSL 整合為 WSL 外掛程式,可讓安全性小組查看並持續監視所有執行中 WSL 散發套件與適用於端點的 Defender 的安全性事件,同時對開發人員工作負載的效能影響最小。

若要深入瞭解如何開始使用,請參閱適用於 WSL 的 適用於端點的 Microsoft Defender 外掛程式。

Microsoft Intune 是雲端式端點管理解決方案。 它會管理使用者對組織資源的存取權,並簡化許多裝置的應用程式和裝置管理,包括行動裝置、桌面計算機和虛擬端點。 您可以使用 Microsoft Intune 來管理組織內部的裝置,其現在也包括管理 WSL 及其主要安全性設定的存取權。

如需使用 InTune 管理 WSL 作為 Windows 元件和建議設定的指引,請參閱 WSL 的 Intune 設定。

使用進階網路功能與控件

從 Windows 11 22H2 和 WSL 2.0.9 或更新版本開始,Windows 防火牆規則會自動套用至 WSL。 這可確保 Windows 主機上設定的防火牆規則預設會自動套用至所有 WSL 散發套件。 如需自定義 WSL 防火牆設定的指引,請流覽 設定 Hyper-V 防火牆

此外,建議您在檔案.wslconfig設定 下的[wsl2]設定,以符合您的特定企業案例。

鏡像模式網路

networkingMode=mirrored 啟用鏡像模式網路功能。 這個新的網路模式可改善與複雜網路環境的相容性,特別是 VPN 等,以及新增 IPv6 等預設 NAT 模式中無法使用的新網路功能支援。

DNS 通道

dnsTunneling=true 會變更 WSL 如何取得 DNS 資訊。 此設定可改善不同網路環境中的相容性,並利用虛擬化功能來取得 DNS 資訊,而不是網路封包。 如果遇到任何連線問題,建議您開啟此功能,而且在使用 VPN、進階防火牆設定等等時特別有用。

自動 Proxy

autoProxy=true 會強制執行 WSL 以使用 Windows 的 HTTP Proxy 資訊。 建議您在 Windows 上使用 Proxy 時開啟此設定,因為這會使該 Proxy 自動套用至您的 WSL 散發套件。

建立自訂 WSL 映像

通常稱為「映像」的只是軟體及其元件儲存至檔案的快照集。 在 Windows 子系統 Linux 版的情況下,您的映像會包含子系統、其散發套件,以及安裝在散發套件上的任何軟體與封裝。

若要開始建立 WSL 映像,請先 安裝 Windows 子系統 Linux 版

安裝之後,請使用商務用 Microsoft Store 下載並安裝適合您的 Linux 發行版本。 使用 商務用 Microsoft Store 建立帳戶。

匯出您的 WSL 映像

執行 wsl --export <Distro> <FileName> 來匯出您的自訂 WSL 映像,這會將您的映像包裝在 tar 檔案中,並使它準備好散發到其他電腦。 您可以使用 自定義散發指南來建立自定義散發套件,包括 CentOS、RedHat 等。

散發您的 WSL 映像

執行 wsl --import <Distro> <InstallLocation> <FileName> 以將指定的 tar 檔案匯入為新的散發套件,以從共用或儲存裝置散發 WSL 映像。

更新和修補 Linux 發行版本和封裝

強烈建議使用 Linux 設定管理員工具來監視和管理 Linux 使用者空間。 有一系列 Linux 設定管理員可供選擇。 請參閱此部落格文章: 在 WSL 2 中快速執行 Puppet。

Windows 文件系統存取

當 WSL 內的 Linux 二進制檔存取 Windows 檔案時,它會以執行 wsl.exe之 Windows 使用者的使用者許可權執行。 因此,即使Linux使用者具有WSL內的根存取權,但如果Windows用戶沒有這些許可權,他們也無法在Windows上執行Windows系統管理員層級作業。 對於 WSL 的 Windows 檔案和 Windows 可執行檔存取,執行殼層的許可權 bash 與從 Windows 執行的許可權與該使用者相同 powershell

支援

  • 使用 wsl --importwsl --export 在內部共用已核准的映像
  • 使用 WSL 散發版本啟動器存放庫 為企業建立您自己的 WSL 散發版本
  • 使用 適用於端點的 Microsoft Defender 監視 WSL 散發版本內的安全性事件 (MDE)
  • 使用防火牆設定來控制 WSL 中的網路功能(包括將 Windows 防火牆設定同步至 WSL)
  • 使用 Intune 或組策略控制 WSL 及其金鑰安全性設定的存取

以下是我們尚未支援但正在調查的功能清單。

目前不支援

以下是 WSL 中目前不支援的常用功能清單。 這些要求位於待辦專案上,我們正在調查新增這些要求的方式。

  • 使用 Windows 工具管理 Linux 發行版本和封裝的更新和修補
  • 擁有 Windows Update 也會更新 WSL 散發版本內容
  • 控制企業中哪些散發使用者可以存取
  • 控制使用者的根存取