Корпоративная среда. Настройка подсистемы Windows для Linux для вашей организации
Это руководство предназначено для ИТ-администраторов или аналитиков безопасности, ответственных за настройку корпоративных рабочих сред с целью распространения программного обеспечения на нескольких компьютерах и обеспечения согласованного уровня параметров безопасности на этих рабочих компьютерах.
Многие компании используют Microsoft Intune и Microsoft Defender для управления этими параметрами безопасности. Однако для настройки WSL и доступа к дистрибутивам Linux в этом контексте требуется определенная настройка. В этом руководстве описано, что необходимо знать, чтобы обеспечить безопасное использование Linux с WSL в корпоративной среде.
Рекомендуемая корпоративная настройка с помощью Microsoft Defender для конечной точки, Intune и расширенных сетевых элементов управления
Существует множество способов настройки защищенной корпоративной среды, но рекомендуется настроить безопасную среду, которая использует WSL.
Предварительные требования
Чтобы приступить к работе, убедитесь, что на всех корпоративных устройствах установлены следующие минимальные версии:
- Windows 10 22H2 или более поздней версии или Windows 11 22H2 или более поздней версии
- Расширенные сетевые функции доступны только в Windows 11 22H2 или более поздней версии.
- WSL версии 2.0.9 или более поздней
- Вы можете проверить версию WSL, выполнив команду
wsl --version.
- Вы можете проверить версию WSL, выполнив команду
Включение интеграции Microsoft Defender для конечной точки (MDE)
Microsoft Defender для конечной точки — это корпоративная платформа защиты конечных точек, позволяющая организациям предотвращать, обнаруживать, исследовать современные угрозы в сети и реагировать на них. MDE теперь интегрируется с WSL в качестве подключаемого модуля WSL, что позволяет командам безопасности просматривать и непрерывно отслеживать события безопасности во всех запущенных дистрибутивах WSL с Defender для конечной точки при минимальном влиянии на производительность рабочих нагрузок разработчиков.
Дополнительные сведения о начале работы см. в Microsoft Defender для конечной точки подключаемых модулях WSL.
Настройка рекомендуемых параметров с помощью Intune
Microsoft Intune — это облачное решение для управления конечными точками. Он управляет доступом пользователей к ресурсам организации и упрощает управление приложениями и устройствами на многих устройствах, включая мобильные устройства, настольные компьютеры и виртуальные конечные точки. С помощью Microsoft Intune можно управлять устройствами внутри организации, которые теперь также включают управление доступом к WSL и его ключевым параметрам безопасности.
Сведения об использовании InTune для WSL см. в разделе "Параметры Intune" для управления WSL в качестве компонента Windows и рекомендуемых параметров.
Использование расширенных сетевых функций и элементов управления
Начиная с Windows 11 22H2 и WSL 2.0.9 или более поздней версии правила брандмауэра Windows будут автоматически применяться к WSL. Это гарантирует, что правила брандмауэра, заданные на узле Windows, будут автоматически применяться ко всем дистрибутивам WSL по умолчанию. Инструкции по настройке параметров брандмауэра для WSL см. в статье "Настройка брандмауэра Hyper-V".
Кроме того, рекомендуется настроить параметры [wsl2] в .wslconfig файле , чтобы соответствовать конкретному сценарию Enterprise.
Зеркальное отображение сети
networkingMode=mirrored включает зеркальное отображение сети. Этот новый сетевой режим улучшает совместимость со сложными сетевыми средами, особенно виртуальными сетями и многое другое, а также добавляет поддержку новых сетевых функций, недоступных в режиме NAT по умолчанию, например IPv6.
Туннелирование DNS
dnsTunneling=true изменяет способ получения сведений DNS WSL. Этот параметр улучшает совместимость в разных сетевых средах и использует функции виртуализации для получения сведений DNS, а не сетевого пакета. Рекомендуется включить эту функцию, если возникают проблемы с подключением и может быть особенно полезной при использовании виртуальных сетей, расширенных параметров брандмауэра и т. д.
Автоматический прокси-сервер
autoProxy=true принудительно применяет WSL для использования сведений о ПРОКСИ-сервере Windows. Мы рекомендуем включить этот параметр при использовании прокси-сервера в Windows, так как он автоматически применяется к дистрибутивам WSL.
Создание пользовательского образа WSL
То, что часто называют образом, представляет собой просто моментальный снимок программного обеспечения и его компонентов, сохраненный в файле. В случае Подсистемы Windows для Linux образ будет состоять из подсистемы, ее дистрибутивов, а также установленных программ и пакетов в дистрибутиве.
Чтобы приступить к созданию образа WSL, сначала установите Подсистему Windows для Linux.
После установки используйте Microsoft Store для скачивания и установки дистрибутива Linux, подходящего для вас.
Экспорт образа WSL
Экспортируйте пользовательский образ WSL, выполнив команду wsl --export <Distro> <FileName>, которая упакует образ в файл с расширением .tar и подготовит его для распространения на другие компьютеры. Вы можете создавать пользовательские дистрибутивы, включая CentOS, RedHat и многое другое с помощью настраиваемого руководства по дистрибутиву.
Распространение образа WSL
Распространите образ WSL из общей папки или устройства хранения, выполнив команду wsl --import <Distro> <InstallLocation> <FileName>, которая импортирует указанный файл с расширением .tar в качестве нового дистрибутива.
Обновление и исправление дистрибутивов и пакетов Linux
Настоятельно рекомендуется использовать средства диспетчера конфигурации Linux для мониторинга пространства пользователя Linux и управления им. Есть много диспетчеров конфигурации Linux. Ознакомьтесь с этой записью блога о запуске Puppet быстро в WSL 2.
Доступ к файловой системе Windows
Если двоичный файл Linux внутри WSL обращается к файлу Windows, он делает это с разрешениями пользователя Windows, запущенного пользователем wsl.exe. Таким образом, даже если у пользователя Linux есть корневой доступ внутри WSL, они не могут выполнять операции уровня администратора Windows в Windows, если у пользователя Windows нет этих разрешений. Что касается доступа к файлам Windows и исполняемым файлам Windows из WSL, при выполнении оболочки, как bash и у этого пользователя, есть те же разрешения уровня безопасности, что и в powershell Windows.
Поддерживается
- Совместное использование утвержденного образа с помощью
wsl --importиwsl --export - Создание собственного дистрибутива WSL для предприятия с помощью репозитория WSL Distro Launcher.
- Мониторинг событий безопасности внутри дистрибутивов WSL с помощью Microsoft Defender для конечной точки (MDE)
- Использование параметров брандмауэра для управления сетями в WSL (включает синхронизацию параметров брандмауэра Windows с WSL)
- Управление доступом к WSL и его ключевым параметрам безопасности с помощью Intune или групповой политики
Ниже приведен список функций, которые пока не поддерживаются, но изучаются.
Сейчас не поддерживаются.
Ниже приведен список популярных функций, которые в настоящее время не поддерживаются в WSL. Мы регистрируем запросы по таким функциям и рассматриваем способы их добавления.
- Управление обновлениями и установка исправлений для дистрибутивов и пакетов Linux с помощью средств Windows
- Обновление содержимого WSL также обновляет содержимое дистрибутива в Windows
- Управление тем, к каким дистрибутивам могут получить доступ пользователи вашего предприятия
- Управление корневым доступом для пользователей
Windows Subsystem for Linux