Unternehmensumgebung: Einrichten des Windows-Subsystems für Linux für Ihr Unternehmen
Dieser Leitfaden richtet sich an IT-Administratoren oder Sicherheitsanalysten, die für die Einrichtung von Unternehmensarbeitsumgebungen mit dem Ziel verantwortlich sind, Software auf mehreren Computern zu verteilen und ein einheitliches Maß an Sicherheitseinstellungen auf diesen Arbeitscomputern aufrechtzuerhalten.
Viele Unternehmen verwenden Microsoft Intune und Microsoft Defender, um diese Sicherheitseinstellungen zu verwalten. Das Einrichten von WSL und der Zugriff auf Linux-Distributionen in diesem Kontext erfordert jedoch ein bestimmtes Setup. Dieser Leitfaden enthält Informationen dazu, was Sie wissen müssen, um die sichere Verwendung von Linux mit WSL in einer Unternehmensumgebung zu ermöglichen.
Empfohlenes Enterprise-Setup mit Microsoft Defender for Endpoint, Intune und erweiterten Netzwerksteuerelementen
Es gibt eine Vielzahl von Möglichkeiten zum Einrichten einer sicheren Unternehmensumgebung, aber wir empfehlen Folgendes zum Einrichten einer sicheren Umgebung, die WSL verwendet.
Voraussetzungen
Um zu beginnen, stellen Sie sicher, dass alle Unternehmensgeräte die folgenden Mindestversionen installiert haben:
- Windows 10 22H2 oder höher oder Windows 11 22H2 oder höher
- Erweiterte Netzwerkfeatures sind nur unter Windows 11 22H2 oder höher verfügbar.
- WSL-Version 2.0.9 oder höher
- Sie können die WSL-Version überprüfen, indem Sie
wsl --version
ausführen.
- Sie können die WSL-Version überprüfen, indem Sie
Aktivieren der Integration von Microsoft Defender for Endpoint (MDE)
Microsoft Defender für Endpunkt (Microsoft Defender Advanced Threat Protection, MDATP) ist eine Endpunktsicherheitsplattform für Unternehmen, die helfen soll, komplexe Bedrohungen zu vermeiden, zu erkennen, zu untersuchen und darauf zu reagieren. MDE ist jetzt als WSL-Plug-In in WSL integriert, mit dem Sicherheitsteams sicherheitsrelevante Ereignisse in allen ausgeführten WSL-Distributionen mit Defender for Endpoint sehen und kontinuierlich überwachen können, während die Leistung für Entwicklerworkloads minimal beeinträchtigt wird.
Weitere Informationen zu den ersten Schritten finden Sie im Microsoft Defender for Endpoint-Plug-In für WSL.
Konfigurieren empfohlener Einstellungen mit Intune
Microsoft Intune ist eine cloudbasierte Endpunktverwaltungslösung. Es verwaltet den Benutzerzugriff auf Organisationsressourcen und vereinfacht die App- und Geräteverwaltung auf ihren vielen Geräten, einschließlich mobiler Geräte, Desktopcomputer und virtueller Endpunkte. Sie können Microsoft Intune verwenden, um Geräte innerhalb Ihrer Organisation zu verwalten, was jetzt auch die Verwaltung des Zugriffs auf WSL und deren wichtigste Sicherheitseinstellungen umfasst.
Unter Intune-Einstellungen für WSL finden Sie Anleitungen zur Verwendung von InTune zum Verwalten von WSL als Windows-Komponente und den empfohlenen Einstellungen.
Verwenden erweiterter Netzwerkfeatures und -steuerelemente
Ab Windows 11 22H2 und WSL 2.0.9 oder höher gelten Windows-Firewallregeln automatisch für WSL. Dadurch wird sichergestellt, dass die auf dem Windows-Host festgelegten Firewallregeln standardmäßig auf alle WSL-Distributionen angewendet werden. Anleitungen zum Anpassen der Firewalleinstellungen für WSL finden Sie unter Hyper-V-Firewall konfigurieren.
Darüber hinaus empfehlen wir die Konfiguration von Einstellungen unter [wsl2]
in der .wslconfig
-Datei für Ihr spezifisches Enterprise-Szenario.
Netzwerk im gespiegelten Modus
networkingMode=mirrored
aktiviert das Netzwerk im gespiegelten Modus. Dieser neue Netzwerkmodus verbessert die Kompatibilität mit komplexen Netzwerkumgebungen, insbesondere VPNs und mehr, sowie das Hinzufügen von Unterstützung für neue Netzwerkfeatures, die im standardmäßigen NAT-Modus wie IPv6 nicht verfügbar sind.
DNS-Tunneling
dnsTunneling=true
ändert, wie WSL DNS-Informationen abruft. Diese Einstellung verbessert die Kompatibilität in verschiedenen Netzwerkumgebungen und verwendet Virtualisierungsfeatures, um DNS-Informationen anstelle eines Netzwerkpakets abzurufen. Es wird empfohlen, dies zu aktivieren, wenn Konnektivitätsprobleme auftreten, und kann besonders hilfreich sein, wenn VPNs, erweiterte Firewalleinstellungen und mehr verwendet werden.
Autoproxy
autoProxy=true
zwingt WSL zur Verwendung der HTTP-Proxyinformationen von Windows. Wir empfehlen, diese Einstellung bei Verwendung eines Proxys unter Windows zu aktivieren, da dieser Proxy so automatisch auf Ihre WSL-Distributionen angewendet wird.
Erstellen eines benutzerdefinierten WSL-Images
Was gemeinhin als „Image“ bezeichnet wird, ist einfach eine in einer Datei gespeicherte Momentaufnahme Ihrer Software und deren Komponenten. Im Fall des Windows-Subsystems für Linux würde Ihr Image aus dem Subsystem, seinen Verteilungen sowie der in den Verteilungen installierten Software und den Paketen bestehen.
Um mit der Erstellung Ihres WSL-Images zu beginnen, müssen Sie zunächst das Windows-Subsystem für Linux installieren.
Nach der Installation verwenden Sie den Microsoft Store, um die für Sie passende Linux-Verteilung herunterzuladen und zu installieren.
Exportieren Ihres WSL-Images
Exportieren Sie Ihr benutzerdefiniertes WSL-Image, indem Sie „wsl --export <Distro> <FileName>
“ ausführen, wodurch das Image in eine TAR-Datei gepackt und für die Verteilung auf anderen Computern vorbereitet wird. Sie können benutzerdefinierte Distributionen wie CentOS, RedHat und mehr mithilfe des benutzerdefinierten Distro-Leitfadens erstellen.
Verteilen Ihres WSL-Images
Verteilen Sie das WSL-Image von einer Freigabe oder einem Speichergerät aus, indem Sie „wsl --import <Distro> <InstallLocation> <FileName>
“ ausführen, wodurch die angegebene TAR-Datei als neue Verteilung importiert wird.
Aktualisieren und Patchen von Linux-Verteilungen und -Paketen
Die Verwendung von Linux-Konfigurations-Manager-Tools wird dringend empfohlen, um Linux-Benutzerspeicher zu überwachen und zu verwalten. Es gibt eine Vielzahl von Linux-Konfigurations-Managern, aus denen Sie auswählen können. Siehe dazu dieser Blogbeitrag zum schnellen Ausführen von Puppet in WSL 2.
Windows-Dateisystemzugriff
Wenn eine Linux-Binärdatei innerhalb von WSL auf eine Windows-Datei zugreift, erfolgt dies mit den Benutzerberechtigungen des Windows-Benutzers, der wsl.exe
ausgeführt hat. Auch wenn ein Linux-Benutzer über Stammzugriff in WSL verfügt, kann er keine Windows-Administratorebenenvorgänge unter Windows ausführen, wenn der Windows-Benutzer nicht über diese Berechtigung verfügt. Was den Zugriff von WSL auf Windows-Dateien und ausführbare Windows-Dateien betrifft, verfügt das Ausführen einer Shell wie bash
über die gleichen Berechtigungen auf Sicherheitsebene wie das Ausführen von powershell
von Windows aus als dieser Benutzer.
Unterstützt
- Internes Freigeben eines genehmigten Images mithilfe von
wsl --import
undwsl --export
- Erstellen einer eigenen WSL-Verteilung für Ihr Unternehmen mit dem WSL Distro Launcher-Repository
- Überwachen von Sicherheitsereignissen innerhalb von WSL-Distros mithilfe von Microsoft Defender for Endpoint (MDE)
- Verwenden von Firewalleinstellungen zum Steuern des Netzwerks in WSL (umfasst die Synchronisierung von Windows-Firewalleinstellungen mit WSL)
- Steuern des Zugriffs auf WSL und dessen Schlüsselsicherheitseinstellungen mit Intune oder Gruppenrichtlinien
Hier ist eine Liste von Features, für die noch keine Unterstützung besteht, die aber untersucht werden.
Derzeit keine Unterstützung
Im Folgenden finden Sie eine Liste häufig nachgefragter Features, die derzeit von WSL nicht unterstützt werden. Diese Anforderungen sind auf unserer Liste, und wir untersuchen, wie wir sie hinzufügen können.
- Verwalten von Updates und Patchen der Linux-Verteilungen und -Pakete mit Windows-Tools
- Verwenden von Windows Update auch für Inhalte von WSL-Verteilungen
- Steuern, auf welche Verteilungen Benutzer in Ihrem Unternehmen zugreifen können
- Steuern des Stammzugriffs für Benutzer
Windows Subsystem for Linux