WSL 的 Intune 设置
现在可以使用 Intune 等管理工具将 WSL 作为 Windows 组件进行管理。
若要访问这些设置,请导航到 Microsoft Intune 管理中心门户,然后选择:Devices -> Configuration Profiles -> Create -> New Policy -> Windows 10 and later -> Settings catalog为新配置文件创建名称并搜索“适用于 Linux 的 Windows 子系统”以查看并添加可用设置的完整列表。
建议的设置
若要最大程度地提高企业环境中的安全性,建议指定以下设置:
| 设置名称 | “值” | 说明 |
|---|---|---|
| 允许适用于 Linux 的 Windows 子系统的收件箱版本 | 已禁用 | 设置为“已禁用”时,此策略将禁用适用于 Linux 的 Windows 子系统的收件箱版本(可选组件)。 如果禁用此策略,则只能使用 WSL 的存储版本。 在此处详细了解 Microsoft Store WSL 与收件箱 WSL 之间的差异 |
| 允许 WSL1 | 已禁用 | 设置为禁用时,此策略将禁用 WSL1。 禁用后,只能使用 WSL2 分发版。 |
| 允许调试 shell | 已禁用 | 设置为禁用时,此策略将禁用调试 shell (wsl.exe --debug-shell)。 此策略仅适用于存储版 WSL。 |
| 允许自定义内核配置 | 已禁用 | 设置为禁用时,此策略通过 .wslconfig (wsl2.kernel) 禁用自定义内核配置。 此策略仅适用于存储版 WSL。 |
| 允许内核命令行配置 | 已禁用 | 设置为禁用时,此策略通过 .wslconfig (wsl2.kernelCommandLine) 禁用内核命令行配置。 此策略仅适用于存储版 WSL。 |
| 允许自定义系统分发配置 | 已禁用 | 设置为禁用时,此策略通过 .wslconfig (wsl2.systemDistro) 禁用自定义系统分发配置。 此策略仅适用于存储版 WSL。 |
| 允许自定义网络配置 | 已禁用 | 设置为禁用时,此策略禁用通过 wslconfig (wsl2.networkingmode) 自定义网络配置。 此策略仅适用于存储版 WSL。 |
| 允许用户设置防火墙配置 | 已禁用 | 设置为禁用时,此策略禁用通过 .wslconfig (wsl2.firewall) 来进行防火墙配置。 此策略仅适用于存储版 WSL。 |
| 允许嵌套虚拟化 | 已禁用 | 设置为禁用时,此策略禁用通过 .wslconfig (wsl2.nestedVirtualization) 来进行嵌套可视化配置。 此策略仅适用于存储版 WSL。 |
| 允许内核调试 | 已禁用 | 设置为禁用时,此策略禁用通过 .wslconfig (wsl2.kernelDebugPort) 来禁用内核调试配置。 此策略仅适用于存储版 WSL。 |
控制对 WSL 的访问
AllowWSL、AllowInboxWSL 和 AllowWSL1 设置负责控制对 WSL 的用户访问。 可以将这些设置配置为启用或禁用访问 WSL 的 Windows 内版本、WSL 1 发行版或 WSL 本身。
这样,就可以配置 WSL,以确保用户仅使用最新版本的 WSL 和 Enterprise 功能支持。
控制 WSL 命令
AllowDebugShell 和 AllowDiskMount 控制用户是否可以运行 wsl --debug-shell 和 wsl --mount 命令。 详细了解如何使用 wsl --mount 命令在 WSL 2 中装载磁盘。
控制对 .wslconfig 中 WSL 设置的访问
以 *UserSettingConfigurable 结尾的最后一组设置控制对 .wslconfig 中 WSL 高级设置的访问权限。 当这些设置为禁用时,用户只能使用该设置的默认值,并且无法将其配置为自定义值。 详细了解 .wslconfig 的配置设置,包括可为使用 WSL 2 运行的所有 Linux 分发版全局配置的设置列表。
可用设置的完整列表
| 设置名称 | 说明 |
|---|---|
| 允许适用于 Linux 的 Windows 子系统 | 设置为已禁用时,此策略将禁用对计算机上的所有用户对适用于 Linux 的 Windows 子系统的访问。 |
| 允许适用于 Linux 的 Windows 子系统的收件箱版本 | 设置为“已禁用”时,此策略将禁用适用于 Linux 的 Windows 子系统的收件箱版本(可选组件)。 如果禁用此策略,则只能使用 WSL 的存储版本。 |
| 允许 WSL1 | 设置为禁用时,此策略将禁用 WSL1。 禁用后,只能使用 WSL2 分发版。 |
| 允许调试 shell | 设置为禁用时,此策略将禁用调试 shell (wsl.exe --debug-shell)。 此策略仅适用于存储版 WSL。 |
| 允许传递磁盘挂载 | 设置为禁用时,此策略在 WSL2 (wsl.exe --mount) 中禁用传递磁盘挂载。 此策略仅适用于存储版 WSL。 |
| 允许自定义内核配置 | 设置为禁用时,此策略通过 .wslconfig (wsl2.kernel) 禁用自定义内核配置。 此策略仅适用于存储版 WSL。 |
| 允许内核命令行配置 | 设置为禁用时,此策略通过 .wslconfig (wsl2.kernelCommandLine) 禁用内核命令行配置。 此策略仅适用于存储版 WSL。 |
| 允许自定义系统分发配置 | 设置为禁用时,此策略通过 .wslconfig (wsl2.systemDistro) 禁用自定义系统分发配置。 此策略仅适用于存储版 WSL。 |
| 允许自定义网络配置 | 设置为禁用时,此策略禁用通过 wslconfig (wsl2.networkingmode) 自定义网络配置。 此策略仅适用于存储版 WSL。 |
| 允许用户设置防火墙配置 | 设置为禁用时,此策略禁用通过 .wslconfig (wsl2.firewall) 来进行防火墙配置。 此策略仅适用于存储版 WSL。 |
| 允许嵌套虚拟化 | 设置为禁用时,此策略禁用通过 .wslconfig (wsl2.nestedVirtualization) 来进行嵌套可视化配置。 此策略仅适用于存储版 WSL。 |
| 允许内核调试 | 设置为禁用时,此策略禁用通过 .wslconfig (wsl2.kernelDebugPort) 来禁用内核调试配置。 此策略仅适用于存储版 WSL。 |
