Lingkungan perusahaan: Menyiapkan Subsistem Windows untuk Linux untuk perusahaan Anda
Panduan ini ditujukan untuk Administrator TI atau Analis Keamanan yang bertanggung jawab untuk menyiapkan lingkungan kerja perusahaan dengan tujuan mendistribusikan perangkat lunak di beberapa mesin dan mempertahankan tingkat pengaturan keamanan yang konsisten di seluruh mesin kerja tersebut.
Banyak perusahaan menggunakan Microsoft Intune dan Pertahanan Microsoft untuk mengelola pengaturan keamanan ini. Namun, menyiapkan WSL dan mengakses distribusi Linux dalam konteks ini memerlukan beberapa penyiapan tertentu. Panduan ini menyediakan apa yang perlu Anda ketahui untuk mengaktifkan penggunaan Linux yang aman dengan WSL di lingkungan perusahaan.
Enterprise yang direkomendasikan disiapkan dengan Microsoft Defender untuk Titik Akhir, Intune, dan Kontrol Jaringan Tingkat Lanjut
Ada berbagai cara untuk menyiapkan lingkungan perusahaan yang aman, tetapi kami merekomendasikan hal berikut untuk menyiapkan lingkungan aman yang menggunakan WSL.
Prasyarat
Untuk memulai, pastikan bahwa semua perangkat perusahaan telah menginstal versi minimum berikut:
- Windows 10 22H2 atau lebih tinggi, atau Windows 11 22H2 atau lebih tinggi
- Fitur jaringan tingkat lanjut hanya tersedia pada Windows 11 22H2 atau yang lebih tinggi.
- WSL versi 2.0.9 atau lebih tinggi
- Anda dapat memeriksa versi WSL dengan menjalankan
wsl --version.
- Anda dapat memeriksa versi WSL dengan menjalankan
Mengaktifkan integrasi Microsoft Defender untuk Titik Akhir (MDE)
Pertahanan Microsoft untuk Titik Akhir adalah platform keamanan titik akhir perusahaan yang dirancang untuk membantu jaringan perusahaan mencegah, mendeteksi, menyelidiki, dan menanggapi ancaman tingkat lanjut. MDE sekarang terintegrasi dengan WSL sebagai plugin WSL, yang memungkinkan tim keamanan untuk melihat dan terus memantau peristiwa keamanan di semua distribusi WSL yang berjalan dengan Defender for Endpoint sambil berdampak minimal pada performa pada beban kerja pengembang.
Lihat Microsoft Defender untuk Titik Akhir plug-in untuk WSL untuk mempelajari selengkapnya tentang cara memulai.
Mengonfigurasi pengaturan yang direkomendasikan dengan Intune
Microsoft Intune adalah solusi manajemen titik akhir berbasis cloud. Ini mengelola akses pengguna ke sumber daya organisasi dan menyederhanakan manajemen aplikasi dan perangkat di banyak perangkat Anda, termasuk perangkat seluler, komputer desktop, dan titik akhir virtual. Anda dapat menggunakan Microsoft Intune untuk mengelola perangkat di dalam organisasi Anda, yang sekarang juga mencakup pengelolaan akses ke WSL dan pengaturan keamanan utamanya.
Lihat Pengaturan Intune untuk WSL untuk panduan tentang menggunakan InTune untuk mengelola WSL sebagai komponen Windows dan pengaturan yang direkomendasikan.
Menggunakan fitur dan kontrol jaringan tingkat lanjut
Mulai dari Windows 11 22H2 dan WSL 2.0.9 atau yang lebih baru, aturan firewall Windows akan secara otomatis berlaku untuk WSL. Ini memastikan bahwa aturan firewall yang ditetapkan pada host Windows akan secara otomatis berlaku untuk semua distribusi WSL secara default. Untuk panduan tentang menyesuaikan pengaturan firewall untuk WSL, kunjungi Mengonfigurasi firewall Hyper-V.
Selain itu, kami sarankan mengonfigurasi pengaturan di bawah [wsl2] dalam .wslconfig file agar sesuai dengan skenario Enterprise spesifik Anda.
Jaringan mode cermin
networkingMode=mirrored mengaktifkan jaringan mode cermin. Mode jaringan baru ini meningkatkan kompatibilitas dengan lingkungan jaringan yang kompleks, terutama VPN dan banyak lagi, serta menambahkan dukungan untuk fitur jaringan baru yang tidak tersedia dalam mode NAT default seperti IPv6.
Penerowongan DNS
dnsTunneling=true mengubah cara WSL mendapatkan informasi DNS. Pengaturan ini meningkatkan kompatibilitas di lingkungan jaringan yang berbeda, dan memanfaatkan fitur virtualisasi untuk mendapatkan informasi DNS daripada paket jaringan. Disarankan untuk mengaktifkan ini jika mengalami masalah konektivitas, dan dapat sangat membantu saat menggunakan VPN, pengaturan firewall tingkat lanjut, dan banyak lagi.
Proksi otomatis
autoProxy=true memberlakukan WSL untuk menggunakan informasi proksi HTTP Windows. Sebaiknya aktifkan pengaturan ini saat menggunakan proksi di Windows, karena akan membuat proksi tersebut secara otomatis berlaku untuk distribusi WSL Anda.
Membuat gambar WSL kustom
Apa yang biasa disebut sebagai "gambar", hanyalah rekam jepret perangkat lunak Anda dan komponennya yang disimpan ke file. Dalam kasus Subsistem Windows untuk Linux, gambar Anda akan terdiri dari subsistem, distribusinya, dan perangkat lunak dan paket apa pun yang diinstal pada distribusi.
Untuk mulai membuat gambar WSL Anda, pertama-tama instal Subsistem Windows untuk Linux.
Setelah diinstal, gunakan The Microsoft Store untuk Bisnis untuk mengunduh dan menginstal distribusi Linux yang tepat untuk Anda. Buat akun dengan Microsoft Store untuk Bisnis.
Mengekspor gambar WSL Anda
Ekspor gambar WSL kustom Anda dengan menjalankan wsl --export <Distro> <FileName>, yang akan membungkus gambar Anda dalam file tar dan membuatnya siap untuk didistribusikan ke komputer lain. Anda dapat membuat distribusi kustom termasuk CentOS, RedHat, dan lainnya menggunakan panduan distro kustom.
Mendistribusikan gambar WSL Anda
Distribusikan gambar WSL dari perangkat berbagi atau penyimpanan dengan menjalankan wsl --import <Distro> <InstallLocation> <FileName>, yang akan mengimpor file tar yang ditentukan sebagai distribusi baru.
Memperbarui dan menambal distribusi dan paket Linux
Menggunakan alat manajer konfigurasi Linux sangat disarankan untuk memantau dan mengelola ruang pengguna Linux. Ada sejumlah manajer konfigurasi Linux untuk dipilih. Lihat posting blog ini di Menjalankan Boneka dengan cepat di WSL 2.
Akses sistem file Windows
Ketika biner Linux di dalam WSL mengakses file Windows, itu melakukannya dengan izin pengguna pengguna Windows yang menjalankan wsl.exe. Jadi meskipun pengguna Linux memiliki akses root di dalam WSL, mereka tidak dapat melakukan operasi tingkat administrator Windows pada Windows jika pengguna Windows tidak memiliki izin tersebut. Sehubungan dengan file Windows dan akses yang dapat dijalankan Windows dari WSL, menjalankan shell seperti bash memiliki izin tingkat keamanan yang sama seperti yang berjalan powershell dari Windows seperti pengguna tersebut.
Didukung
- Berbagi gambar yang disetujui secara internal menggunakan
wsl --importdanwsl --export - Membuat distro WSL Anda sendiri untuk Enterprise Anda menggunakan repositori WSL Distro Launcher
- Memantau peristiwa keamanan di dalam distro WSL menggunakan Microsoft Defender untuk Titik Akhir (MDE)
- Gunakan pengaturan firewall untuk mengontrol jaringan di WSL (Termasuk menyinkronkan pengaturan firewall Windows ke WSL)
- Mengontrol akses ke WSL dan pengaturan keamanan utamanya dengan Intune atau kebijakan grup
Berikut adalah daftar fitur yang belum kami dukung, tetapi sedang diselidiki.
Saat ini tidak didukung
Di bawah ini adalah daftar fitur yang umum ditanyakan yang saat ini tidak didukung dalam WSL. Permintaan ini ada di backlog kami dan kami sedang menyelidiki cara untuk menambahkannya.
- Mengelola pembaruan dan patching distribusi dan paket Linux menggunakan alat Windows
- Memiliki pembaruan Windows juga memperbarui isi distro WSL
- Mengontrol distribusi mana yang dapat diakses pengguna di Perusahaan Anda
- Mengontrol akses akar untuk pengguna
Windows Subsystem for Linux
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk