Ambiente empresarial: como sua empresa pode configurar o Subsistema do Windows para Linux
Essa orientação destina-se a administradores de TI ou analistas de segurança responsáveis por configurar ambientes de trabalho corporativos com o objetivo de distribuir software em vários computadores e manter um nível consistente de configurações de segurança entre esses computadores de trabalho.
Muitas empresas usam o Microsoft Intune e o Microsoft Defender para gerenciar essas configurações de segurança. No entanto, configurar o WSL e acessar distribuições do Linux nesse contexto requer algumas configurações específicas. Essa orientação fornece o que você precisa saber para habilitar o uso seguro do Linux com o WSL em um ambiente empresarial.
Configuração recomendada para empresas com Microsoft Defender para Ponto de Extremidade, Intune e controles avançados de rede
Há várias maneiras de configurar um ambiente empresarial seguro, mas recomendamos o seguinte para estabelecer um ambiente seguro que utiliza o WSL.
Pré-requisitos
Para começar, verifique se todos os dispositivos empresariais têm as seguintes versões mínimas instaladas:
- Windows 10 22H2 ou superior ou Windows 11 22H2 ou superior
- Os recursos de rede avançados só estão disponíveis no Windows 11 22H2 ou superior.
- WSL versão 2.0.9 ou superior
- Você pode verificar a versão do WSL executando
wsl --version
.
- Você pode verificar a versão do WSL executando
Habilitar a integração do MDE (Microsoft Defender para Ponto de Extremidade)
O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. O MDE agora se integra ao WSL como um plugin do WSL, que permite que as equipes de segurança vejam e monitorem continuamente eventos de segurança em todas as distribuições WSL em execução com o Defender para Ponto de Extremidade, afetando minimamente o desempenho nas cargas de trabalho do desenvolvedor.
Consulte Plugin do Microsoft Defender para Ponto de Extremidade para WSL para saber mais sobre como começar.
Definir configurações recomendadas com o Intune
O Microsoft Intune é uma solução de gerenciamento de ponto de extremidade baseada em nuvem. Ele gerencia o acesso do usuário aos recursos organizacionais e simplifica o gerenciamento de aplicativos e dispositivos em vários dispositivos, incluindo dispositivos móveis, computadores desktop e pontos de extremidade virtuais. Você pode usar o Microsoft Intune para gerenciar dispositivos dentro de sua organização, o que agora também inclui o gerenciamento de acesso ao WSL e suas principais configurações de segurança.
Consulte Configurações do Intune para WSL para obter diretrizes sobre como usar o Intune para gerenciar o WSL como um componente do Windows e as configurações recomendadas.
Usar recursos e controles de rede avançados
A partir do Windows 11 22H2 e do WSL 2.0.9 ou posterior, as regras de firewall do Windows serão aplicadas automaticamente ao WSL. Isso garante que as regras de firewall definidas no host do Windows se apliquem automaticamente a todas as distribuições WSL por padrão. Para obter diretrizes sobre como personalizar as configurações de firewall para WSL, visite Configurar o firewall do Hyper-V.
Além disso, recomendamos definir as configurações em [wsl2]
no arquivo .wslconfig
para se adequar ao seu cenário Empresarial específico.
Rede de modo espelhado
networkingMode=mirrored
habilita a rede de modo espelhado. Esse novo modo de rede melhora a compatibilidade com ambientes de rede complexos, especialmente VPNs e muito mais, além de adicionar suporte para novos recursos de rede indisponíveis no modo NAT padrão, como IPv6.
Túnel DNS
dnsTunneling=true
altera como o WSL obtém informações de DNS. Essa configuração melhora a compatibilidade em diferentes ambientes de rede e usa recursos de virtualização para obter informações de DNS em vez de um pacote de rede. É recomendável ativar essa opção se houver problemas de conectividade e pode ser especialmente útil ao usar VPNs, configurações avançadas de firewall e outras.
Proxy automático
autoProxy=true
obriga o WSL a usar informações de proxy HTTP do Windows. É recomendável ativar essa configuração ao usar um proxy no Windows, pois isso fará com que esse proxy se aplique automaticamente às distribuições do WSL.
Como criar uma imagem do WSL personalizada
O que é comumente denominado "imagem" é simplesmente um instantâneo do seu software e dos componentes dele salvos em um arquivo. No caso do Subsistema do Windows para Linux, sua imagem seria composta pelo subsistema, as distribuições dele e o software e os pacotes instalados na distribuição.
Para começar a criar sua imagem do WSL, primeiro instale o Subsistema do Windows para Linux.
Após a instalação, use a Microsoft Store para baixar e instalar a distribuição Linux mais adequada para você.
Como exportar sua imagem do WSL
Exporte sua imagem do WSL personalizada executando wsl --export <Distro> <FileName>
, que encapsulará sua imagem em um arquivo tar e a deixará pronta para distribuição para outros computadores. Você pode criar distribuições personalizadas, incluindo CentOS, RedHat e muito mais usando o guia de distribuição personalizada.
Como distribuir sua imagem do WSL
Distribua a imagem do WSL de um dispositivo de compartilhamento ou de armazenamento executando wsl --import <Distro> <InstallLocation> <FileName>
, que importará o arquivo tar especificado como uma nova distribuição.
Atualizar distribuições e pacotes do Linux e aplicar patch deles
Recomenda-se usar o gerenciador de configuração do Linux para monitorar e gerenciar o espaço do usuário do Linux. Há um host de configuração do Linux no qual os gerentes podem escolher. Consulte esta postagem no blog sobre Como executar o Puppet rapidamente no WSL 2.
Acesso ao sistema de arquivos do Windows
Quando um binário do Linux dentro do WSL acessa um arquivo do Windows, ele faz isso com as permissões do usuário do Windows que executou wsl.exe
. Portanto, mesmo que um usuário do Linux tenha acesso raiz dentro do WSL, ele não poderá executar operações de nível de administrador no Windows se o usuário do Windows não tiver essa permissão. No que diz respeito ao arquivo do Windows e ao acesso executável do Windows a partir do WSL, executar um shell como bash
tem as mesmas permissões de nível de segurança que executar powershell
do Windows com esse usuário.
Com suporte
- Compartilhar uma imagem aprovada internamente usando
wsl --import
ewsl --export
- Criar sua distribuição WSL para seu Enterprise usando o repositório WSL Distro Launcher
- Monitorar eventos de segurança dentro das distribuições do WSL usando o Microsoft Defender para Ponto de Extremidade (MDE)
- Usar configurações de firewall para controlar a rede no WSL (inclui sincronizar as configurações de firewall do Windows com o WSL)
- Controlar o acesso ao WSL e suas principais configurações de segurança com o Intune ou a política de grupo
Esta é uma lista de recursos para os quais nós ainda não temos suporte, mas estamos investigando.
Não há suporte no momento
Veja abaixo uma lista de recursos comumente solicitados que atualmente não têm suporte no WSL. Essas solicitações estão em nossa lista de pendências, e estamos investigando maneiras de adicioná-las.
- Gerenciar atualizações e aplicar patch de pacotes e distribuições do Linux usando ferramentas do Windows
- Fazer o Windows Update atualizar também o conteúdo da distribuição WSL
- Controlar quais distribuições os usuários em seu Enterprise podem acessar
- Controlar o acesso raiz para usuários
Windows Subsystem for Linux