web-dev-qa-db-ja.com

Windows ITショップは、ユーザーに対してWSLを有効にすることについて心配する必要がありますか?

私は窓だけをサポートする場所で働いており、ITを担当する人々は(1)非常に保守的であり、(2)彼らの職業の最前線ではありません。

データサイエンスの作業を容易にするために、Linux用のWindowsサブシステム(WSL)を有効にしたい-単純にLinuxでうまく機能するもの。特に並列処理のforkについて考えていますが、curltmuxhtopsedawkなどの基本的なユーティリティも、など.

WSLが脅威ではないことをこれらの人々に主張しようとする際に、私はオンラインで矛盾していることがわかります。グーグル「WSLセキュリティ」とあなたはbashwareに関する記事に出くわします。明らかに、システムにアクセスしたハッカーはWSLを実行してwineをインストールし、それを使用してWindowsマルウェアをインストールすることができます。

このFOSSの記事 によると、WSLは現在、防御側に統合されています。マルウェアの問題が解決したということですか?

保守的でリスクを嫌うWindows ITショップでWSLを有効にすることについて、賛成または反対の議論をいただければ幸いです。それは実際に危険ですか?なぜか、なぜそうでないのか?

4
generic_user

Windowsユーザーをどの程度ロックダウンしようとしているのか、およびその方法によって異なります。実行できるプログラムが制限されている場合、WSLはそのバイパスです。 Windowsプログラムをフィルタリングするほとんどのツールは、同じカーネルで実行されているLinuxツールを無視します。ただし、ローカル管理者に与えられた場合は、WSLを実行することもできます。 WSLでは、Win32ではできないことは何もできません。

WSLが実際には追加の特権を与えないことは注目に値します。 WSLシェルがrootとして実行されているかどうかに関係なく、(Windows)管理者として起動されたWSLプロセスは、Windowsファイルシステムに対する管理者権限を持ちます(そして、起動するすべてのWindowsプロセスはそれらの管理者権限を継承します)。同様に、管理者以外のWSLシェルは、rootに昇格した場合でも、Windowsファイルシステムまたはカーネルに対して、それを起動した非管理者ユーザー以外の特権を持ちません。これは実際にWSLの初期のバージョンでバグを引き起こしました。この場合、setuidルートビットは実際にはネットワークソケット(NTカーネルのカーネルによって制御されます)で何かを実行する能力を与えなかったため、pingのようなものが機能しませんでした権限)。

すべてのWindowsユーザーは、独自の分離されたWSLインストール(使用する場合)を独自のユーザーと共に取得します。 WSLを使用して、同じ物理的なボックスで他のユーザーを攻撃することもできません(Win32内からそれを行うことができる場合を除きます)。 WSLがセキュリティへの影響のために行う主なことは、いくつかの監視ツールやソフトウェア制限ツールを混乱またはバイパスし、追加のカーネル攻撃面を開くことです(私の知る限り、カーネルへのエクスプロイトベクターとしてWSLを使用した人はいません。 Win32k.sysにさらに多くの脆弱性が見つかると確信しているように、どこかにそこに1つもない場合は驚きます。

4
CBHacking

まず、Security Stackexchangeへようこそ。

WSLが脅威ではないことをこれらの人々に主張しようとする際に、私はオンラインで矛盾していることがわかります。グーグル「WSLセキュリティ」とあなたはbashwareに関する記事に出くわします。

セキュリティの専門家やその他のIT専門家が実際にWSLについて話していること、およびそれが(とりわけ)正規(Ubuntuをもたらした)と共同で開発されたことは、WSLの周りに適切で適切なセキュリティ環境があることを実際に示しています。 Windowsだけの場合よりも優れています。 (私見では)

明らかに、システムにアクセスしたハッカーはWSLを実行し、ワインをインストールし、それを使用してWindowsマルウェアをインストールすることができます。

これは、システムにアクセスするすべての「ハッカー」に当てはまります。また、WSLの内部でウィンドウに感染するためにwineを使用する必要はありません。

Linuxには適切な許可システムがあり、WSL内で利用できます。 (Sudoを使用したり、Sudoを実行する方法やユーザーを制限したりするようなもの)。また、Linuxサービスは(主に)最小限の権限ベースで構築されています。そのため、Windowsサービスよりも平均的に安全です。

LinuxとWSLがどのように機能し、どのように相互作用するかについて、さらに学ぶ必要があります。会社はそこで知識を費やして、WSLとは何か、そしてそれがどのように機能するかについて学ぶために(限られた規模で)始めるのが賢明でしょう。

LinuxシステムとWindowsシステムの主な違いは、どれだけ作業したかです。 WSLで作業することにより、Windowsベースを犠牲にすることなく、Linuxとそのセキュリティシステムについてさらに学ぶことができます。

コンピューターとコンピューターシステムについて常によく知っているとセキュリティが向上するので、さまざまなパラダイムにさらされると、異なる可能性について考えるようになります。

Tl; Dr私は、セキュリティが重要な環境で(したがって、どこでも)動作する企業(そこに価値がある)を推薦し、Linuxの経験を習得して実践することをお勧めします。WSLは、Linuxを使い始めるのに最適な方法ですそれらすべての最低の障壁。これは、エンドユーザーまでの道のりを彼らから費やします

2
LvB