Disable-PSRemoting

Módulo:: Microsoft.PowerShell.Core Module

Impede que os pontos de extremidade do PowerShell recebam conexões remotas.

Sintaxe

Default (Predefinição)

Disable-PSRemoting
    [-Force]
    [-WhatIf]
    [-Confirm]
    [<CommonParameters>]

Description

O cmdlet Disable-PSRemoting bloqueia o acesso remoto a todas as configurações de ponto de extremidade de sessão do Windows PowerShell no computador local. Isso inclui quaisquer pontos de extremidade criados pelo PowerShell 6 ou superior.

Para rehabilitar o acesso remoto a todas as configurações de sessão, use o cmdlet Enable-PSRemoting. Isso inclui quaisquer pontos de extremidade criados pelo PowerShell 6 ou superior. Para habilitar o acesso remoto a configurações de sessão selecionadas, use o parâmetro AccessMode do cmdlet Set-PSSessionConfiguration. Você também pode usar os cmdlets Enable-PSSessionConfiguration e Disable-PSSessionConfiguration para habilitar e desabilitar configurações de sessão para todos os usuários. Para obter mais informações sobre configurações de sessão, consulte about_Session_Configurations.

Observação

Mesmo depois de executar Disable-PSRemoting você ainda pode fazer conexões de loopback na máquina local. Uma conexão de loopback é uma sessão remota do PowerShell que se origina e se conecta à mesma máquina local. As sessões remotas de fontes externas permanecem bloqueadas. Para conexões de loopback, você deve usar credenciais implícitas ao longo do parâmetro EnableNetworkAccess. Para obter mais informações sobre conexões de loopback, consulte New-PSSession.

Para executar esse cmdlet, inicie o Windows PowerShell com a opção Executar como administrador opção.

Exemplos

Exemplo 1: Impedir o acesso remoto a todas as configurações de sessão

Este exemplo impede o acesso remoto a todas as configurações de ponto de extremidade de sessão do PowerShell no computador.

Disable-PSRemoting

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these
 steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Exemplo 2: Impedir o acesso remoto a todas as configurações de sessão sem aviso de confirmação

Este exemplo impede o acesso remoto a todas as configurações de ponto de extremidade de sessão do PowerShell no computador sem avisar.

Disable-PSRemoting -Force

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these
 steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Exemplo 3: Efeitos da execução deste cmdlet

Este exemplo mostra o efeito do uso do cmdlet Disable-PSRemoting. Para executar essa sequência de comandos, inicie o PowerShell com a opção Executar como administrador opção.

Depois de desabilitar as configurações de sessões, o cmdlet New-PSSession tenta criar uma sessão remota para o computador local (também conhecido como "loopback"). Como o acesso remoto está desabilitado na máquina local, o comando falha.

Disable-PSRemoting -Force
New-PSSession -ComputerName localhost

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

New-PSSession : [localhost] Connecting to remote server localhost failed with the following error
 message : Access is denied. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:1
+ New-PSSession -ComputerName localhost -ConfigurationName PowerShell.6
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : OpenError: (System.Management.A\u2026tion.RemoteRunspace:RemoteRunspace)
 [New-PSSession], PSRemotingTransportException
+ FullyQualifiedErrorId : AccessDenied,PSSessionOpenFailed

Exemplo 4: Efeitos da execução deste cmdlet e Enable-PSRemoting

Este exemplo mostra o efeito nas configurações de sessão do uso dos cmdlets Disable-PSRemoting e Enable-PSRemoting.

Disable-PSRemoting é usado para desabilitar o acesso remoto a todas as configurações de ponto de extremidade de sessão do PowerShell. O parâmetro Force suprime todos os prompts do usuário. Os cmdlets Get-PSSessionConfiguration e Format-Table exibem as configurações de sessão no computador.

A saída mostra que todos os usuários remotos com um token de rede têm acesso negado às configurações de ponto de extremidade. O grupo de administradores no computador local tem acesso às configurações do ponto de extremidade, desde que estejam se conectando localmente (também conhecido como loopback) e usando credenciais implícitas.

Disable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

Enable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell32        NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
WithProfile                   NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed

Name                          Permission
----                          ----------
microsoft.powershell          BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow BUILTIN\Administrators AccessAllowed
microsoft.powershell32        BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       BUILTIN\Administrators AccessAllowed
WithProfile                   BUILTIN\Administrators AccessAllowed

O cmdlet Enable-PSRemoting reativa o acesso remoto a todas as configurações de ponto de extremidade de sessão do PowerShell no computador. O parâmetro Force suprime todos os prompts do usuário e reinicia o serviço WinRM sem avisar. A nova saída mostra que os descritores de segurança AccessDenied foram removidos de todas as configurações de sessão.

Exemplo 5: Conexões de loopback com configurações de ponto de extremidade de sessão desabilitadas

Este exemplo demonstra como as configurações de ponto de extremidade são desabilitadas e mostra como fazer uma conexão de loopback bem-sucedida com um ponto de extremidade desabilitado. Disable-PSRemoting desabilita todas as configurações de ponto de extremidade de sessão do PowerShell.

Disable-PSRemoting -Force
New-PSSession -ComputerName localhost

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

New-PSSession : [localhost] Connecting to remote server localhost failed with the following error message : Access is
denied. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:1
+ New-PSSession -ComputerName localhost
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
   gTransportException
    + FullyQualifiedErrorId : AccessDenied,PSSessionOpenFailed

New-PSSession -ComputerName localhost -EnableNetworkAccess

 Id Name       Transport ComputerName  ComputerType   State   ConfigurationName   Availability
 -- ----       --------- ------------  ------------   -----   -----------------   ------------
 1  Runspace1  WSMan     localhost     RemoteMachine  Opened  powershell.6           Available

O primeiro uso do New-PSSession tenta criar uma sessão remota para a máquina local. Esse tipo de conexão passa pela pilha de rede e não é um loopback. Consequentemente, a tentativa de conexão com o ponto de extremidade desabilitado falha com um o acesso é negado erro.

O segundo uso do New-PSSession também tenta criar uma sessão remota para a máquina local. Nesse caso, ele é bem-sucedido porque é uma conexão de loopback que ignora a pilha de rede.

Uma conexão de loopback é criada quando as seguintes condições são atendidas:

O nome do computador ao qual se conectar é 'localhost'.
Nenhuma credencial é passada. O usuário conectado atual (credenciais implícitas) é usado para a conexão.
O parâmetro de opção EnableNetworkAccess é usado.

Para obter mais informações sobre conexões de loopback, consulte documento New-PSSession.

Exemplo 6: Impedir o acesso remoto a configurações de sessão com descritores de segurança personalizados

Este exemplo demonstra que o cmdlet Disable-PSRemoting desabilita o acesso remoto a todas as configurações de sessão que incluem configurações de sessão com descritores de segurança personalizados.

Register-PSSessionConfiguration cria o Teste configuração de sessão. O parâmetro FilePath especifica um arquivo de configuração de sessão que personaliza a sessão. O parâmetro ShowSecurityDescriptorUI exibe uma caixa de diálogo que define permissões para a configuração da sessão. Na caixa de diálogo Permissões, criamos permissões personalizadas de acesso total para o usuário indicado.

Os cmdlets Get-PSSessionConfiguration e Format-Table exibem as configurações de sessão e suas propriedades. A saída mostra que o Configuração de sessão de de teste permite acesso interativo e permissões especiais para o usuário indicado.

Disable-PSRemoting desativa o acesso remoto a todas as configurações de sessão.

Register-PSSessionConfiguration -Name Test -FilePath .\TestEndpoint.pssc -ShowSecurityDescriptorUI -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -Wrap

Disable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -Wrap
New-PSSession -ComputerName localhost -ConfigurationName Test

Name                          Permission
----                          ----------
microsoft.powershell          BUILTIN\Administrators AccessAllowed
Test                          NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed,
DOMAIN01\User01 AccessAllowed

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
Test                          NT AUTHORITY\NETWORK AccessDenied, NTAUTHORITY\INTERACTIVE AccessAllowed,
BUILTIN\Administrators AccessAllowed, DOMAIN01\User01 AccessAllowed


[Server01] Connecting to remote server failed with the following error message : Access is denied. For more information, see the about_Rem
ote_Troubleshooting Help topic.
+ CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PSRemotingTransportException
+ FullyQualifiedErrorId : PSSessionOpenFailed

Agora, os cmdlets Get-PSSessionConfiguration e Format-Table mostram que um descritor de segurança AccessDenied para todos os usuários da rede é adicionado a todas as configurações de sessão, incluindo a configuração de sessão de de teste. Embora os outros descritores de segurança não sejam alterados, o descritor de segurança "network_deny_all" tem precedência. Isso é ilustrado pela tentativa de usar New-PSSession para se conectar à configuração de sessão do de teste.

Exemplo 7: Reativar o acesso remoto às configurações de sessão selecionadas

Este exemplo mostra como reativar o acesso remoto somente às configurações de sessão selecionadas. Depois de desativar todas as configurações de sessão, reativamos uma sessão específica.

O cmdlet Set-PSSessionConfiguration é usado para alterar o microsoft. ServerManager configuração de sessão. O AccessMode parâmetro com um valor de Remote reativa o acesso remoto à configuração.

Disable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

Set-PSSessionConfiguration -Name Microsoft.ServerManager -AccessMode Remote -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell32        NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
WithProfile                   NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell32        NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       BUILTIN\Administrators AccessAllowed
WithProfile                   NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed

Parâmetros

-Confirm

Solicita confirmação antes de executar o cmdlet.

Propriedades dos parâmetros

Tipo:	SwitchParameter
Default value:	False
Suporta carateres universais:	False
NãoMostrar:	False
Aliases:	Cf.

Conjuntos de parâmetros

(All)

Position:	Named
Obrigatório:	False
Valor do pipeline:	False
Valor do pipeline por nome de propriedade:	False
Valor dos restantes argumentos:	False

-Force

Força o comando a ser executado sem pedir a confirmação do usuário.

Propriedades dos parâmetros

Tipo:	SwitchParameter
Default value:	None
Suporta carateres universais:	False
NãoMostrar:	False

Conjuntos de parâmetros

(All)

Position:	Named
Obrigatório:	False
Valor do pipeline:	False
Valor do pipeline por nome de propriedade:	False
Valor dos restantes argumentos:	False

-WhatIf

Mostra o que aconteceria se o cmdlet fosse executado. O cmdlet não é executado.

Propriedades dos parâmetros

Tipo:	SwitchParameter
Default value:	False
Suporta carateres universais:	False
NãoMostrar:	False
Aliases:	Wi

Conjuntos de parâmetros

(All)

Position:	Named
Obrigatório:	False
Valor do pipeline:	False
Valor do pipeline por nome de propriedade:	False
Valor dos restantes argumentos:	False

CommonParameters

Este cmdlet suporta os parâmetros comuns: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Para obter mais informações, consulte about_CommonParameters.

Entradas

None

Não é possível canalizar objetos para este cmdlet.

Saídas

None

Este cmdlet não retorna nenhuma saída.

Notas

A desativação das configurações de sessão não desfaz todas as alterações feitas pelos cmdlets Enable-PSRemoting ou Enable-PSSessionConfiguration. Talvez seja necessário desfazer as seguintes alterações manualmente.
1. Pare e desative o serviço WinRM.
2. Exclua o ouvinte que aceita solicitações em qualquer endereço IP.
3. Desative as exceções de firewall para comunicações WS-Management.
4. Restaure o valor de LocalAccountTokenFilterPolicy para 0, que restringe o acesso remoto aos membros do grupo Administradores no computador.
Uma configuração de sessão é um grupo de configurações que definem o ambiente para uma sessão. Cada sessão que se conecta ao computador deve usar uma das configurações de sessão registradas no computador. Ao negar o acesso remoto a todas as configurações de sessão, você efetivamente impede que usuários remotos estabeleçam sessões que se conectam ao computador.

No Windows PowerShell 2.0, Disable-PSRemoting adiciona uma entrada Deny_All aos descritores de segurança de todas as configurações de sessão. Essa configuração impede que todos os usuários criem sessões gerenciadas pelo usuário no computador local. No Windows PowerShell 3.0, Disable-PSRemoting adiciona uma entrada Network_Deny_All aos descritores de segurança de todas as configurações de sessão. Essa configuração impede que usuários em outros computadores criem sessões gerenciadas pelo usuário no computador local, mas permite que os usuários do computador local criem sessões de loopback gerenciadas pelo usuário.

No Windows PowerShell 2.0, Disable-PSRemoting é o equivalente a Disable-PSSessionConfiguration -Name *. No Windows PowerShell 3.0 e versões posteriores, Disable-PSRemoting é o equivalente a Set-PSSessionConfiguration -Name \<Configuration name\> -AccessMode Local

Feedback

Esta página foi útil?

Partilhar via

Disable-PSRemoting

Sintaxe

Default (Predefinição)

Description

Exemplos

Exemplo 1: Impedir o acesso remoto a todas as configurações de sessão

Exemplo 2: Impedir o acesso remoto a todas as configurações de sessão sem aviso de confirmação

Exemplo 3: Efeitos da execução deste cmdlet

Exemplo 4: Efeitos da execução deste cmdlet e Enable-PSRemoting

Exemplo 5: Conexões de loopback com configurações de ponto de extremidade de sessão desabilitadas

Exemplo 6: Impedir o acesso remoto a configurações de sessão com descritores de segurança personalizados

Exemplo 7: Reativar o acesso remoto às configurações de sessão selecionadas

Parâmetros

-Confirm

Propriedades dos parâmetros

Conjuntos de parâmetros

-Force

Propriedades dos parâmetros

Conjuntos de parâmetros

-WhatIf

Propriedades dos parâmetros

Conjuntos de parâmetros

CommonParameters

Entradas

None

Saídas

None

Notas

Ligações Relacionadas

Feedback