Partager via

Disable-PSRemoting

  • Référence
Module:
Microsoft.PowerShell.Core

Empêche les points de terminaison PowerShell de recevoir des connexions à distance.

Syntaxe

Disable-PSRemoting
       [-Force]
       [-WhatIf]
       [-Confirm]
       [<CommonParameters>]

Description

L’applet Disable-PSRemoting de commande bloque l’accès à distance à toutes les configurations de point de terminaison de session Windows PowerShell sur l’ordinateur local. Cela inclut tous les points de terminaison créés par PowerShell 6 ou version ultérieure.

Pour réactiver l’accès à distance à toutes les configurations de session, utilisez l’applet de Enable-PSRemoting commande. Cela inclut tous les points de terminaison créés par PowerShell 6 ou version ultérieure. Pour activer l’accès à distance aux configurations de session sélectionnées, utilisez le paramètre AccessMode de l’applet Set-PSSessionConfiguration de commande. Vous pouvez également utiliser les Enable-PSSessionConfiguration applets de commande et Disable-PSSessionConfiguration les applets de commande pour activer et désactiver les configurations de session pour tous les utilisateurs. Pour plus d'informations sur les configurations de session, consultez about_Session_Configurations.

Remarque

Même après l’exécution Disable-PSRemoting , vous pouvez toujours établir des connexions de bouclage sur l’ordinateur local. Une connexion de bouclage est une session distante PowerShell qui provient et se connecte au même ordinateur local. Les sessions distantes provenant de sources externes restent bloquées. Pour les connexions de bouclage, vous devez utiliser des informations d’identification implicites le long du paramètre EnableNetworkAccess . Pour plus d’informations sur les connexions de bouclage, consultez New-PSSession.

Pour exécuter cette applet de commande, démarrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur .

Exemples

Exemple 1 : Empêcher l’accès à distance à toutes les configurations de session

Cet exemple empêche l’accès à distance à toutes les configurations de point de terminaison de session PowerShell sur l’ordinateur.

Disable-PSRemoting

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these
 steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Exemple 2 : Empêcher l’accès à distance à toutes les configurations de session sans invite de confirmation

Cet exemple empêche l’accès à distance à toutes les configurations de point de terminaison de session PowerShell sur l’ordinateur sans demander d’invite.

Disable-PSRemoting -Force

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these
 steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Exemple 3 : Effets de l’exécution de cette applet de commande

Cet exemple montre l’effet de l’utilisation de l’applet Disable-PSRemoting de commande. Pour exécuter cette séquence de commandes, démarrez PowerShell avec l’option Exécuter en tant qu’administrateur .

Après avoir désactivé les configurations de sessions, l’applet New-PSSession de commande tente de créer une session distante sur l’ordinateur local (également appelée « bouclage »). Étant donné que l’accès à distance est désactivé sur l’ordinateur local, la commande échoue.

Disable-PSRemoting -Force
New-PSSession -ComputerName localhost

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

New-PSSession : [localhost] Connecting to remote server localhost failed with the following error
 message : Access is denied. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:1
+ New-PSSession -ComputerName localhost -ConfigurationName PowerShell.6
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : OpenError: (System.Management.A\u2026tion.RemoteRunspace:RemoteRunspace)
 [New-PSSession], PSRemotingTransportException
+ FullyQualifiedErrorId : AccessDenied,PSSessionOpenFailed

Exemple 4 : Effets de l’exécution de cette applet de commande et Enable-PSRemoting

Cet exemple montre l’effet sur les configurations de session de l’utilisation des applets de commande et Enable-PSRemoting des Disable-PSRemoting applets de commande.

Disable-PSRemoting est utilisé pour désactiver l’accès à distance à toutes les configurations de point de terminaison de session PowerShell. Le paramètre Force supprime toutes les invites de l’utilisateur. Les Get-PSSessionConfiguration applets de commande affichent Format-Table les configurations de session sur l’ordinateur.

La sortie indique que tous les utilisateurs distants disposant d’un jeton réseau sont refusés d’accéder aux configurations de point de terminaison. Le groupe Administrateurs sur l’ordinateur local est autorisé à accéder aux configurations de point de terminaison tant qu’ils se connectent localement (également appelé bouclage) et utilisent des informations d’identification implicites.

Disable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

Enable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell32        NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
WithProfile                   NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed

Name                          Permission
----                          ----------
microsoft.powershell          BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow BUILTIN\Administrators AccessAllowed
microsoft.powershell32        BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       BUILTIN\Administrators AccessAllowed
WithProfile                   BUILTIN\Administrators AccessAllowed

L’applet Enable-PSRemoting de commande réactive l’accès à distance à toutes les configurations de point de terminaison de session PowerShell sur l’ordinateur. Le paramètre Force supprime toutes les invites de l’utilisateur et redémarre le service WinRM sans invite. La nouvelle sortie indique que les descripteurs de sécurité AccessDenied ont été supprimés de toutes les configurations de session.

Exemple 5 : Connexions de bouclage avec des configurations de point de terminaison de session désactivées

Cet exemple montre comment les configurations de point de terminaison sont désactivées et comment établir une connexion de bouclage réussie à un point de terminaison désactivé. Disable-PSRemoting désactive toutes les configurations de point de terminaison de session PowerShell.

Disable-PSRemoting -Force
New-PSSession -ComputerName localhost

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

New-PSSession : [localhost] Connecting to remote server localhost failed with the following error message : Access is
denied. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:1
+ New-PSSession -ComputerName localhost
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
   gTransportException
    + FullyQualifiedErrorId : AccessDenied,PSSessionOpenFailed

New-PSSession -ComputerName localhost -EnableNetworkAccess

Id Name       Transport ComputerName  ComputerType   State   ConfigurationName   Availability
 -- ----       --------- ------------  ------------   -----   -----------------   ------------
 1  Runspace1  WSMan     localhost     RemoteMachine  Opened  powershell.6           Available

La première utilisation des tentatives de création d’une New-PSSession session distante sur l’ordinateur local. Ce type de connexion passe par la pile réseau et n’est pas un bouclage. Par conséquent, la tentative de connexion au point de terminaison désactivé échoue avec une erreur Access refusée .

La deuxième utilisation tente également de New-PSSession créer une session à distance sur l’ordinateur local. Dans ce cas, il réussit, car il s’agit d’une connexion de bouclage qui contourne la pile réseau.

Une connexion de bouclage est créée lorsque les conditions suivantes sont remplies :

  • Le nom de l’ordinateur auquel se connecter est « localhost ».
  • Aucune information d’identification n’est transmise. L’utilisateur connecté actuel (informations d’identification implicites) est utilisé pour la connexion.
  • Le paramètre de commutateur EnableNetworkAccess est utilisé.

Pour plus d’informations sur les connexions de bouclage, consultez le document New-PSSession .

Exemple 6 : Empêcher l’accès à distance aux configurations de session qui ont des descripteurs de sécurité personnalisés

Cet exemple montre que l’applet de commande désactive l’accès Disable-PSRemoting à distance à toutes les configurations de session qui incluent des configurations de session avec des descripteurs de sécurité personnalisés.

Register-PSSessionConfiguration crée la configuration de session de test . Le paramètre FilePath spécifie un fichier de configuration de session qui personnalise la session. Le paramètre ShowSecurityDescriptorUI affiche une boîte de dialogue qui définit des autorisations pour la configuration de session. Dans la boîte de dialogue Autorisations, nous créons des autorisations d’accès complet personnalisées pour l’utilisateur indiqué.

Les Get-PSSessionConfiguration applets de commande affichent Format-Table les configurations de session et leurs propriétés. La sortie indique que la configuration de la session de test autorise l’accès interactif et les autorisations spéciales pour l’utilisateur indiqué.

Disable-PSRemoting désactive l’accès à distance à toutes les configurations de session.

Register-PSSessionConfiguration -Name Test -FilePath .\TestEndpoint.pssc -ShowSecurityDescriptorUI -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -Wrap

Disable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -Wrap
New-PSSession -ComputerName localhost -ConfigurationName Test

Name                          Permission
----                          ----------
microsoft.powershell          BUILTIN\Administrators AccessAllowed
Test                          NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed,
DOMAIN01\User01 AccessAllowed

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
Test                          NT AUTHORITY\NETWORK AccessDenied, NTAUTHORITY\INTERACTIVE AccessAllowed,
BUILTIN\Administrators AccessAllowed, DOMAIN01\User01 AccessAllowed


[Server01] Connecting to remote server failed with the following error message : Access is denied. For more information, see the about_Rem
ote_Troubleshooting Help topic.
+ CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PSRemotingTransportException
+ FullyQualifiedErrorId : PSSessionOpenFailed

À présent, les Get-PSSessionConfiguration applets de commande et Format-Table les applets de commande indiquent qu’un descripteur de sécurité AccessDenied pour tous les utilisateurs réseau est ajouté à toutes les configurations de session, y compris la configuration de la session de test . Bien que les autres descripteurs de sécurité ne soient pas modifiés, le descripteur de sécurité « network_deny_all » est prioritaire. Cela est illustré par la tentative d’utilisation New-PSSession pour se connecter à la configuration de session de test .

Exemple 7 : réactiver l’accès à distance aux configurations de session sélectionnées

Cet exemple illustre comment réactiver l'accès à distance uniquement pour les configurations de session sélectionnées. Après avoir désactivé toutes les configurations de session, nous réactivons une session spécifique.

L’applet Set-PSSessionConfiguration de commande est utilisée pour modifier microsoft . Configuration de session ServerManager . Le paramètre AccessMode avec la valeur Remote réactive l’accès à distance à la configuration.

Disable-PSRemoting -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

Set-PSSessionConfiguration -Name Microsoft.ServerManager -AccessMode Remote -Force
Get-PSSessionConfiguration | Format-Table -Property Name, Permission -AutoSize

WARNING: Disabling the session configurations does not undo all the changes made by the Enable-PSRemoting
 or Enable-PSSessionConfiguration cmdlet. You might have to manually undo the changes by following these steps:
    1. Stop and disable the WinRM service.
    2. Delete the listener that accepts requests on any IP address.
    3. Disable the firewall exceptions for WS-Management communications.
    4. Restore the value of the LocalAccountTokenFilterPolicy to 0, which restricts remote access to
       members of the Administrators group on the computer.

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell32        NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
WithProfile                   NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed

Name                          Permission
----                          ----------
microsoft.powershell          NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell.workflow NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.powershell32        NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed
microsoft.ServerManager       BUILTIN\Administrators AccessAllowed
WithProfile                   NT AUTHORITY\NETWORK AccessDenied, BUILTIN\Administrators AccessAllowed

Paramètres

-Confirm

Vous demande une confirmation avant d’exécuter l’applet de commande.

Type:SwitchParameter
Alias:cf
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Force

Force l’exécution de la commande sans demander la confirmation de l’utilisateur.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-WhatIf

Montre ce qui se passe en cas d’exécution de l’applet de commande. L’applet de commande n’est pas exécutée.

Type:SwitchParameter
Alias:wi
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

Entrées

None

Vous ne pouvez pas diriger les objets vers cette applet de commande.

Sorties

None

Cette applet de commande ne retourne pas de sortie.

Notes

  • La désactivation des configurations de session n’annule pas toutes les modifications apportées par les applets de commande ou Enable-PSSessionConfiguration les Enable-PSRemoting applets de commande. Vous devrez peut-être annuler manuellement les modifications suivantes.

    1. Arrêter et désactiver le service WinRM.
    2. Supprimer l'écouteur qui accepte les demandes sur toutes les adresses IP.
    3. Désactiver les exceptions de pare-feu pour les communications WS-Management.
    4. Restaurer la valeur de LocalAccountTokenFilterPolicy sur 0, ce qui restreint l'accès à distance aux membres du groupe Administrateurs sur l'ordinateur.

    Une configuration de session est un groupe de paramètres qui définissent l'environnement d'une session. Toutes les sessions qui se connectent à l'ordinateur doivent utiliser l'une des configurations de session enregistrées sur l'ordinateur. En refusant l'accès à distance à toutes les configurations de session, vous empêchez effectivement les utilisateurs distants d'établir des sessions de connexion à l'ordinateur.

    Dans Windows PowerShell 2.0, Disable-PSRemoting ajoute une entrée Deny_All aux descripteurs de sécurité de toutes les configurations de session. Ce paramètre empêche tous les utilisateurs de créer des sessions gérées par l’utilisateur sur l’ordinateur local. Dans Windows PowerShell 3.0, Disable-PSRemoting ajoute une entrée Network_Deny_All aux descripteurs de sécurité de toutes les configurations de session. Ce paramètre empêche les utilisateurs sur d’autres ordinateurs de créer des sessions gérées par l’utilisateur sur l’ordinateur local, mais permet aux utilisateurs de l’ordinateur local de créer des sessions de bouclage gérées par l’utilisateur.

    Dans Windows PowerShell 2.0, Disable-PSRemoting est l’équivalent de Disable-PSSessionConfiguration -Name *. Dans Windows PowerShell 3.0 et versions ultérieures, Disable-PSRemoting est l’équivalent de Set-PSSessionConfiguration -Name \<Configuration name\> -AccessMode Local