Autorisatieregels en beveiligingsfuncties van Windows PowerShell Web Access
Bijgewerkt: 24 juni 2013
Van toepassing op: Windows Server 2012 R2, WindowsServer 2012
Windows PowerShell Web Access in Windows Server 2012 R2 en Windows Server 2012 heeft een beperkend beveiligingsmodel. Gebruikers moeten expliciet toegang krijgen voordat ze zich kunnen aanmelden bij de Windows PowerShell Web Access-gateway en de webgebaseerde Windows PowerShell-console kunnen gebruiken.
Autorisatieregels en sitebeveiliging configureren
Nadat Windows PowerShell Web Access is geïnstalleerd en de gateway is geconfigureerd, kunnen gebruikers de aanmeldingspagina openen in een browser, maar ze kunnen zich pas aanmelden als de Windows PowerShell Web Access-beheerder gebruikers expliciet toegang verleent. Toegangsbeheer voor 'Windows PowerShell Web Access' wordt beheerd met behulp van de set Windows PowerShell cmdlets die in de volgende tabel worden beschreven. Er is geen vergelijkbare GUI voor het toevoegen of beheren van autorisatieregels. Zie Windows PowerShell Web Access-cmdlets.
Beheerders kunnen verificatieregels definiëren {0-n} voor Windows PowerShell Web Access. De standaardbeveiliging is beperkend in plaats van toegestaan; nul verificatieregels betekent dat gebruikers nergens toegang toe hebben.
Add-PswaAuthorizationRule en Test-PswaAuthorizationRule in Windows Server 2012 R2 bevatten een referentieparameter waarmee u Windows PowerShell Web Access-autorisatieregels kunt toevoegen en testen vanaf een externe computer of vanuit een actieve Windows PowerShell Web Access-sessie. Net als bij andere Windows PowerShell cmdlets die een referentieparameter hebben, kunt u een PSCredential-object opgeven als de waarde van de parameter. Als u een PSCredential-object wilt maken dat referenties bevat die u wilt doorgeven aan een externe computer, voert u de cmdlet Get-Credential uit.
Windows PowerShell Web Access-verificatieregels zijn regels voor toestaan. Elke regel is een definitie van een toegestane verbinding tussen gebruikers, doelcomputers en specifieke Windows PowerShell sessieconfiguraties (ook wel eindpunten of runspaces genoemd) op opgegeven doelcomputers. Zie Begin van het gebruik van PowerShell-runspaces voor een uitleg over runspaces
Belangrijk
Een gebruiker heeft slechts één regel nodig om waar te zijn om toegang te krijgen. Als een gebruiker toegang krijgt tot één computer met volledige taaltoegang of alleen toegang tot Windows PowerShell cmdlets voor extern beheer, kan de gebruiker zich vanuit de webconsole aanmelden (of hoppen) op andere computers die zijn verbonden met de eerste doelcomputer. De veiligste manier om Windows PowerShell Web Access te configureren, is om gebruikers alleen toegang te geven tot beperkte sessieconfiguraties waarmee ze specifieke taken kunnen uitvoeren die ze normaal gesproken op afstand moeten uitvoeren.
Met de cmdlets waarnaar wordt verwezen in Windows PowerShell Web Access-cmdlets kan een set toegangsregels worden gemaakt die worden gebruikt om een gebruiker op de Windows PowerShell Web Access-gateway te autoriseren. De regels verschillen van de toegangsbeheerlijsten (ACL's) op de doelcomputer en bieden een extra beveiligingslaag voor webtoegang. Meer informatie over beveiliging wordt beschreven in de volgende sectie.
Als gebruikers geen van de voorgaande beveiligingslagen kunnen doorgeven, ontvangen ze een algemeen bericht 'toegang geweigerd' in hun browservensters. Hoewel beveiligingsdetails worden geregistreerd op de gatewayserver, krijgen eindgebruikers geen informatie te zien over het aantal beveiligingslagen dat ze hebben doorgegeven of op welke laag de aanmeldings- of verificatiefout is opgetreden.
Zie autorisatieregels configureren in dit onderwerp voor meer informatie over het configureren van autorisatieregels .
Beveiliging
Het Windows PowerShell Web Access-beveiligingsmodel heeft vier lagen tussen een eindgebruiker van de webconsole en een doelcomputer. Windows PowerShell Web Access-beheerders kunnen beveiligingslagen toevoegen via extra configuratie in de IIS Manager-console. Zie Webserverbeveiliging (IIS7) configureren voor meer informatie over het beveiligen van websites in de IIS Manager-console.
Zie Best Practices for Preventing DoS/Denial of Service Attacks (Aanbevolen procedures voor het voorkomen van DoS/Denial of Service-aanvallen) voor meer informatie over best practices voor IIS en het voorkomen van Denial of Service-aanvallen. Een beheerder kan ook aanvullende retailverificatiesoftware kopen en installeren.
In de volgende tabel worden de vier beveiligingslagen tussen eindgebruikers en doelcomputers beschreven.
Gedetailleerde informatie over elke laag vindt u onder de volgende koppen:
Beveiligingsfuncties van IIS-webserver
Windows PowerShell Web Access-gebruikers moeten altijd een gebruikersnaam en wachtwoord opgeven om hun account op de gateway te verifiëren. Windows PowerShell Web Access-beheerders echter ook optionele clientcertificaatverificatie kunnen in- of uitschakelen, raadpleegt u Windows PowerShell-webtoegang installeren en gebruiken om een testcertificaat in te schakelen en later een legitiem certificaat configureren).
De optionele functie voor clientcertificaten vereist dat eindgebruikers een geldig clientcertificaat hebben, naast hun gebruikersnamen en wachtwoorden, en maakt deel uit van de configuratie van webserver (IIS). Wanneer de clientcertificaatlaag is ingeschakeld, wordt op de aanmeldingspagina van Windows PowerShell Web Access gebruikers gevraagd geldige certificaten op te geven voordat hun aanmeldingsreferenties worden geëvalueerd. Clientcertificaatverificatie controleert automatisch op het clientcertificaat. Als er geen geldig certificaat wordt gevonden, informeert Windows PowerShell Web Access gebruikers, zodat ze het certificaat kunnen verstrekken. Als er een geldig clientcertificaat wordt gevonden, opent Windows PowerShell Web Access de aanmeldingspagina waar gebruikers hun gebruikersnamen en wachtwoorden kunnen opgeven.
Dit is een voorbeeld van aanvullende beveiligingsinstellingen die worden aangeboden door IIS-webserver. Zie Webserverbeveiliging configureren (IIS 7) voor meer informatie over andere IIS-beveiligingsfuncties.
gatewayverificatie op basis van Windows PowerShell Web Access-formulieren
De aanmeldingspagina van Windows PowerShell Web Access vereist een set referenties (gebruikersnaam en wachtwoord) en biedt gebruikers de mogelijkheid om verschillende referenties op te geven voor de doelcomputer. Als de gebruiker geen alternatieve referenties opgeeft, worden de primaire gebruikersnaam en het wachtwoord die worden gebruikt om verbinding te maken met de gateway ook gebruikt om verbinding te maken met de doelcomputer.
De vereiste referenties worden geverifieerd op de Windows PowerShell Web Access-gateway. Deze referenties moeten geldige gebruikersaccounts zijn op de lokale Windows PowerShell Web Access-gatewayserver of in Active Directory.
Windows PowerShell Web Access-autorisatieregels
Nadat een gebruiker is geverifieerd bij de gateway, controleert Windows PowerShell Web Access de autorisatieregels om te controleren of de gebruiker toegang heeft tot de aangevraagde doelcomputer. Nadat de autorisatie is geslaagd, worden de referenties van de gebruiker doorgegeven aan de doelcomputer.
Deze regels worden pas geëvalueerd nadat een gebruiker is geverifieerd door de gateway en voordat een gebruiker kan worden geverifieerd op een doelcomputer.
Doelverificatie- en autorisatieregels
De laatste beveiligingslaag voor Windows PowerShell Web Access is de eigen beveiligingsconfiguratie van de doelcomputer. Gebruikers moeten beschikken over de juiste toegangsrechten die zijn geconfigureerd op de doelcomputer en ook in de Windows PowerShell Web Access-autorisatieregels, om een Windows PowerShell webconsole uit te voeren die van invloed is op een doelcomputer via Windows PowerShell Web Access.
Deze laag biedt dezelfde beveiligingsmechanismen waarmee verbindingspogingen worden geëvalueerd als gebruikers een externe Windows PowerShell-sessie met een doelcomputer willen maken vanuit Windows PowerShell door de cmdlets Enter-PSSession of New-PSSession uit te voeren.
Standaard gebruikt Windows PowerShell Web Access de primaire gebruikersnaam en het primaire wachtwoord voor verificatie op zowel de gateway als de doelcomputer. De webgebaseerde aanmeldingspagina, in een sectie met de titel Optionele verbindingsinstellingen, biedt gebruikers de mogelijkheid om verschillende referenties op te geven voor de doelcomputer, indien nodig. Als de gebruiker geen alternatieve referenties opgeeft, worden de primaire gebruikersnaam en het wachtwoord die worden gebruikt om verbinding te maken met de gateway ook gebruikt om verbinding te maken met de doelcomputer.
Autorisatieregels kunnen worden gebruikt om gebruikers toegang te geven tot een bepaalde sessieconfiguratie. U kunt beperkte runspaces of sessieconfiguraties maken voor Windows PowerShell Web Access en specifieke gebruikers toestaan alleen verbinding te maken met specifieke sessieconfiguraties wanneer ze zich aanmelden bij Windows PowerShell Web Access. U kunt toegangsbeheerlijsten (ACL's) gebruiken om te bepalen welke gebruikers toegang hebben tot specifieke eindpunten en de toegang tot het eindpunt verder beperken voor een specifieke set gebruikers met behulp van autorisatieregels die in deze sectie worden beschreven. Zie Een beperkte runspace maken voor meer informatie over beperkte runspaces.
Autorisatieregels configureren
Beheerders willen waarschijnlijk dezelfde autorisatieregel voor Windows PowerShell Web Access-gebruikers die al in hun omgeving zijn gedefinieerd voor Windows PowerShell extern beheer. In de eerste procedure in deze sectie wordt beschreven hoe u een beveiligde autorisatieregel toevoegt die toegang verleent aan één gebruiker, die zich aanmeldt om één computer te beheren en binnen één sessieconfiguratie. In de tweede procedure wordt beschreven hoe u een autorisatieregel verwijdert die niet meer nodig is.
Als u van plan bent om aangepaste sessieconfiguraties te gebruiken zodat specifieke gebruikers alleen binnen beperkte runspaces in Windows PowerShell Web Access kunnen werken, maakt u uw aangepaste sessieconfiguraties voordat u autorisatieregels toevoegt die ernaar verwijzen. U kunt de Windows PowerShell Web Access-cmdlets niet gebruiken om aangepaste sessieconfiguraties te maken. Zie about_Session_Configuration_Files voor meer informatie over het maken van aangepaste sessieconfiguraties.
Windows PowerShell Web Access-cmdlets ondersteunen één jokerteken, een sterretje ( * ). Jokertekens in tekenreeksen worden niet ondersteund; gebruik één sterretje per eigenschap (gebruikers, computers of sessieconfiguraties).
Notitie
Zie andere scenariovoorbeelden voor autorisatieregels in dit onderwerp voor meer manieren waarop u autorisatieregels kunt gebruiken om gebruikers toegang te verlenen en de Windows PowerShell Web Access-omgeving te beveiligen.
Een beperkende autorisatieregel toevoegen
Doe het volgende om een Windows PowerShell-sessie met verhoogde gebruikersrechten te openen.
Klik op het bureaublad van Windows met de rechtermuisknop op Windows PowerShell op de taakbalk en klik vervolgens op Als administrator uitvoeren.
Klik in het startscherm van Windows met de rechtermuisknop op Windows PowerShell en klik vervolgens op Als administrator uitvoeren.
Optionele stap Voor het beperken van gebruikerstoegang met behulp van sessieconfiguraties:
Controleer of de sessieconfiguraties die u wilt gebruiken, al bestaan in uw regels .
Als deze nog niet zijn gemaakt, gebruikt u instructies voor het maken van sessieconfiguraties in about_Session_Configuration_Files.
Met deze autorisatieregel heeft een specifieke gebruiker toegang tot één computer in het netwerk waartoe deze doorgaans toegang heeft, met toegang tot een specifieke sessieconfiguratie die is afgestemd op de typische script- en cmdlet-behoeften van de gebruiker. Typ het volgende en druk op Enter.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- In het volgende voorbeeld krijgt een gebruiker met de naam JSmith in het Contoso-domein toegang om de computer Contoso_214 te beheren en een sessieconfiguratie met de naam NewAdminsOnly te gebruiken.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlyControleer of de regel is gemaakt door de cmdlet Get-PswaAuthorizationRule of
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>uit te voeren. BijvoorbeeldTest-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214.
Een autorisatieregel verwijderen
Als er nog geen Windows PowerShell sessie is geopend, raadpleegt u stap 1 van om een beperkende autorisatieregel toe te voegen in deze sectie.
Typ het volgende en druk op Enter, waarbij regel-id het unieke id-nummer vertegenwoordigt van de regel die u wilt verwijderen.
Remove-PswaAuthorizationRule -ID <rule ID>Als u het id-nummer niet weet, maar wel de beschrijvende naam weet van de regel die u wilt verwijderen, kunt u de naam van de regel ophalen en deze doorsturen naar de
Remove-PswaAuthorizationRulecmdlet om de regel te verwijderen, zoals wordt weergegeven in het volgende voorbeeld:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Notitie
U wordt niet gevraagd om te bevestigen of u de opgegeven autorisatieregel wilt verwijderen; de regel wordt verwijderd wanneer u op Enter drukt. Zorg ervoor dat u de autorisatieregel wilt verwijderen voordat u de Remove-PswaAuthorizationRule cmdlet uitvoert.
Andere voorbeelden van autorisatieregelscenario's
Elke Windows PowerShell sessie maakt gebruik van een sessieconfiguratie. Als er geen is opgegeven voor een sessie, gebruikt Windows PowerShell de standaard, ingebouwde Windows PowerShell sessieconfiguratie, genaamd Microsoft.PowerShell. De standaardsessieconfiguratie bevat alle cmdlets die beschikbaar zijn op een computer. Beheerders kunnen de toegang tot alle computers beperken door een sessieconfiguratie te definiëren met een beperkte runspace (een beperkt bereik van cmdlets en taken die hun eindgebruikers kunnen uitvoeren). Een gebruiker die toegang krijgt tot één computer met volledige taaltoegang of alleen de cmdlets voor Windows PowerShell extern beheer, kan verbinding maken met andere computers die zijn verbonden met de eerste computer. Het definiëren van een beperkte runspace kan voorkomen dat gebruikers toegang krijgen tot andere computers vanaf hun toegestane Windows PowerShell runspace en verbetert de beveiliging van uw Windows PowerShell Web Access-omgeving. De sessieconfiguratie kan worden gedistribueerd (met behulp van groepsbeleid) naar alle computers die beheerders toegankelijk willen maken via Windows PowerShell Web Access. Zie about_Session_Configurations (Engelstalig) voor meer informatie over sessieconfiguraties. Hier volgen enkele voorbeelden van dit scenario.
Een beheerder maakt een eindpunt met de naam PswaEndpoint met een beperkte runspace. Vervolgens maakt de beheerder een regel,
*,*,PswaEndpoint, en distribueert het eindpunt naar andere computers. Met de regel hebben alle gebruikers toegang tot alle computers met het eindpunt PswaEndpoint. Als dit de enige autorisatieregel is die is gedefinieerd in de regelset, zijn computers zonder dat eindpunt niet toegankelijk.De beheerder heeft een eindpunt gemaakt met een beperkte runspace met de naam PswaEndpoint en wil de toegang beperken tot specifieke gebruikers. De beheerder maakt een groep gebruikers met de naam Level1Support en definieert de volgende regel: Level1Support,*,PswaEndpoint. De regel verleent alle gebruikers in de groep Level1Support toegang tot alle computers met de PswaEndpoint-configuratie . Op dezelfde manier kan de toegang worden beperkt tot een specifieke set computers.
Sommige beheerders bieden bepaalde gebruikers meer toegang dan andere. Een beheerder maakt bijvoorbeeld twee gebruikersgroepen, Admins en BasicSupport. De beheerder maakt ook een eindpunt met een beperkte runspace met de naam PswaEndpoint en definieert de volgende twee regels: Admins,*,* and BasicSupport,*,PswaEndpoint. De eerste regel biedt alle gebruikers in de Beheer groep toegang tot alle computers, en de tweede regel geeft alle gebruikers in de BasicSupport-groep alleen toegang tot die computers met PswaEndpoint.
Een beheerder heeft een privétestomgeving ingesteld en wil alle geautoriseerde netwerkgebruikers toegang geven tot alle computers in het netwerk waartoe ze doorgaans toegang hebben, met toegang tot alle sessieconfiguraties waartoe ze doorgaans toegang hebben. Omdat dit een privétestomgeving is, maakt de beheerder een autorisatieregel die niet veilig is. - De beheerder voert de cmdlet
Add-PswaAuthorizationRule * * *uit, die het jokerteken * gebruikt om alle gebruikers, alle computers en alle configuraties weer te geven. - Deze regel is het equivalent van het volgende:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Notitie
Deze regel wordt niet aanbevolen in een beveiligde omgeving en omzeilt de autorisatieregellaag van de beveiliging die wordt geboden door Windows PowerShell Web Access.
Een beheerder moet gebruikers toestaan om verbinding te maken met doelcomputers in een omgeving die zowel werkgroepen als domeinen bevat, waarbij werkgroepcomputers af en toe worden gebruikt om verbinding te maken met doelcomputers in domeinen en computers in domeinen af en toe worden gebruikt om verbinding te maken met doelcomputers in werkgroepen. De beheerder heeft een gatewayserver, PswaServer, in een werkgroep; en doelcomputer srv1.contoso.com zich in een domein bevindt. Gebruiker Chris is een geautoriseerde lokale gebruiker op zowel de werkgroepgatewayserver als de doelcomputer. Zijn gebruikersnaam op de werkgroepserver is chrisLocal; en zijn gebruikersnaam op de doelcomputer is contoso\chris. Om toegang tot srv1.contoso.com voor Chris te autoriseren, voegt de beheerder de volgende regel toe.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
In het voorgaande regelvoorbeeld wordt Chris geverifieerd op de gatewayserver en wordt vervolgens zijn toegang tot srv1 geautoriseerd. Op de aanmeldingspagina moet Chris een tweede set referenties opgeven in het gebied Optionele verbindingsinstellingen (contoso\chris). De gatewayserver gebruikt de extra set referenties om hem te verifiëren op de doelcomputer , srv1.contoso.com.
In het voorgaande scenario maakt Windows PowerShell Web Access pas verbinding met de doelcomputer nadat het volgende is gelukt en is toegestaan door ten minste één autorisatieregel.
Verificatie op de werkgroepgatewayserver door een gebruikersnaam in de indeling server_name\user_name toe te voegen aan de autorisatieregel
Verificatie op de doelcomputer met behulp van alternatieve referenties op de aanmeldingspagina, in het gebied Optionele verbindingsinstellingen
Notitie
Als gateway- en doelcomputers zich in verschillende werkgroepen of domeinen bevinden, moet er een vertrouwensrelatie tot stand worden gebracht tussen de twee werkgroepcomputers, de twee domeinen, of tussen de werkgroep en het domein. Deze relatie kan niet worden geconfigureerd met behulp van cmdlets voor Windows PowerShell Web Access-autorisatieregel. Autorisatieregels definiëren geen vertrouwensrelatie tussen computers; Ze kunnen gebruikers alleen machtigen om verbinding te maken met specifieke doelcomputers en sessieconfiguraties. Zie Domein- en forestvertrouwensrelaties maken voor meer informatie over het configureren van een vertrouwensrelatie tussen verschillende domeinen. Zie Extern beheer met Serverbeheer voor meer informatie over het toevoegen van werkgroepcomputers aan een lijst met vertrouwde hosts.
Eén set autorisatieregels gebruiken voor meerdere sites
Autorisatieregels worden opgeslagen in een XML-bestand. De padnaam van het XML-bestand is $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xmlstandaard .
Het pad naar het XML-bestand met autorisatieregels wordt opgeslagen in het powwa.config-bestand , dat te vinden is in $env:windir\Web\PowershellWebAccess\data. De beheerder heeft de flexibiliteit om de verwijzing naar het standaardpad in powwa.config aan te passen aan voorkeuren of vereisten. Als de beheerder de locatie van het bestand kan wijzigen, kunnen meerdere Windows PowerShell Web Access-gateways dezelfde autorisatieregels gebruiken als een dergelijke configuratie gewenst is.
Sessiebeheer
Standaard beperkt Windows PowerShell Web Access een gebruiker tot drie sessies tegelijk. U kunt het web.config-bestand van de webtoepassing in IIS-beheer bewerken om een ander aantal sessies per gebruiker te ondersteunen. Het pad naar het web.config-bestand is $env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
De IIS-webserver is standaard geconfigureerd om de groep van toepassingen opnieuw te starten als er instellingen worden bewerkt. De groep van toepassingen wordt bijvoorbeeld opnieuw gestart als er wijzigingen worden aangebracht in het web.config-bestand . >Omdat Windows PowerShell Web Access sessiestatussen in het geheugen gebruikt, >gaan gebruikers die zijn aangemeld bij Windows PowerShell Web Access-sessies hun sessies kwijt wanneer de groep van toepassingen opnieuw wordt gestart.
Standaardparameters instellen op de aanmeldingspagina
Als uw Windows PowerShell Web Access-gateway wordt uitgevoerd op Windows Server 2012 R2, kunt u standaardwaarden configureren voor de instellingen die worden weergegeven op de aanmeldingspagina van Windows PowerShell Web Access. U kunt waarden configureren in het web.config-bestand dat in de vorige alinea wordt beschreven. Standaardwaarden voor de instellingen van de aanmeldingspagina vindt u in de sectie appSettings van het web.config-bestand. Hier volgt een voorbeeld van de sectie appSettings . Geldige waarden voor veel van deze instellingen zijn dezelfde als die voor de bijbehorende parameters van de cmdlet New-PSSession in Windows PowerShell.
De sleutel, zoals weergegeven in het volgende codeblok, is bijvoorbeeld defaultApplicationName de waarde van de $PSSessionApplicationName voorkeursvariabele op de doelcomputer.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Time-outs en niet-geplande verbroken verbindingen
Windows PowerShell Web Access-sessies een time-out. In Windows PowerShell Web Access die wordt uitgevoerd op Windows Server 2012, wordt er een time-outbericht weergegeven voor aangemelde gebruikers na 15 minuten inactiviteit van de sessie. Als de gebruiker niet binnen vijf minuten reageert nadat het time-outbericht is weergegeven, wordt de sessie beëindigd en wordt de gebruiker afgemeld. U kunt time-outperioden voor sessies wijzigen in de website-instellingen in IIS-beheer.
In Windows PowerShell Web Access die wordt uitgevoerd op Windows Server 2012 R2, treedt er na 20 minuten van inactiviteit standaard een time-out op voor sessies. Als gebruikers geen verbinding hebben met sessies in de webconsole vanwege netwerkfouten of andere ongeplande afsluitingen of storingen, en niet omdat ze de sessies zelf hebben gesloten, blijven de Windows PowerShell Web Access-sessies worden uitgevoerd, verbonden met doelcomputers, totdat de time-outperiode aan de clientzijde is verstreken. De sessie wordt verbroken na de standaard 20 minuten of na de time-outperiode die is opgegeven door de gatewaybeheerder, afhankelijk van wat korter is.
Als op de gatewayserver Windows Server 2012 R2 wordt uitgevoerd, kunnen gebruikers met Windows PowerShell Web Access op een later tijdstip opnieuw verbinding maken met opgeslagen sessies, maar wanneer netwerkfouten, niet-geplande afsluitingen of andere fouten bij het verbreken van sessies worden verbroken, kunnen gebruikers opgeslagen sessies pas zien of opnieuw verbinding maken met opgeslagen sessies nadat de time-outperiode is verstreken die is opgegeven door de gatewaybeheerder.