Aturan Otorisasi dan Fitur Keamanan akses web Windows PowerShell
Diperbarui: 24 Juni 2013
Berlaku Untuk: Windows Server 2012 R2, Windows Server 2012
Windows PowerShell Web Access di Windows Server 2012 R2 dan Windows Server 2012 memiliki model keamanan yang ketat. Pengguna harus secara eksplisit diberikan akses sebelum mereka dapat masuk ke gateway Windows PowerShell Web Access dan menggunakan konsol Windows PowerShell berbasis web.
Mengonfigurasi aturan otorisasi dan keamanan situs
Setelah Windows PowerShell Web Access diinstal dan gateway dikonfigurasi, pengguna dapat membuka halaman masuk di browser, tetapi mereka tidak dapat masuk hingga administrator Windows PowerShell Web Access memberi pengguna akses secara eksplisit. Kontrol akses 'Windows PowerShell Web Access' dikelola dengan menggunakan kumpulan cmdlet Windows PowerShell yang dijelaskan dalam tabel berikut ini. Tidak ada GUI yang sebanding untuk menambahkan atau mengelola aturan otorisasi. Lihat Windows PowerShell Cmdlet Akses Web.
Administrator dapat menentukan {0-n} aturan autentikasi untuk Windows PowerShell Akses Web. Keamanan default bersifat ketat daripada permisif; aturan autentikasi nol berarti tidak ada pengguna yang memiliki akses ke apa pun.
Add-PswaAuthorizationRule dan Test-PswaAuthorizationRule di Windows Server 2012 R2 menyertakan parameter Kredensial yang memungkinkan Anda menambahkan dan menguji aturan otorisasi Akses Web Windows PowerShell dari komputer jarak jauh, atau dari dalam sesi Akses Web Windows PowerShell aktif. Seperti halnya cmdlet Windows PowerShell lain yang memiliki parameter Kredensial, Anda dapat menentukan objek PSCredential sebagai nilai parameter. Untuk membuat objek PSCredential yang berisi kredensial yang ingin Anda teruskan ke komputer jarak jauh, jalankan cmdlet Get-Credential .
Windows PowerShell aturan autentikasi Akses Web adalah aturan yang diizinkan. Setiap aturan adalah definisi koneksi yang diizinkan antara pengguna, komputer target, dan konfigurasi sesi Windows PowerShell tertentu (juga disebut sebagai titik akhir atau runspace) pada komputer target tertentu. Untuk penjelasan tentang runspace , lihat Mulai Penggunaan Runspace PowerShell
Penting
Pengguna hanya memerlukan satu aturan agar benar untuk mendapatkan akses. Jika pengguna diberi akses ke satu komputer dengan akses bahasa penuh atau akses hanya ke cmdlet manajemen jarak jauh Windows PowerShell, dari konsol berbasis web, pengguna dapat masuk (atau hop) ke komputer lain yang terhubung ke komputer target pertama. Cara paling aman untuk mengonfigurasi Windows PowerShell Web Access adalah dengan mengizinkan pengguna mengakses hanya ke konfigurasi sesi terbatas yang memungkinkan mereka menyelesaikan tugas tertentu yang biasanya perlu mereka lakukan dari jarak jauh.
Cmdlet yang dirujuk dalam cmdlet Windows PowerShell Web Access memungkinkan untuk membuat sekumpulan aturan akses yang digunakan untuk mengotorisasi pengguna di gateway Windows PowerShell Web Access. Aturannya berbeda dari daftar kontrol akses (ACL) pada komputer tujuan, dan memberikan lapisan keamanan tambahan untuk akses web. Detail selengkapnya tentang keamanan dijelaskan di bagian berikut.
Jika pengguna tidak dapat melewati lapisan keamanan sebelumnya, mereka menerima pesan 'akses ditolak' generik di jendela browser mereka. Meskipun detail keamanan dicatat di server gateway, pengguna akhir tidak ditampilkan informasi tentang berapa banyak lapisan keamanan yang mereka lewati, atau di lapisan mana kegagalan masuk atau autentikasi terjadi.
Untuk informasi selengkapnya tentang mengonfigurasi aturan otorisasi, lihat mengonfigurasi aturan otorisasi dalam topik ini.
Keamanan
Model keamanan Windows PowerShell Web Access memiliki empat lapisan antara pengguna akhir konsol berbasis web, dan komputer target. Windows PowerShell administrator Akses Web dapat menambahkan lapisan keamanan melalui konfigurasi tambahan di konsol IIS Manager. Untuk informasi selengkapnya tentang mengamankan situs web di konsol Manajer IIS, lihat Mengonfigurasi Keamanan Server Web (IIS7).
Untuk informasi selengkapnya tentang praktik terbaik IIS dan mencegah serangan penolakan layanan, lihat Praktik Terbaik untuk Mencegah DoS/Penolakan Serangan Layanan. Administrator juga dapat membeli dan menginstal perangkat lunak autentikasi ritel tambahan.
Tabel berikut ini menjelaskan empat lapisan keamanan antara pengguna akhir dan komputer target.
Informasi terperinci tentang setiap lapisan dapat ditemukan di bawah judul berikut:
Fitur keamanan IIS Web Server
Windows PowerShell pengguna Web Access harus selalu memberikan nama pengguna dan kata sandi untuk mengautentikasi akun mereka di gateway. Namun, Windows PowerShell administrator Akses Web juga dapat mengaktifkan atau menonaktifkan autentikasi sertifikat klien opsional, lihat menginstal dan menggunakan akses web windows powershell untuk mengaktifkan sertifikat pengujian dan, nantinya, cara mengonfigurasi sertifikat asli).
Fitur sertifikat klien opsional mengharuskan pengguna akhir memiliki sertifikat klien yang valid, selain nama pengguna dan kata sandi mereka, dan merupakan bagian dari konfigurasi Server Web (IIS). Saat lapisan sertifikat klien diaktifkan, halaman masuk Windows PowerShell Web Access meminta pengguna untuk memberikan sertifikat yang valid sebelum kredensial masuk mereka dievaluasi. Autentikasi sertifikat klien secara otomatis memeriksa sertifikat klien. Jika sertifikat yang valid tidak ditemukan, Windows PowerShell Web Access memberi tahu pengguna, sehingga mereka bisa memberikan sertifikat. Jika sertifikat klien yang valid ditemukan, Windows PowerShell Web Access membuka halaman masuk bagi pengguna untuk memberikan nama pengguna dan kata sandi mereka.
Ini adalah salah satu contoh pengaturan keamanan tambahan yang ditawarkan oleh IIS Web Server. Untuk informasi selengkapnya tentang fitur keamanan IIS lainnya, lihat Mengonfigurasi Keamanan Server Web (IIS 7).
Windows PowerShell autentikasi gateway berbasis formulir Web Access
Halaman masuk Windows PowerShell Web Access memerlukan sekumpulan kredensial (nama pengguna dan kata sandi) dan menawarkan opsi kepada pengguna untuk memberikan kredensial yang berbeda untuk komputer target. Jika pengguna tidak memberikan kredensial alternatif, nama pengguna dan kata sandi utama yang digunakan untuk menyambungkan ke gateway juga digunakan untuk menyambungkan ke komputer target.
Kredensial yang diperlukan diautentikasi pada gateway Windows PowerShell Web Access. Kredensial ini harus merupakan akun pengguna yang valid di server gateway Windows PowerShell Web Access lokal, atau di Direktori Aktif.
Windows PowerShell aturan otorisasi Akses Web
Setelah pengguna diautentikasi di gateway, Windows PowerShell Web Access memeriksa aturan otorisasi untuk memverifikasi apakah pengguna memiliki akses ke komputer target yang diminta. Setelah otorisasi berhasil, kredensial pengguna diteruskan ke komputer target.
Aturan ini dievaluasi hanya setelah pengguna diautentikasi oleh gateway, dan sebelum pengguna dapat diautentikasi pada komputer target.
Aturan autentikasi dan otorisasi target
Lapisan akhir keamanan untuk Windows PowerShell Web Access adalah konfigurasi keamanan komputer target sendiri. Pengguna harus memiliki hak akses yang sesuai yang dikonfigurasi pada komputer target, dan juga dalam aturan otorisasi Windows PowerShell Web Access, untuk menjalankan konsol berbasis web Windows PowerShell yang memengaruhi komputer target melalui Windows PowerShell Web Access.
Lapisan ini menawarkan mekanisme keamanan yang sama yang akan mengevaluasi upaya koneksi jika pengguna mencoba membuat sesi Windows PowerShell jarak jauh ke komputer target dari dalam Windows PowerShell dengan menjalankan cmdlet Enter-PSSession atau New-PSSession.
Secara default, Windows PowerShell Web Access menggunakan nama pengguna dan kata sandi utama untuk autentikasi pada gateway dan komputer target. Halaman masuk berbasis web, di bagian berjudul Pengaturan koneksi opsional, menawarkan opsi kepada pengguna untuk memberikan kredensial yang berbeda untuk komputer target, jika diperlukan. Jika pengguna tidak memberikan kredensial alternatif, nama pengguna dan kata sandi utama yang digunakan untuk menyambungkan ke gateway juga digunakan untuk menyambungkan ke komputer target.
Aturan otorisasi dapat digunakan untuk mengizinkan pengguna mengakses konfigurasi sesi tertentu. Anda dapat membuat runspace terbatas atau konfigurasi sesi untuk Windows PowerShell Web Access, dan mengizinkan pengguna tertentu untuk terhubung hanya ke konfigurasi sesi tertentu saat mereka masuk ke Windows PowerShell Web Access. Anda dapat menggunakan daftar kontrol akses (ACL) untuk menentukan pengguna mana yang memiliki akses ke titik akhir tertentu, dan membatasi akses lebih lanjut ke titik akhir untuk sekumpulan pengguna tertentu dengan menggunakan aturan otorisasi yang dijelaskan di bagian ini. Untuk informasi selengkapnya tentang runspace terbatas, lihat Membuat runspace yang dibatasi.
Mengonfigurasi aturan otorisasi
Administrator kemungkinan menginginkan aturan otorisasi yang sama untuk pengguna Windows PowerShell Web Access yang sudah ditentukan di lingkungan mereka untuk manajemen jarak jauh Windows PowerShell. Prosedur pertama di bagian ini menjelaskan cara menambahkan aturan otorisasi aman yang memberikan akses ke satu pengguna, masuk untuk mengelola satu komputer, dan dalam satu konfigurasi sesi. Prosedur kedua menjelaskan cara menghapus aturan otorisasi yang tidak lagi diperlukan.
Jika Anda berencana menggunakan konfigurasi sesi kustom untuk memungkinkan pengguna tertentu hanya berfungsi dalam runspace terbatas di Windows PowerShell Web Access, buat konfigurasi sesi kustom Anda sebelum Anda menambahkan aturan otorisasi yang merujuknya. Anda tidak dapat menggunakan cmdlet Windows PowerShell Web Access untuk membuat konfigurasi sesi kustom. Untuk informasi selengkapnya tentang membuat konfigurasi sesi kustom, lihat about_Session_Configuration_Files.
Windows PowerShell cmdlet Web Access mendukung satu karakter kartubebas, tanda bintang ( * ). Karakter kartubebas dalam string tidak didukung; gunakan tanda bintang tunggal per properti (pengguna, komputer, atau konfigurasi sesi).
Catatan
Untuk cara lain Anda dapat menggunakan aturan otorisasi untuk memberikan akses ke pengguna dan membantu mengamankan lingkungan Windows PowerShell Web Access, lihat contoh skenario aturan otorisasi lainnya dalam topik ini.
Untuk menambahkan aturan otorisasi terbatas
Lakukan salah satu hal berikut ini untuk membuka sesi Windows PowerShell dengan hak pengguna yang ditingkatkan.
Pada desktop Windows, klik kanan Windows PowerShell pada taskbar, lalu klik Jalankan sebagai Administrator.
Pada layar Mulai Windows, klik kanan Windows PowerShell, lalu klik Jalankan sebagai Administrator.
Langkah opsional Untuk membatasi akses pengguna dengan menggunakan konfigurasi sesi:
Verifikasi bahwa konfigurasi sesi yang ingin Anda gunakan, sudah ada dalam aturan Anda.
Jika belum dibuat, gunakan instruksi untuk membuat konfigurasi sesi di about_Session_Configuration_Files.
Aturan otorisasi ini memungkinkan akses pengguna tertentu ke satu komputer di jaringan tempat mereka biasanya memiliki akses, dengan akses ke konfigurasi sesi tertentu yang tercakup dalam kebutuhan pembuatan skrip dan cmdlet khas pengguna. Ketik yang berikut ini, lalu tekan Enter.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- Dalam contoh berikut, pengguna bernama JSmith di domain Contoso diberikan akses untuk mengelola komputer Contoso_214, dan menggunakan konfigurasi sesi bernama NewAdminsOnly.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlyVerifikasi bahwa aturan telah dibuat dengan menjalankan cmdlet Get-PswaAuthorizationRule , atau
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>. Contohnya:Test-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214
Untuk menghapus aturan otorisasi
Jika sesi Windows PowerShell belum terbuka, lihat langkah 1 untuk menambahkan aturan otorisasi ketat di bagian ini.
Ketik yang berikut ini, lalu tekan Enter, di mana ID aturan mewakili nomor ID unik dari aturan yang ingin Anda hapus.
Remove-PswaAuthorizationRule -ID <rule ID>Atau, jika Anda tidak mengetahui nomor ID, tetapi mengetahui nama yang mudah diingat dari aturan yang ingin Anda hapus, Anda bisa mendapatkan nama aturan, dan menyalurkannya ke
Remove-PswaAuthorizationRulecmdlet untuk menghapus aturan, seperti yang ditunjukkan dalam contoh berikut:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Catatan
Anda tidak diminta untuk mengonfirmasi apakah Anda ingin menghapus aturan otorisasi yang ditentukan; aturan dihapus saat Anda menekan Enter. Pastikan Anda ingin menghapus aturan otorisasi sebelum menjalankan Remove-PswaAuthorizationRule cmdlet.
Contoh skenario aturan otorisasi lainnya
Setiap sesi Windows PowerShell menggunakan konfigurasi sesi; jika tidak ditentukan untuk sesi, Windows PowerShell menggunakan konfigurasi sesi Windows PowerShell bawaan default, yang disebut Microsoft.PowerShell. Konfigurasi sesi default mencakup semua cmdlet yang tersedia di komputer. Administrator dapat membatasi akses ke semua komputer dengan menentukan konfigurasi sesi dengan runspace terbatas (rentang cmdlet dan tugas terbatas yang dapat dilakukan pengguna akhir mereka). Pengguna yang diberikan akses ke satu komputer dengan akses bahasa penuh atau hanya cmdlet manajemen jarak jauh Windows PowerShell dapat tersambung ke komputer lain yang tersambung ke komputer pertama. Menentukan runspace terbatas dapat mencegah pengguna mengakses komputer lain dari runspace Windows PowerShell yang diizinkan, dan meningkatkan keamanan lingkungan Windows PowerShell Web Access Anda. Konfigurasi sesi dapat didistribusikan (dengan menggunakan Kebijakan Grup) ke semua komputer yang ingin diakses administrator melalui Windows PowerShell Web Access. Untuk informasi selengkapnya tentang konfigurasi sesi, lihat about_Session_Configurations. Berikut ini adalah beberapa contoh skenario ini.
Administrator membuat titik akhir, yang disebut PswaEndpoint, dengan runspace terbatas. Kemudian, administrator membuat aturan,
*,*,PswaEndpoint, dan mendistribusikan titik akhir ke komputer lain. Aturan ini memungkinkan semua pengguna untuk mengakses semua komputer dengan titik akhir PswaEndpoint. Jika ini adalah satu-satunya aturan otorisasi yang ditentukan dalam seperangkat aturan, komputer tanpa titik akhir tersebut tidak akan dapat diakses.Administrator membuat titik akhir dengan runspace terbatas yang disebut PswaEndpoint, dan ingin membatasi akses ke pengguna tertentu. Administrator membuat sekelompok pengguna yang disebut Level1Support, dan menentukan aturan berikut: Level1Support,*,PswaEndpoint. Aturan ini memberi pengguna apa pun dalam grup Level1Dukungan akses ke semua komputer dengan konfigurasi PswaEndpoint . Demikian pula, akses dapat dibatasi untuk sekumpulan komputer tertentu.
Beberapa administrator menyediakan pengguna tertentu lebih banyak akses daripada yang lain. Misalnya, administrator membuat dua grup pengguna, Admin dan BasicSupport. Administrator juga membuat titik akhir dengan runspace terbatas yang disebut PswaEndpoint, dan menentukan dua aturan berikut: Admin,*,* dan BasicSupport,*,PswaEndpoint. Aturan pertama menyediakan semua pengguna di Admin akses grup ke semua komputer, dan aturan kedua menyediakan semua pengguna dalam akses grup BasicSupport hanya ke komputer tersebut dengan PswaEndpoint.
Administrator telah menyiapkan lingkungan pengujian privat, dan ingin mengizinkan semua pengguna jaringan yang berwenang mengakses semua komputer di jaringan tempat mereka biasanya memiliki akses, dengan akses ke semua konfigurasi sesi yang biasanya mereka miliki aksesnya. Karena ini adalah lingkungan pengujian privat, administrator membuat aturan otorisasi yang tidak aman. - Administrator menjalankan cmdlet
Add-PswaAuthorizationRule * * *, yang menggunakan karakter * wildcard untuk mewakili semua pengguna, semua komputer, dan semua konfigurasi. - Aturan ini setara dengan yang berikut:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Catatan
Aturan ini tidak disarankan di lingkungan yang aman, dan melewati lapisan aturan otorisasi keamanan yang disediakan oleh Windows PowerShell Akses Web.
Administrator harus mengizinkan pengguna untuk terhubung ke komputer target di lingkungan yang mencakup grup kerja dan domain, di mana komputer grup kerja kadang-kadang digunakan untuk terhubung ke komputer target di domain, dan komputer di domain kadang-kadang digunakan untuk menyambungkan ke komputer target dalam grup kerja. Administrator memiliki server gateway, PswaServer, dalam grup kerja; dan komputer target srv1.contoso.com berada di domain. Pengguna Chris adalah pengguna lokal resmi di server gateway grup kerja dan komputer target. Nama penggunanya di server grup kerja adalah chrisLocal; dan nama penggunanya di komputer target adalah contoso\chris. Untuk mengotorisasi akses ke srv1.contoso.com untuk Chris, administrator menambahkan aturan berikut.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
Contoh aturan sebelumnya mengautentikasi Chris di server gateway, lalu mengotorisasi aksesnya ke srv1. Pada halaman masuk, Chris harus memberikan sekumpulan kredensial kedua di area Pengaturan koneksi opsional (contoso\chris). Server gateway menggunakan set kredensial tambahan untuk mengautentikasinya di komputer target, srv1.contoso.com.
Dalam skenario sebelumnya, Windows PowerShell Web Access membuat koneksi yang berhasil ke komputer target hanya setelah berikut ini berhasil, dan diizinkan oleh setidaknya satu aturan otorisasi.
Autentikasi pada server gateway grup kerja dengan menambahkan nama pengguna dalam format server_name\user_name ke aturan otorisasi
Autentikasi pada komputer target dengan menggunakan kredensial alternatif yang disediakan pada halaman masuk, di area Pengaturan koneksi opsional
Catatan
Jika gateway dan komputer target berada di grup kerja atau domain yang berbeda, hubungan kepercayaan harus dibuat antara dua komputer grup kerja, dua domain, atau antara grup kerja dan domain. Hubungan ini tidak dapat dikonfigurasi dengan menggunakan cmdlet aturan otorisasi Windows PowerShell Web Access. Aturan otorisasi tidak menentukan hubungan kepercayaan antara komputer; mereka hanya dapat mengotorisasi pengguna untuk terhubung ke komputer target dan konfigurasi sesi tertentu. Untuk informasi selengkapnya tentang cara mengonfigurasi hubungan kepercayaan antara domain yang berbeda, lihat Membuat Kepercayaan Domain dan Hutan. Untuk informasi selengkapnya tentang cara menambahkan komputer grup kerja ke daftar host tepercaya, lihat Manajemen Jarak Jauh dengan Manajer Server.
Menggunakan satu set aturan otorisasi untuk beberapa situs
Aturan otorisasi disimpan dalam file XML. Secara default, nama jalur file XML adalah $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xml.
Jalur ke file XML aturan otorisasi disimpan dalam file powwa.config , yang ditemukan di $env:windir\Web\PowershellWebAccess\data. Administrator memiliki fleksibilitas untuk mengubah referensi ke jalur default di powwa.config agar sesuai dengan preferensi atau persyaratan. Mengizinkan administrator mengubah lokasi file memungkinkan beberapa gateway Windows PowerShell Web Access menggunakan aturan otorisasi yang sama, jika konfigurasi seperti itu diinginkan.
Manajemen Sesi
Secara default, Windows PowerShell Akses Web membatasi pengguna hingga tiga sesi sekali waktu. Anda dapat mengedit file web.config aplikasi web di IIS Manager untuk mendukung jumlah sesi yang berbeda per pengguna. Jalur ke file web.config adalah $env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
Secara default, IIS Web Server dikonfigurasi untuk memulai ulang kumpulan aplikasi jika ada pengaturan yang diedit. Misalnya, kumpulan aplikasi dimulai ulang jika perubahan dilakukan pada file web.config . >Karena Windows PowerShell Web Access menggunakan status sesi dalam memori, >pengguna yang masuk ke sesi Windows PowerShell Web Access kehilangan sesi mereka saat kumpulan aplikasi dimulai ulang.
Mengatur parameter default pada halaman masuk
Jika gateway Windows PowerShell Web Access Anda berjalan di Windows Server 2012 R2, Anda bisa mengonfigurasi nilai default untuk pengaturan yang ditampilkan di halaman masuk Windows PowerShell Web Access. Anda dapat mengonfigurasi nilai dalam file web.config yang dijelaskan dalam paragraf sebelumnya. Nilai default untuk pengaturan halaman masuk ditemukan di bagian appSettings dari file web.config; berikut ini adalah contoh bagian appSettings . Nilai yang valid untuk banyak pengaturan ini sama dengan yang untuk parameter cmdlet New-PSSession yang sesuai di Windows PowerShell.
Misalnya, kunci, seperti yang defaultApplicationName ditunjukkan pada blok kode berikut, adalah nilai variabel preferensi $PSSessionApplicationName pada komputer target.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Waktu habis dan pemutusan sambungan yang tidak diencana
Windows PowerShell waktu sesi Akses Web habis. Di Windows PowerShell Web Access yang berjalan di Windows Server 2012, Pesan waktu habis ditampilkan untuk pengguna yang masuk setelah 15 menit tidak aktif sesi. Jika pengguna tidak merespons dalam waktu lima menit setelah pesan waktu habis ditampilkan, sesi berakhir, dan pengguna keluar. Anda dapat mengubah periode waktu habis untuk sesi di pengaturan situs web di Manajer IIS.
Di Windows PowerShell Web Access yang berjalan di Windows Server 2012 R2, waktu sesi habis, secara default, setelah 20 menit tidak aktif. Jika pengguna terputus dari sesi di konsol berbasis web karena kesalahan jaringan atau penonaktifan atau kegagalan lain yang tidak terencana, dan bukan karena mereka telah menutup sesi itu sendiri, sesi Windows PowerShell Web Access terus berjalan, terhubung ke komputer target, hingga periode waktu habis di sisi klien gagal. Sesi terputus setelah default 20 menit, atau setelah periode waktu habis yang ditentukan oleh administrator gateway, mana pun yang lebih pendek.
Jika server gateway menjalankan Windows Server 2012 R2, Windows PowerShell Web Access memungkinkan pengguna terhubung kembali ke sesi yang disimpan di lain waktu, tetapi ketika kesalahan jaringan, penonaktifan yang tidak diencana, atau kegagalan lainnya memutuskan sesi, pengguna tidak dapat melihat atau terhubung kembali ke sesi yang disimpan hingga setelah periode waktu habis yang ditentukan oleh administrator gateway telah terputus.