使用受限端点保护 PowerShell 远程处理

PowerShell 远程处理在 Windows Server 2012（及更高版本）中开箱即用，虽然许多 IT 部门认为这是潜在的安全风险，但如果最佳实践符合，PowerShell 实际上是管理服务器的最安全方法之一。紧随其后。在本文中，我将向您展示如何配置 Windows Server 2012 R2 以接受来自特定用户组的远程 PowerShell 连接，以及如何限制可以运行的 cmdlet。

什么是受限端点？

远程端点确定可以使用 PowerShell Remoting 连接到设备的用户，以及他们在经过身份验证后可以执行的操作。默认 PowerShell 端点允许属于内置管理员组和远程管理用户组成员的用户进行远程连接并公开设备上所有可用的 cmdlet 和功能。

好消息是，您可以创建自己的受限端点并限制用户可以执行的操作，从而最大限度地降低允许 PowerShell Remoting 进行管理的风险。

在 Windows Server 2012 R2 中创建受限端点

让我们在 Windows Server 2012 R2 中创建我们自己的受限端点。使用本地管理员权限登录，然后单击桌面任务栏上的蓝色 PowerShell 图标。

• 要查看服务器上的现有端点，请在 PowerShell 提示符中键入 Get-PSSessionConfiguration，然后按 ENTER。
• 在 PowerShell 控制台中，您应该看到四个默认端点。

为了限制用户在连接到受限端点时可以执行的 cmdlet 和函数，我们需要创建一个配置文件。在 PowerShell 控制台中，键入如下所示的 cmdlet，然后按 ENTER。 New-PSSessionConfigurationFile 创建一个名为 PrintAdmin.pssc 的新配置文件，并设置限制，包括限制远程用户使用 PrintManagement PowerShell 模块中的功能。

New-PSSessionConfigurationFile - 路径 PrintAdmin.pssc - SessionType RestrictedRemoteServer -LanguageMode NoLanguage - ExecutionPolicy Restricted - ModulesToImport PrintManagement -VisibleFunctions Get-Printer

NoLanguage 限制用户仅运行 cmdlet 和函数，即不能使用脚本块、变量或运算符。 -SessionType 值 RestrictedRemoteServer 将用户限制为以下代理功能：Exit-PSSession、Get-Command、