Jump to content
al3x

GPO - Globale Proxy-Einstellungen setzen

Recommended Posts

Guten Morgen in die Runde,

 

ist es eigentlich mittlerweile "safe" globale Proxysettings wie

-Proxyserver

-Port

-lokale Adressen umgehen

-IPs für die kein Proxy benutzt werden soll

 

über einen systemweiten GPO-Schalter zu setzen oder sollte man hier sicherheitshalber über RegKeys gehen?

Das wäre dann immer noch browserunabhängig.

 

Share this post


Link to post

Wenn ich die Frage jetzt nicht falsch verstanden habe, brauchst Du auf den Clients überhaupt nix konfigurieren. Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD. Du hinterlegst die nötigen Informationen in einem Script, welches Du auf einem Webserver verfügbar machst und zeigst mittels DNS darauf. So kannst Du jederzeit falls nötig die Einstellungen anpassen, ohne jedes mal wieder die Clients anzupassen.  ;-) 

Share this post


Link to post

Hi,

 

wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren.

 

vor 10 Minuten schrieb BOfH_666:

Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD.

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html

 

Gruß

Jan

Share this post


Link to post
vor 6 Minuten schrieb testperson:

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet:

... irgendwas is ja immer ... :rolleyes:  ;-) :grin3:

  • Haha 1

Share this post


Link to post
vor 17 Minuten schrieb testperson:

Hi,

 

wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren.

 

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html

 

Gruß

Jan

ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10?

Share this post


Link to post
vor einer Stunde schrieb al3x:

ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10?

Das hängt vom OS ab, von dem du die Einstellungen bearbeitest. Im "aller schlimmsten Fall" musst du unter "\\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\<betreffende GPO ID>\User\Preferences\InternetSettings" in der "InternetSettings.xml" den Wert "Max=" auf "99.0.0.0" und ggfs. "Hidden" auf "0" korrigieren. Falls "Hidden" bereits auf "0" ist, kannst du auch in den Eigenschaften der Internet-Einstellung unter den "Gemeinsamen Optionen" in der "Zielgruppenadressierung" anpassen.

Share this post


Link to post
Am 16.5.2020 um 14:00 schrieb BOfH_666:

Wenn ich die Frage jetzt nicht falsch verstanden habe, brauchst Du auf den Clients überhaupt nix konfigurieren. Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD. Du hinterlegst die nötigen Informationen in einem Script, welches Du auf einem Webserver verfügbar machst und zeigst mittels DNS darauf. So kannst Du jederzeit falls nötig die Einstellungen anpassen, ohne jedes mal wieder die Clients anzupassen.  ;-) 

Sorry - WPAD ist aus dem letzten Jahrhundert und sollte nicht verwendet werden. Idealerweise macht man's per PAC, das geht genauso einfach zentral zu aktualisieren. Ist zwar auch Technik aus dem letzten Jahrhundert, aber nicht ganz so anfällig :-)

Share this post


Link to post
vor 3 Stunden schrieb daabm:

Sorry - WPAD ist aus dem letzten Jahrhundert und sollte nicht verwendet werden. Idealerweise macht man's per PAC, das geht genauso einfach zentral zu aktualisieren. 

Und wie verteilst Du diese PAC normalerweise?

 

(Ich hoffe, das kommt jetzt nicht irgendwie beleidigt oder schnippisch rüber ... ist ernst gemeint)

Edited by BOfH_666

Share this post


Link to post
vor 4 Stunden schrieb BOfH_666:

Und wie verteilst Du diese PAC normalerweise?

 

(Ich hoffe, das kommt jetzt nicht irgendwie beleidigt oder schnippisch rüber ... ist ernst gemeint)

Per GPO/GPP. ;) Aber, wenn ich mich recht erinnere, ist die PAC keine Datei die auf die Clients kopiert wird, sondern auch zentral bereitliegt, also muss nur der Link verteilt werden.

Share this post


Link to post
vor 1 Stunde schrieb Sunny61:

Per GPO/GPP. ;) Aber, wenn ich mich recht erinnere, ist die PAC keine Datei die auf die Clients kopiert wird, sondern auch zentral bereitliegt, also muss nur der Link verteilt werden.

Ich meinte eigentlich nicht, welche Möglichkeiten es gibt, sondern wie es bei dem einen oder anderen (oder dem oder anderen Kunden) in der Praxis gelebt wird. ;-) 

Share this post


Link to post

Wir hatten eine WPAD, jetzt einen transparenten Proxy.

Edited by Sunny61

Share this post


Link to post

Wie Sunny vermutete: Das Pac wird per http ausgeliefert. Das ist nur ein ASCII-File mit ein wenig Javascript mit stark reduziertem Befehlsumfang, und damit kann man dann den "resulting Proxy" quasi per Skript ausliefern. Auf dem Client wird nur die URL zum PAC konfiguriert, z.B. http://meinefirma.dotnet.corp.com/proxy.pac. Oder auch http://proxypac.meinefirma.de (wenn unter der Default-URL dann das PAC ausgeliefert wird).

Share this post


Link to post
vor 50 Minuten schrieb daabm:

Wie Sunny vermutete: Das Pac wird per http ausgeliefert. Das ist nur ein ASCII-File mit ein wenig Javascript mit stark reduziertem Befehlsumfang, und damit kann man dann den "resulting Proxy" quasi per Skript ausliefern.

Jaaaa ... das weiß ich doch alles schon ... wir benutzen ja ein PAC-File. ;-)  Aber wir liefern es eben mit WPAD aus.  :pfui1::aetsch2:

vor 50 Minuten schrieb daabm:

Auf dem Client wird nur die URL zum PAC konfiguriert, z.B. http://meinefirma.dotnet.corp.com/proxy.pac. Oder auch http://proxypac.meinefirma.de (wenn unter der Default-URL dann das PAC ausgeliefert wird).

Und da interessierte mich, wie Du die URL zum PAC auf den Clients konfigurierst.  Bei Dir vermute ich als GPOs, richtig? Welche? ;-) 

Share this post


Link to post
vor 6 Stunden schrieb BOfH_666:

Bei Dir vermute ich als GPOs, richtig? Welche?

In den verschiedenen Browsern gibt es verschiedene Stellen per ADM/ADMX-Template wo man das konfigurieren kann. Für den IE per GPP, Systemsteuerungselemente > Internetoptionen. Dort an der richtigen Stelle eintragen und die Taste F3-F8 nicht vergessen, erst dann werden die Einträge aktiviert und wirken. Auch wenn dort bis IE10 drin steht, funktioniert auch beim IE11. Und/oder auch per Registry Key für die User setzen, dann steht es an der gleichen Stelle und greift auch.

  • Thanks 1

Share this post


Link to post
vor 2 Stunden schrieb Sunny61:

In den verschiedenen Browsern gibt es verschiedene Stellen per ADM/ADMX-Template wo man das konfigurieren kann.

OK, Danke. Das bestätigt meine Erfahrung, dass es da leider keine systemweite Stelle gibt, wo man das konfigurieren kann .... hätt' ja doch sein können.  ;-)   ... is fast so schlimm, wie Standard-Browser setzen.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...