3
Proxy Einstellungen verteilen: Best Practice
Hallo,
ich möchte gerne Proxyeinstellungen global verteilen (per Machine und nicht per User).
Habe dazu nun 3 Möglichkeiten gefunden:
Meine Frage ist nun: wie habt ihr es gelöst? Was ist aktuell Best Practice?
Danke im Voraus für eure Antworten.
Patrick
ich möchte gerne Proxyeinstellungen global verteilen (per Machine und nicht per User).
Habe dazu nun 3 Möglichkeiten gefunden:
- Die RegKeys DefaultConnectionSettings, SavedLegacySettings und WinHttpSettings per GPO verteilen
- Per PAC-File (sowie zusätzlich RegKey WinHttpSettings per GPO verteilen)
- Per WPAD (sowie zusätzlich RegKey WinHttpSettings per GPO verteilen)
Meine Frage ist nun: wie habt ihr es gelöst? Was ist aktuell Best Practice?
- Über die "Sicherheit" von WPAD liest man ja genug im www. Diesbezüglich tue ich mich etwas schwer, wieviel davon "Schwarzmalerei" ist oder ob man mittlerweile wirklich die Finger davon lassen sollte.
- PAC-File alleine in Windows hinterlegen ist halt auch nur die halbe Miete. Programme wie z.b. Teamviewer übernehmen Einstellungen nur per WPAD oder eben Manuell. Sprich da müsste ich dann wieder händisch eingreifen.
- RegKeys: Ist zwar etwas umständlich wenn sich mal ein Proxyserver ändern sollte. Aber scheint mir das sicherste zu sein und benötigt keinen zusätzlichen Webserver usw.
Danke im Voraus für eure Antworten.
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1869683040
Url: https://administrator.de/contentid/1869683040
Printed on: April 26, 2024 at 12:04 o'clock
3 Comments
Latest comment
Wir rollen die Einstellung über unsere Softwareverteilung OPSI gleich mit den Browserpaketen aus. Ist quasi hart verdrahtet. Per GPO sollte es auch problemlos gehen. Du gibst ja die URL an von wo er das PAC-File lädt. Dann hast du es zentral, aber man kann nicht so leicht ein anderes File unterjubeln. Würde es aber nicht über den DNS/DHCP machen, da man so leicht ein falsches PAC einschleichen könnte.
Moin,
Spätetens wenn du die Clients außerhalb des Unternehmensnetzerk nutzen möchtest, wird ein statisch eingetragender Proxy zum Problem für einfachen Internetzugriff (z.B. VPN Verbindung).
Gruß,
Dani
Über die "Sicherheit" von WPAD liest man ja genug im www. Diesbezüglich tue ich mich etwas schwer, wieviel davon "Schwarzmalerei" ist oder ob man mittlerweile wirklich die Finger davon lassen sollte.
In wie fern? Grundsätzlich kann man das Skript über SSL bereitstellen. Dazu kann man noch http-to-https aktivieren. Damit ist die Transportverschlüsselung gegeben.Per PAC-File (sowie zusätzlich RegKey WinHttpSettings per GPO verteilen)
Wir publizieren per DNS und DHCP den Pfad und Skript an die Clients. Somit sind wir sehr flexibel, was das Routing von Anfragen in verschiedenen Subnetze an geht und können so auch steuern, wer überhaupt ein Proxy (nicht) nutzen darf.Spätetens wenn du die Clients außerhalb des Unternehmensnetzerk nutzen möchtest, wird ein statisch eingetragender Proxy zum Problem für einfachen Internetzugriff (z.B. VPN Verbindung).
Gruß,
Dani
Danke euch für eure Antworten!