badger
Goto Top

Proxy Einstellungen verteilen: Best Practice

Hallo,

ich möchte gerne Proxyeinstellungen global verteilen (per Machine und nicht per User).

Habe dazu nun 3 Möglichkeiten gefunden:
  • Die RegKeys DefaultConnectionSettings, SavedLegacySettings und WinHttpSettings per GPO verteilen
  • Per PAC-File (sowie zusätzlich RegKey WinHttpSettings per GPO verteilen)
  • Per WPAD (sowie zusätzlich RegKey WinHttpSettings per GPO verteilen)

Meine Frage ist nun: wie habt ihr es gelöst? Was ist aktuell Best Practice?

  • Über die "Sicherheit" von WPAD liest man ja genug im www. Diesbezüglich tue ich mich etwas schwer, wieviel davon "Schwarzmalerei" ist oder ob man mittlerweile wirklich die Finger davon lassen sollte.
  • PAC-File alleine in Windows hinterlegen ist halt auch nur die halbe Miete. Programme wie z.b. Teamviewer übernehmen Einstellungen nur per WPAD oder eben Manuell. Sprich da müsste ich dann wieder händisch eingreifen.
  • RegKeys: Ist zwar etwas umständlich wenn sich mal ein Proxyserver ändern sollte. Aber scheint mir das sicherste zu sein und benötigt keinen zusätzlichen Webserver usw.

Danke im Voraus für eure Antworten.

Patrick

Content-Key: 1869683040

Url: https://administrator.de/contentid/1869683040

Printed on: February 25, 2024 at 05:02 o'clock

Member: it-fraggle
it-fraggle Feb 09, 2022 updated at 09:30:58 (UTC)
Goto Top
Wir rollen die Einstellung über unsere Softwareverteilung OPSI gleich mit den Browserpaketen aus. Ist quasi hart verdrahtet. Per GPO sollte es auch problemlos gehen. Du gibst ja die URL an von wo er das PAC-File lädt. Dann hast du es zentral, aber man kann nicht so leicht ein anderes File unterjubeln. Würde es aber nicht über den DNS/DHCP machen, da man so leicht ein falsches PAC einschleichen könnte.
Member: Dani
Dani Feb 09, 2022 at 20:49:19 (UTC)
Goto Top
Moin,
Über die "Sicherheit" von WPAD liest man ja genug im www. Diesbezüglich tue ich mich etwas schwer, wieviel davon "Schwarzmalerei" ist oder ob man mittlerweile wirklich die Finger davon lassen sollte.
In wie fern? Grundsätzlich kann man das Skript über SSL bereitstellen. Dazu kann man noch http-to-https aktivieren. Damit ist die Transportverschlüsselung gegeben.

Per PAC-File (sowie zusätzlich RegKey WinHttpSettings per GPO verteilen)
Wir publizieren per DNS und DHCP den Pfad und Skript an die Clients. Somit sind wir sehr flexibel, was das Routing von Anfragen in verschiedenen Subnetze an geht und können so auch steuern, wer überhaupt ein Proxy (nicht) nutzen darf.

Spätetens wenn du die Clients außerhalb des Unternehmensnetzerk nutzen möchtest, wird ein statisch eingetragender Proxy zum Problem für einfachen Internetzugriff (z.B. VPN Verbindung).


Gruß,
Dani
Member: Badger
Badger Feb 14, 2022 at 14:37:52 (UTC)
Goto Top
Danke euch für eure Antworten!