GPO - Globale Proxy-Einstellungen setzen

[al3x 11]

Guten Morgen in die Runde,

 

ist es eigentlich mittlerweile "safe" globale Proxysettings wie

-Proxyserver

-Port

-lokale Adressen umgehen

-IPs für die kein Proxy benutzt werden soll

 

über einen systemweiten GPO-Schalter zu setzen oder sollte man hier sicherheitshalber über RegKeys gehen?

Das wäre dann immer noch browserunabhängig.

 

[BOfH_666 577]

Wenn ich die Frage jetzt nicht falsch verstanden habe, brauchst Du auf den Clients überhaupt nix konfigurieren. Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD. Du hinterlegst die nötigen Informationen in einem Script, welches Du auf einem Webserver verfügbar machst und zeigst mittels DNS darauf. So kannst Du jederzeit falls nötig die Einstellungen anpassen, ohne jedes mal wieder die Clients anzupassen.   

[testperson 1.674]

Hi,

 

wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren.

 

vor 10 Minuten schrieb BOfH_666:

Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD.

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html

 

Gruß

Jan

[BOfH_666 577]

vor 6 Minuten schrieb testperson:

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet:

... irgendwas is ja immer ...    

[al3x 11]

vor 17 Minuten schrieb testperson:

Hi,

 

wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren.

 

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html

 

Gruß

Jan

ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10?

[testperson 1.674]

vor einer Stunde schrieb al3x:

ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10?

Das hängt vom OS ab, von dem du die Einstellungen bearbeitest. Im "aller schlimmsten Fall" musst du unter "\\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\<betreffende GPO ID>\User\Preferences\InternetSettings" in der "InternetSettings.xml" den Wert "Max=" auf "99.0.0.0" und ggfs. "Hidden" auf "0" korrigieren. Falls "Hidden" bereits auf "0" ist, kannst du auch in den Eigenschaften der Internet-Einstellung unter den "Gemeinsamen Optionen" in der "Zielgruppenadressierung" anpassen.

[daabm 1.348]

Am 16.5.2020 um 14:00 schrieb BOfH_666:

Wenn ich die Frage jetzt nicht falsch verstanden habe, brauchst Du auf den Clients überhaupt nix konfigurieren. Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD. Du hinterlegst die nötigen Informationen in einem Script, welches Du auf einem Webserver verfügbar machst und zeigst mittels DNS darauf. So kannst Du jederzeit falls nötig die Einstellungen anpassen, ohne jedes mal wieder die Clients anzupassen.   

Sorry - WPAD ist aus dem letzten Jahrhundert und sollte nicht verwendet werden. Idealerweise macht man's per PAC, das geht genauso einfach zentral zu aktualisieren. Ist zwar auch Technik aus dem letzten Jahrhundert, aber nicht ganz so anfällig

[BOfH_666 577]

vor 3 Stunden schrieb daabm:

Sorry - WPAD ist aus dem letzten Jahrhundert und sollte nicht verwendet werden. Idealerweise macht man's per PAC, das geht genauso einfach zentral zu aktualisieren. 

Und wie verteilst Du diese PAC normalerweise?

 

(Ich hoffe, das kommt jetzt nicht irgendwie beleidigt oder schnippisch rüber ... ist ernst gemeint)

bearbeitet 18. Mai 2020 von BOfH_666

[Sunny61 806]

vor 4 Stunden schrieb BOfH_666:

Und wie verteilst Du diese PAC normalerweise?

 

(Ich hoffe, das kommt jetzt nicht irgendwie beleidigt oder schnippisch rüber ... ist ernst gemeint)

Per GPO/GPP. ;) Aber, wenn ich mich recht erinnere, ist die PAC keine Datei die auf die Clients kopiert wird, sondern auch zentral bereitliegt, also muss nur der Link verteilt werden.

[BOfH_666 577]

vor 1 Stunde schrieb Sunny61:

Per GPO/GPP. ;) Aber, wenn ich mich recht erinnere, ist die PAC keine Datei die auf die Clients kopiert wird, sondern auch zentral bereitliegt, also muss nur der Link verteilt werden.

Ich meinte eigentlich nicht, welche Möglichkeiten es gibt, sondern wie es bei dem einen oder anderen (oder dem oder anderen Kunden) in der Praxis gelebt wird.  

[Sunny61 806]

Wir hatten eine WPAD, jetzt einen transparenten Proxy.

bearbeitet 19. Mai 2020 von Sunny61

[daabm 1.348]

Wie Sunny vermutete: Das Pac wird per http ausgeliefert. Das ist nur ein ASCII-File mit ein wenig Javascript mit stark reduziertem Befehlsumfang, und damit kann man dann den "resulting Proxy" quasi per Skript ausliefern. Auf dem Client wird nur die URL zum PAC konfiguriert, z.B. http://meinefirma.dotnet.corp.com/proxy.pac. Oder auch http://proxypac.meinefirma.de (wenn unter der Default-URL dann das PAC ausgeliefert wird).

[BOfH_666 577]

vor 50 Minuten schrieb daabm:

Wie Sunny vermutete: Das Pac wird per http ausgeliefert. Das ist nur ein ASCII-File mit ein wenig Javascript mit stark reduziertem Befehlsumfang, und damit kann man dann den "resulting Proxy" quasi per Skript ausliefern.

Jaaaa ... das weiß ich doch alles schon ... wir benutzen ja ein PAC-File.   Aber wir liefern es eben mit WPAD aus.  

vor 50 Minuten schrieb daabm:

Auf dem Client wird nur die URL zum PAC konfiguriert, z.B. http://meinefirma.dotnet.corp.com/proxy.pac. Oder auch http://proxypac.meinefirma.de (wenn unter der Default-URL dann das PAC ausgeliefert wird).

Und da interessierte mich, wie Du die URL zum PAC auf den Clients konfigurierst.  Bei Dir vermute ich als GPOs, richtig? Welche?  

[Sunny61 806]

vor 6 Stunden schrieb BOfH_666:

Bei Dir vermute ich als GPOs, richtig? Welche?

In den verschiedenen Browsern gibt es verschiedene Stellen per ADM/ADMX-Template wo man das konfigurieren kann. Für den IE per GPP, Systemsteuerungselemente > Internetoptionen. Dort an der richtigen Stelle eintragen und die Taste F3-F8 nicht vergessen, erst dann werden die Einträge aktiviert und wirken. Auch wenn dort bis IE10 drin steht, funktioniert auch beim IE11. Und/oder auch per Registry Key für die User setzen, dann steht es an der gleichen Stelle und greift auch.

[BOfH_666 577]

vor 2 Stunden schrieb Sunny61:

In den verschiedenen Browsern gibt es verschiedene Stellen per ADM/ADMX-Template wo man das konfigurieren kann.

OK, Danke. Das bestätigt meine Erfahrung, dass es da leider keine systemweite Stelle gibt, wo man das konfigurieren kann .... hätt' ja doch sein können.     ... is fast so schlimm, wie Standard-Browser setzen.