al3x 11 Geschrieben 16. Mai 2020 Melden Teilen Geschrieben 16. Mai 2020 Guten Morgen in die Runde, ist es eigentlich mittlerweile "safe" globale Proxysettings wie -Proxyserver -Port -lokale Adressen umgehen -IPs für die kein Proxy benutzt werden soll über einen systemweiten GPO-Schalter zu setzen oder sollte man hier sicherheitshalber über RegKeys gehen? Das wäre dann immer noch browserunabhängig. Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 16. Mai 2020 Melden Teilen Geschrieben 16. Mai 2020 Wenn ich die Frage jetzt nicht falsch verstanden habe, brauchst Du auf den Clients überhaupt nix konfigurieren. Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD. Du hinterlegst die nötigen Informationen in einem Script, welches Du auf einem Webserver verfügbar machst und zeigst mittels DNS darauf. So kannst Du jederzeit falls nötig die Einstellungen anpassen, ohne jedes mal wieder die Clients anzupassen. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 16. Mai 2020 Melden Teilen Geschrieben 16. Mai 2020 Hi, wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren. vor 10 Minuten schrieb BOfH_666: Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD. Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html Gruß Jan Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 16. Mai 2020 Melden Teilen Geschrieben 16. Mai 2020 vor 6 Minuten schrieb testperson: Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: ... irgendwas is ja immer ... 1 Zitieren Link zu diesem Kommentar
al3x 11 Geschrieben 16. Mai 2020 Autor Melden Teilen Geschrieben 16. Mai 2020 vor 17 Minuten schrieb testperson: Hi, wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren. Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html Gruß Jan ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 16. Mai 2020 Melden Teilen Geschrieben 16. Mai 2020 vor einer Stunde schrieb al3x: ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10? Das hängt vom OS ab, von dem du die Einstellungen bearbeitest. Im "aller schlimmsten Fall" musst du unter "\\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\<betreffende GPO ID>\User\Preferences\InternetSettings" in der "InternetSettings.xml" den Wert "Max=" auf "99.0.0.0" und ggfs. "Hidden" auf "0" korrigieren. Falls "Hidden" bereits auf "0" ist, kannst du auch in den Eigenschaften der Internet-Einstellung unter den "Gemeinsamen Optionen" in der "Zielgruppenadressierung" anpassen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. Mai 2020 Melden Teilen Geschrieben 17. Mai 2020 Am 16.5.2020 um 14:00 schrieb BOfH_666: Wenn ich die Frage jetzt nicht falsch verstanden habe, brauchst Du auf den Clients überhaupt nix konfigurieren. Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD. Du hinterlegst die nötigen Informationen in einem Script, welches Du auf einem Webserver verfügbar machst und zeigst mittels DNS darauf. So kannst Du jederzeit falls nötig die Einstellungen anpassen, ohne jedes mal wieder die Clients anzupassen. Sorry - WPAD ist aus dem letzten Jahrhundert und sollte nicht verwendet werden. Idealerweise macht man's per PAC, das geht genauso einfach zentral zu aktualisieren. Ist zwar auch Technik aus dem letzten Jahrhundert, aber nicht ganz so anfällig Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 18. Mai 2020 Melden Teilen Geschrieben 18. Mai 2020 (bearbeitet) vor 3 Stunden schrieb daabm: Sorry - WPAD ist aus dem letzten Jahrhundert und sollte nicht verwendet werden. Idealerweise macht man's per PAC, das geht genauso einfach zentral zu aktualisieren. Und wie verteilst Du diese PAC normalerweise? (Ich hoffe, das kommt jetzt nicht irgendwie beleidigt oder schnippisch rüber ... ist ernst gemeint) bearbeitet 18. Mai 2020 von BOfH_666 Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 18. Mai 2020 Melden Teilen Geschrieben 18. Mai 2020 vor 4 Stunden schrieb BOfH_666: Und wie verteilst Du diese PAC normalerweise? (Ich hoffe, das kommt jetzt nicht irgendwie beleidigt oder schnippisch rüber ... ist ernst gemeint) Per GPO/GPP. ;) Aber, wenn ich mich recht erinnere, ist die PAC keine Datei die auf die Clients kopiert wird, sondern auch zentral bereitliegt, also muss nur der Link verteilt werden. Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 18. Mai 2020 Melden Teilen Geschrieben 18. Mai 2020 vor 1 Stunde schrieb Sunny61: Per GPO/GPP. ;) Aber, wenn ich mich recht erinnere, ist die PAC keine Datei die auf die Clients kopiert wird, sondern auch zentral bereitliegt, also muss nur der Link verteilt werden. Ich meinte eigentlich nicht, welche Möglichkeiten es gibt, sondern wie es bei dem einen oder anderen (oder dem oder anderen Kunden) in der Praxis gelebt wird. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 18. Mai 2020 Melden Teilen Geschrieben 18. Mai 2020 (bearbeitet) Wir hatten eine WPAD, jetzt einen transparenten Proxy. bearbeitet 19. Mai 2020 von Sunny61 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 18. Mai 2020 Melden Teilen Geschrieben 18. Mai 2020 Wie Sunny vermutete: Das Pac wird per http ausgeliefert. Das ist nur ein ASCII-File mit ein wenig Javascript mit stark reduziertem Befehlsumfang, und damit kann man dann den "resulting Proxy" quasi per Skript ausliefern. Auf dem Client wird nur die URL zum PAC konfiguriert, z.B. http://meinefirma.dotnet.corp.com/proxy.pac. Oder auch http://proxypac.meinefirma.de (wenn unter der Default-URL dann das PAC ausgeliefert wird). Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 18. Mai 2020 Melden Teilen Geschrieben 18. Mai 2020 vor 50 Minuten schrieb daabm: Wie Sunny vermutete: Das Pac wird per http ausgeliefert. Das ist nur ein ASCII-File mit ein wenig Javascript mit stark reduziertem Befehlsumfang, und damit kann man dann den "resulting Proxy" quasi per Skript ausliefern. Jaaaa ... das weiß ich doch alles schon ... wir benutzen ja ein PAC-File. Aber wir liefern es eben mit WPAD aus. vor 50 Minuten schrieb daabm: Auf dem Client wird nur die URL zum PAC konfiguriert, z.B. http://meinefirma.dotnet.corp.com/proxy.pac. Oder auch http://proxypac.meinefirma.de (wenn unter der Default-URL dann das PAC ausgeliefert wird). Und da interessierte mich, wie Du die URL zum PAC auf den Clients konfigurierst. Bei Dir vermute ich als GPOs, richtig? Welche? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 19. Mai 2020 Melden Teilen Geschrieben 19. Mai 2020 vor 6 Stunden schrieb BOfH_666: Bei Dir vermute ich als GPOs, richtig? Welche? In den verschiedenen Browsern gibt es verschiedene Stellen per ADM/ADMX-Template wo man das konfigurieren kann. Für den IE per GPP, Systemsteuerungselemente > Internetoptionen. Dort an der richtigen Stelle eintragen und die Taste F3-F8 nicht vergessen, erst dann werden die Einträge aktiviert und wirken. Auch wenn dort bis IE10 drin steht, funktioniert auch beim IE11. Und/oder auch per Registry Key für die User setzen, dann steht es an der gleichen Stelle und greift auch. 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 19. Mai 2020 Melden Teilen Geschrieben 19. Mai 2020 vor 2 Stunden schrieb Sunny61: In den verschiedenen Browsern gibt es verschiedene Stellen per ADM/ADMX-Template wo man das konfigurieren kann. OK, Danke. Das bestätigt meine Erfahrung, dass es da leider keine systemweite Stelle gibt, wo man das konfigurieren kann .... hätt' ja doch sein können. ... is fast so schlimm, wie Standard-Browser setzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.