如何禁用 HTTP 代理功能

本文介绍如何禁用 Windows HTTP 代理的特定功能。

适用于: Windows Server 2022、所有版本、Windows 11、所有版本

如何禁用身份验证协议

HTTP 代理可以使用多种不同的身份验证协议中的任何一种。 其中一些协议被视为不安全。 仅当必须向后兼容早期版本的 Windows 时,才应支持此类协议。

从 Windows Server 2022 和 Windows 11 开始,可以禁用单个身份验证协议。 若要禁用协议,请配置以下注册表子项的值:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\DisableProxyAuthenticationSchemes

下表列出了与可以禁用的每个协议对应的十六进制值。

要禁用的身份验证方法 DWORD 值
基本 0x00000001
摘要 0x00000002
NTLM 0x00000004
Kerberos 0x00000008
协商 0x00000010

如何通过环回接口禁用身份验证

Windows 可以通过环回接口进行身份验证。 这类似于任何其他网络接口。 但是,如果要将登录接口限制为仅已知和受信任的服务,则可能需要禁用环回身份验证功能。

从 Windows Server 2022 和 Windows 11 开始,可以通过将 DWORD 值 DisableProxyAuthenticationSchemes 设置为 0x00000100 (本地服务)来禁用环回身份验证。

如何禁用 WPAD

Windows 使用 Web 代理自动发现协议 (WPAD) 从本地网络发现代理自动配置 (PAC) 文件。 如果希望直接管理终结点,可以禁用 WPAD。

从 Windows Server 2019 和 Windows 10 版本 1809 开始,可以通过将以下注册表子项的 DWORD 值设置为 1禁用 WPAD:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DisableWpad

禁用 WPAD 后,必须手动配置所有代理。 注册表项停止通过 Windows HTTP 服务(WinHTTP)应用程序编程接口(API)进行的所有代理检测调用中的 WPAD 检测。 即使设置了此注册表项,应用程序仍可以通过直接调用域名系统(DNS)解析名称“WPAD”。 例如,运行 nslookup WPAD 仍使用 DNS 解析名称。

重要

除了设置注册表项外,还应在 Windows 设置 UI 中禁用 WPAD,因为第三方应用和 Internet 浏览器可能依赖这些设置进行代理自动发现。