本文介绍如何禁用 Windows HTTP 代理的特定功能。
适用于: Windows Server 2022、所有版本、Windows 11、所有版本
如何禁用身份验证协议
HTTP 代理可以使用多种不同的身份验证协议中的任何一种。 其中一些协议被视为不安全。 仅当必须向后兼容早期版本的 Windows 时,才应支持此类协议。
从 Windows Server 2022 和 Windows 11 开始,可以禁用单个身份验证协议。 若要禁用协议,请配置以下注册表子项的值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\DisableProxyAuthenticationSchemes
下表列出了与可以禁用的每个协议对应的十六进制值。
| 要禁用的身份验证方法 | DWORD 值 |
|---|---|
| 基本 | 0x00000001 |
| 摘要 | 0x00000002 |
| NTLM | 0x00000004 |
| Kerberos | 0x00000008 |
| 协商 | 0x00000010 |
如何通过环回接口禁用身份验证
Windows 可以通过环回接口进行身份验证。 这类似于任何其他网络接口。 但是,如果要将登录接口限制为仅已知和受信任的服务,则可能需要禁用环回身份验证功能。
从 Windows Server 2022 和 Windows 11 开始,可以通过将 DWORD 值 DisableProxyAuthenticationSchemes 设置为 0x00000100 (本地服务)来禁用环回身份验证。
如何禁用 WPAD
Windows 使用 Web 代理自动发现协议 (WPAD) 从本地网络发现代理自动配置 (PAC) 文件。 如果希望直接管理终结点,可以禁用 WPAD。
从 Windows Server 2019 和 Windows 10 版本 1809 开始,可以通过将以下注册表子项的 DWORD 值设置为 1 来禁用 WPAD:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DisableWpad
禁用 WPAD 后,必须手动配置所有代理。 注册表项停止通过 Windows HTTP 服务(WinHTTP)应用程序编程接口(API)进行的所有代理检测调用中的 WPAD 检测。 即使设置了此注册表项,应用程序仍可以通过直接调用域名系统(DNS)解析名称“WPAD”。 例如,运行 nslookup WPAD 仍使用 DNS 解析名称。
重要
除了设置注册表项外,还应在 Windows 设置 UI 中禁用 WPAD,因为第三方应用和 Internet 浏览器可能依赖这些设置进行代理自动发现。