如何在Windows Server 2008 R2中关闭（禁用）Web代理自动发现（WPAD）

Question

我们有一个在生产中运行缓慢的Web服务。在质量保证和UAT，它很好，但这些都在我们的公司总部。但生产是在云中的数据中心。我运行了wireshark并发现它至少打了6次NBNS WPAD（每次超时），每次调用大约3/4秒，这使得它很慢。我想关闭WPAD，因为环境没有配置为使用它，但它仍在进行调用而只是浪费时间。

我的平台是带有IE9的windows server 2008 r2。我想完全禁用WPAD DNS查询（和NBNS查询）。我们不使用代理。我们不使用DHCP。我想停止WPAD，但我没有成功。我尝试过以下方法： 1.disable在IE中“自动检测设置” 2.在IE中禁用“使用自动配置脚本” 3.检查WinHTTP Web代理自动发现服务没有自动运行，它设置为运行手动所以我认为应该没问题。 4.执行“Netsh winhttp show proxy”，它告诉我直接访问（没有代理服务器）。

我错过了什么需要关闭？

Answer 1

组策略编辑器
编辑“默认域策略”
用户配置
 政策
  Windows设置
    连接/自动浏览器配置
      自动检测配置设置 - ＆gt; DISABLE

Answer 2

许多关于禁用WPAD的建议都集中在Internet Explorer用户设置上。虽然这将告诉IE不使用自动代理检测，但它不会阻止WinHTTP Web代理自动发现服务查询wpad。有些人建议完全禁用此服务，但从Windows 10开始，它是IP Helper服务所必需的，不建议禁用它。

在MS16-063说明中，您可以看到（固定）漏洞的建议解决方法是编辑hosts文件（c：\ windows \ system32 \ drivers \ etc \ hosts）。

255.255.255.255 wpad.

虽然补丁修复了该特定漏洞，但解决方法仍然是禁用WPAD的选项。在我的测试中，它确实停止了查询。正如文章所指出的那样：

  

变通办法的影响。 Autoproxy发现不起作用，因此，某些应用程序（如Internet Explorer）将无法正常加载网站。

请记住，正确设置时，WPAD可能是件好事。与任何来自互联网的建议一样，在应用任何更改之前，请务必进行自己的测试。例如，如果您对公司笔记本电脑进行此更改并且他们前往需要WPAD的网站，则无法使用。

来源：Microsoft forums。

请注意，您可以使用过滤器轻松使用Wireshark查看计算机是否正在执行wpad查询： dns.qry.name contains "wpad"

Answer 3

要阻止Windows跟踪哪个网络支持WPAD，您需要进行简单的注册表更改：

• 单击“开始”按钮，然后在搜索字段中键入＆＃34; regedit＆＃34;，然后选择＆＃34; regedit.exe＆＃34;来自结果列表
• 在树中导航到＆＃34; HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Wpad＆＃34;
• 一旦你拥有了＆＃34; Wpad＆＃34;选择文件夹，右键单击右侧窗格，然后单击＆＃34;新建 - ＆gt; DWORD（32位值）＆＃34;
• 将此新名称命名为＆＃34; WpadOverride＆＃34;
• 双击新的＆＃34; WpadOverride＆＃34;编辑它的价值
• 在＆＃34;价值数据＆＃34;字段，替换＆＃34; 0＆＃34;使用＆＃34; 1＆＃34;，然后点击＆＃34;确定＆＃34;
• 重新启动计算机

Answer 4

我已经测试过通过重命名WPAD密钥并重新启动来从计算机中删除代理 您还可以使用IEAK11创建GPO以删除＆＃34;自动检测设置＆＃34;这就是脚本使用gpupdate来应用GPO的原因。 如果您已将更改应用于计算机，则此脚本将不会执行更改并将退出。基本脚本如下。

即使在Internet Explorer中打开＆＃34;自动检测设置＆＃34;不使用代理，重新创建WPAD密钥，但没有代理。不建议使用此设置，因为您的计算机容易受到攻击（https://it.slashdot.org/story/16/08/13/0149241/disable-wpad-now-or-have-your-accounts-compromised-researchers-warn）。

REM Script to delete the cached proxy configuration, clear IE cache, flushdns, rename WPAD key and delete the original; reboot is required

gpupdate 

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad.bad" >nul
if %ERRORLEVEL%==0 goto END

ELSE 
(
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /v "DefaultConnectionSettings" /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /v "SavedLegacySettings" /f

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8

ipconfig /flushdns

reg copy "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad" "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad.bad"

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad" /f

echo n | gpupdate /force /wait:0

shutdown.exe /r /t 30 )

:END

Answer 5

对于我的漏洞（基于Raspberry PI的广告拦截软件DNS级别），我在主机文件中添加了以下内容

pi@raspberrypi:~ $ cat /etc/hosts
127.0.0.1       localhost

0.0.0.0 wpad wpad.my.home
:: wpad wpad.my.home

我的nslookup显示

pi@raspberrypi:~ $ nslookup wpad.my.home
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   wpad.my.home
Address: 0.0.0.0

pi@raspberrypi:~ $ nslookup wpad
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   wpad
Address: 0.0.0.0

如果您使用的是Windows计算机，则可以打开“ C：\ Windows \ System32 \ drivers \ etc \ hosts”并添加这些条目

0.0.0.0 wpad
0.0.0.0 wpad.my.home

将my.home更改为您拥有的任何本地域