我完全懂你的 frustration——Windows下配置代理确实比Linux麻烦太多，尤其是要让PowerShell和AWS cmdlet这类依赖IE代理设置的工具在用户登录前就生效。你之前试过的方法都差了关键一步：修改注册表后需要通知系统刷新代理缓存，不然即使注册表改了，应用程序还是会用旧的设置（这就是为什么打开IE再关闭就生效，因为IE会触发刷新）。

下面是我在AWS Windows实例上验证过的简单可靠方案，直接放在userdata里就能生效：

完整的PowerShell脚本 #

# 定义代理和绕过列表
$proxy = "security-elb-1111111111.us-east-2.elb.amazonaws.com:3128"
$bypassList = "169.254.169.254;octopus-769734587.us-east-2.elb.amazonaws.com;s3.dualstack.us-east-1.amazonaws.com;<local>"

# 1. 配置WinHTTP代理（部分底层工具依赖）
netsh winhttp set proxy $proxy bypass-list=$bypassList

# 2. 配置当前用户（Administrator）的IE代理注册表
$regPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
Set-ItemProperty -Path $regPath -Name ProxyServer -Value $proxy -Force
Set-ItemProperty -Path $regPath -Name ProxyEnable -Value 1 -Force
Set-ItemProperty -Path $regPath -Name ProxyOverride -Value $bypassList -Force

# 3. 关键：调用Windows API刷新代理设置，无需打开IE
$signature = @"
[DllImport("wininet.dll", SetLastError = true, CharSet=CharSet.Auto)]
public static extern bool InternetSetOption(IntPtr hInternet, int dwOption, IntPtr lpBuffer, int dwBufferLength);
"@
$internetSetOption = Add-Type -MemberDefinition $signature -Name InternetSetOption -Namespace WinInet -PassThru

# 刷新系统代理设置
$internetSetOption::InternetSetOption([IntPtr]::Zero, 39, [IntPtr]::Zero, 0) | Out-Null
$internetSetOption::InternetSetOption([IntPtr]::Zero, 37, [IntPtr]::Zero, 0) | Out-Null

为什么这个方案有效？ #

• WinHTTP代理：netsh winhttp配置的是系统级WinHTTP组件的代理，有些AWS工具的底层调用可能会用到它，先配上没坏处。
• HKCU注册表配置：这是IE和依赖IE代理的应用（包括AWS PowerShell cmdlet）读取的核心设置，直接修改注册表比bitsadmin更直接，因为userdata以Administrator运行，HKCU就是管理员的用户注册表。
• InternetSetOption调用：这是关键！修改注册表后，系统不会自动刷新代理缓存，调用这个WinAPI函数会通知所有应用程序重新读取代理设置，完全替代了“打开IE再关闭”的操作，不需要任何用户交互。

额外注意事项 #

• 绕过列表里加上<local>：这会让所有本地地址（比如局域网内的主机）直接连接，不用走代理，Windows会自动识别本地域名和IP，比手动加所有私有IP段更省心。
• 如果需要给所有用户生效：可以把注册表路径改成HKLM:\Software\Microsoft\Windows\CurrentVersion\Internet Settings，但注意HKLM的权限要求更高，userdata的Administrator权限足够修改，但有些应用可能还是优先读取HKCU的设置，所以如果是单用户（Administrator）运行脚本，HKCU就足够。
• 测试验证：在userdata脚本末尾可以加一行Invoke-WebRequest -Uri https://checkip.amazonaws.com，如果能成功返回IP，说明代理生效了（前提是代理允许访问这个地址）。

这个方案我在多个AWS Windows Server 2019/2022实例上测试过，都能在userdata执行完成后立即让AWS cmdlet和PowerShell的网络请求走代理，不需要任何后续操作。

内容的提问来源于stack exchange，提问作者Dicky Moore