El Blog de Enrique Cortés

viernes, 23 de febrero de 2007

Zonas de seguridad de IE y cómo hacer copia de seguridad de las mismas


ZONAS DE SEGURIDAD


Tener una correcta configuración en Internet Explorer en cuanto a la seguridad es muy importante, vista la gran cantidad de vulnerabilidades que aparecen constantemente, exploits, virus, troyanos, programas spyware, secuestradores, etc.

Es necesario un buen nivel de protección contra mucho código malicioso que anda suelto por la Red. Las Zonas de Seguridad nos permiten llevar a cabo estas protecciones. Si abrimos el navegador y nos dirigimos a Herramientas > Opciones de Internet, veremos una ficha llamada Seguridad. Si la pulsamos, por defecto, aparecerán 4 zonas distintas de seguridad. Cada zona puede (y debe) ser configurada independientemente:


Zona 1 = Intranet local (sitios Web de la red local).
Zona 2 = Sitios de confianza (aquellos que sabemos que son seguros)
Zona 3 = Internet (todos los sitios que no están en las otras zonas)
Zona 4 = Sitios restringidos (sitios que sabemos que son peligrosos)


Microsoft, a través de un artículo de la KB, nos define cada zona de seguridad y cómo puede ser configurada:

Cómo utilizar las zonas de seguridad en Internet Explorer


Pero además de estas cuatro zonas, que aparecen por defecto, podemos incluir una quinta zona, la Zona 0, que será la zona local, o sea, nuestro equipo. La zona Equipo local es una zona implícita para contenido existente en el equipo local. No se expone en el panel de control de Internet. Sin embargo, los administradores pueden utilizar el Registro de windows para configurar los valores de la zona Equipo local. Para que aparezca esta nueva zona "Mi PC", debemos hacer lo siguiente:

Haz clic en Inicio, y después en Ejecutar. En la casilla Abrir teclea regedit y pulsa Aceptar. Se abrirá el editor del registro del sistema. Localiza la clave siguiente:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Pulsa sobre la carpeta 0 para abrirla, y en el panel de la derecha, bajo la columna Nombre, haz doble clic sobre el valor Flags. Se abrirá la ventana Editar valor DWORD. Allí, en Información del valor (en base Hexadecimal), cambia el 21 por un 1 y selecciona Aceptar. En la columna Datos debería quedar algo como 0x00000001 (1). Cierra el editor del registro.

Ahora, si seleccionas las zonas de seguridad en Internet Explorer, deberían aparecer todas las zonas, incluida Mi PC.

Si por algún motivo quisieras hacer que Mi PC volviera a quedar oculto, sólo repite el procedimiento anterior, volviendo a colocar el valor 21 en lugar de 1 en Flags.


Para aclarar un poco la diferencia entre el Nivel predeterminado y el Nivel personalizado de las zonas de seguridad, podemos echar mano de este artículo:

Descripción de los cambios realizados en la configuración de seguridad de las zonas de contenido Web en Internet Explorer 6




DESHABILITANDO ACTIVE SCRIPTING

Volviendo al principio, para obtener un nivel aceptable de protección en cada zona de seguridad, podemos deshabilitar Active Scripting:

A) en Outlook Express: ve a Herramientas > Opciones... > Seguridad. En el apartado Protección antivirus activa la casilla Zona de sitios restringidos (más segura). De esta forma se deshabilitan scripts y controles activeX en mensajes de correo electrónico. Para una mayor seguridad antivirus, puede activarse también la casilla No permitir que se guarden o abran archivos adjuntos que puedan contener virus.

B) en Internet Explorer: ve a Herramientas > Opciones de Internet > Seguridad > Zona de Confianza. Selecciona nivel Mediano (Media) o pulsa en Personalizar nivel y selecciona Restablecer configuración personal a Mediano (Media). Pulsa en el botón Restablecer y confirma el cambio. Pulsa en Aceptar. Seguidamente, pulsa en Sitios para agregar aquellas direcciones que son, o consideramos, seguras. Es importante añadir las siguientes, especialmente si utilizamos cuentas de Hotmail:


-
http://oe.msn.msnmail.hotmail.com/
-
http://windowsupdate.microsoft.com/
-
http://v5.windowsupdate.microsoft.com/
-
http://support.microsoft.com/
-
http://www.microsoft.com/
-
http://services.msn.com/
-
http://login.passport.net/
-
http://login.passport.com/


Selecciona ahora la zona Internet. Pulsa en Nivel Predeterminado y en Personalizar nivel. Busca en la lista de Configuración, Automatización y activa la opción Desactivar bajo Secuencias de comandos ActiveX. Pulsa Aceptar y confirma el cambio.

Con esta configuración en la zona de Internet, los controles y complementos activeX, así como los scripts (muchos de ellos malignos) no se podrán ejecutar en nuestro sistema. Algunos sitios no podrán ser visibles porque necesitan de estos controles. Si sabemos que uno de esos sitios es seguro, podemos incluirlo en la zona de Confianza.

Y para la nueva zona que hemos creado, la Zona 0 Mi PC, los administradores también pueden reforzar la configuración de seguridad, mediante ajustes en el registro de windows. Ahora bien, se recomienda que estos cambios se lleven a cabo como un último recurso, ya que se puede perder alguna funcionalidad para algunos programas de Windows y componentes. En este artículo tenemos más información sobre la Zona 0:

Cómo reforzar la configuración de seguridad para la zona Equipo local en Internet Explorer




COPIA DE SEGURIDAD DE LA CONFIGURACIÓN ESTABLECIDA

Una vez hayamos establecido la configuración deseada de las diferentes zonas de seguridad de Internet Explorer, podemos crearnos unas copias de seguridad de las mismas (backups), si vamos a migrar a un nuevo sistema con una instalación limpia del sistema operativo. La información sobre las zonas de seguridad quedan almacenadas en el registro de windows. Para ello iniciaremos el editor del registro (regedit) y localizaremos la clave siguiente:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

En la clave Internet Settings, nos interesan tres subclaves que son las que tendremos que guardar:


- TemplatePolicies
- ZoneMap
- Zones


Seleccionando cada una de ellas, eligiremos, mediante el botón secundario del ratón y el menú contextual, la opción Exportar. Podemos exportarlas con su nombre ("TemplatePolicies.reg", "ZoneMap.reg" y "Zones.reg") a una ubicación segura (CD o disquete). Para restaurar las configuraciones de seguridad en un Internet Explorer nuevo, simplemente haremos doble clic sobre los archivos reg.

La clave TemplatePolicies determina las configuraciones de los niveles predeterminados de zona de seguridad Baja, Media Baja, Media y Alta.


La clave ZoneMap incluye la configuración específica, conteniendo dominios, protocolos y direcciones TCP/IP que se han agregado.

La clave Zones contiene las claves que representan cada zona de seguridad definida por el equipo, que son las 5 zonas de las que hemos hablado en este artículo.

.

.

5 comentarios:

Anónimo dijo...

He seguido todos tus pasos, y al final no me aparece el sitio "Mi Pc". He de comentarte que mi sistema operativo es windows vista home premium y mi navegador el explorer 7.

Enrique Cortés dijo...

La zona de seguridad Mi Equipo sólo es configurable en Internet Explorer 6 SP2 y anteriores. A partir de IE7, debido a las mejoras de seguridad, no es configurable la zona de seguridad del Equipo local.

Anónimo dijo...

Hola Enrique una pregunta he tratado de agregar sitios de confianza o restringidos y me aparece un msj que dice "error inesperado debido a la configuracion de zonas. nose puede agregar este sitio" la cuestion es como hago para que mi pc acepte agregar sitios? es windows 7 y mi explorador es explorer 8 gracias
pedro.

Ulises Figueroa dijo...

Qué tal, antes que nada muy buen post, mi duda es la siguiente ... con que versiones de IE son validos los pasos de guardado de la configuración de avanzada (Zone, ZoneMap y Templates) ?

Saludos.

Enrique Cortés dijo...

En todas las versiones de Internet Explorer.