El Blog de Enrique Cortés

miércoles, 21 de marzo de 2007

Restringir el acceso a Internet a los usuarios


Restringir el acceso a Internet a los usuarios


___________________________________________________________

Generalmente, se piensa que activando el Asesor de Contenido de Internet Explorer podemos restringir el acceso a Internet a los usuarios; nada más lejos de la realidad. La utilización del Asesor de contenido no es el mejor método para restringir toda navegación en Internet. Sí que es cierto que restringe un gran porcentaje de páginas de Internet, sin embargo existen también otras muchas que permanecen fuera de los sistemas de clasificación, incluso configurando el Asesor para que los usuarios no puedan ver sitios sin clasificación, además de otras muchas páginas malintencionadas que burlan estos sistemas de clasificación.

Es posible mejorar la eficacia del Asesor de contenido, agregando filtros clasificatorios de organizaciones independientes, como el RSAC (Recreational Software Advisory Council), el ICRA (Internet Content Rating Association), o el SafeSurf. Sin embargo, nunca se conseguirá un 100% de restricción. Sin ir más lejos, siempre podrá accederse a las páginas de estas asociaciones, o incluso a la mayoría de páginas de Microsoft:

http://www.microsoft.com/
http://www.icra.org/
http://www.safesurf.com/


El mejor método para evitar cualquier tipo de navegación a través de Internet es utilizar un servidor proxy, mediante el cual puede permitirse el acceso a la red interna, o intranet, y evitando la salida al exterior, o a ciertos sitios, o bloquear la utilización del protocolo HTTP mediante un firewall.

Evidentemente, las empresas utilizan servidores proxy para controlar los accesos y los usuarios que tendrán permisos de conexión. Pero los datos de la conexión proxy NO deben estar visibles a los usuarios que no sean administradores, o incluso a ninguno. En estos casos, lo más indicado es restringir el acceso al Panel de control de Internet Explorer, evitando de esta forma que cualquier usuario pueda copiar o modificar configuraciones del navegador.

Ahora bien, tanto si utilizamos como si no un servidor proxy, existe una manera sencilla de poder conseguir que los usuarios sólo puedan navegar a determinadas páginas de Internet, las que el administrador determine, y ésta sería editando el archivo Hosts, de manera que únicamente contenga las direcciones a las que se puede acceder, y eliminando la dirección IP del servidor o servidores DNS de la configuración del protocolo TCP/IP (cuya IP se puede conocer en una consola de comandos), restringiendo, además, el acceso a las conexiones de red del Panel de control.

Hay que tener en cuenta que con esta restricción, algunos programas pueden tener problemas de conexión a Internet si utilizan para ello el proceso iexplore.exe.

El archivo Hosts es un archivo de texto que se puede utilizar para resolver nombres de dominio en direcciones IP de forma local, y se halla en el directorio de Windows en el caso de sistemas Windows 9x/Me; o en el directorio %Systemroot%\system32\drivers\etc en el caso de sistemas NT/2000/XP. Para más información sobre este archivo y sus funciones, se pueden consultar los siguientes artículos:

http://www.saulo.net/pub/articulo.php?cod=hosts

http://www.ayuda-internet.net/tutoriales/manu-eliminapubli/manu-eliminapubli.html


Para editar el archivo Hosts, acudiremos a la ruta %Systemroot%\system32\drivers\etc (para el caso de Windows XP); nos aseguraremos que no está protegido contra escritura (abriremos sus propiedades y quitaremos la marca "sólo lectura" si la tiene activada) y posteriormente abriremos el archivo con el Bloc de notas (notepad.exe), e introduciremos las direcciones que nos interese tener operativas, como se muestra en este ejemplo:




Lógicamente, las direcciones IP pueden cambiar. Para conocer la IP real de un sitio web, ejecutamos el comando *ping* desde un símbolo de sistema (en este caso, para Google):




Automáticamente, la consola nos dará la dirección IP de Google (216.239.57.104).

Una vez introducidas las direcciones IP asociadas a los nombres de dominio en el archivo Hosts, guardaremos los cambios y lo protegeremos contra escritura. Seguidamente, ejecutamos "control netconnections", desde el menú Inicio > Ejecutar, y seleccionamos nuestra conexión de red, y mediante el botón derecho del ratón elegimos Propiedades. Seleccionamos el protocolo de Internet TCP/IP, y en sus propiedades eliminamos las direcciones de los servidores DNS. Guardamos los cambios.

Para restringir el acceso al Panel de control de Internet Explorer a todos los usuarios, deben establecerse restricciones en el registro de Windows desde una cuenta administrativa. Desde el menú Inicio > Ejecutar, tecleamos regedit.exe. Cuando se abra el editor del registro, buscamos la rama siguiente:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer

Teniendo seleccionada la clave Internet Explorer, creamos una nueva subclave a la que llamaremos “Restrictions”. Teniendo seleccionada ésta última, en el panel de la derecha, creamos un nuevo valor DWORD llamado “NoBrowserOptions”, cuyo contenido lo establecemos en *1* para habilitar la restricción. Cerramos el editor del registro. Con este ajuste, ningún usuario podrá acceder al panel de control del navegador desde el menú Herramientas, incluyendo a los administradores. Si queremos excluir a los administradores de esta restricción, en los sistemas que incluyan Directiva de Grupo (W2000 Profesional/WXP Profesional/W2003/WVista), ejecutaremos gpedit.msc, y habilitaremos la política "Menú Herramientas: opción de menú Deshabilitar opciones de Internet", que encontramos en la rama Configuración de usuario > Plantillas administrativas > Componentes de Windows > Internet Explorer > Menús del Explorador.

Acto seguido, debemos llevar a cabo los ajustes que se describen en el siguiente artículo, para liberar los administradores de dicha restricción:

**How to apply local policies to all users except administrators in a workgroup setting in Windows 2000
http://support.microsoft.com/kb/293655/en-us

(artículo aplicable también a Windows XP)


Una vez establecida esta restricción a los usuarios, éstos no podrán acceder al menú de Opciones de Internet desde el navegador, pero podrán seguir accediendo desde el Panel de control > Opciones de Internet, por lo que habrá que crear una nueva restricción, en este caso, a través de esta otra clave del registro para todos los usuarios del equipo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

O esta otra sólo para usuarios determinados:

HKEY_USERS\Carpeta_de_usuario\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

(donde “Carpeta_de_usuario” corresponde a la clave de referencia numérica del usuario)

En las que, en el panel derecho, deberemos crear un nuevo valor DWORD denominado "NoControlPanel", con el contenido *1*. Cerramos el editor del registro y reiniciamos el sistema.

.

.

19 comentarios:

Anónimo dijo...

Tu informacion es muy buena. Que pasa si no tenemos acceso fisico a la pc¿

Enrique Cortés dijo...

Gracias, pero no entiendo tu pregunta...

Anónimo dijo...

Una duda:

Y para hacer al revés? digamos que quiero desbloquear eso, porque mi jefe me ha impuesto un bloqueo pero no quiero que revise mis paginas visitadas y no puedo entrar a panel de control....

Espero respuesta, muchas gracias

Enrique Cortés dijo...

Si tienes privilegios administrativos en tu cuenta, podrás desbloquear lo que quieras, sino tendrás que solicitarlo al administrador.

Anónimo dijo...

Disculpa, yo quiero que puedan los usuarios usar el Messanger y no navegar mas que a la pagina de correo de hotmail, es posible con esto que escribes o no es posible de ninguna manera, gracias y tu pagina esta sumamente interesante.

Enrique Cortés dijo...

Sí, es posible, tal como lo describo en el artículo. Es de suponer que el firewall no bloqueará los puertos que utiliza Messenger.

Anónimo dijo...

enrique yo quiero bloquear el internet tools en el windows vista pero no puedo yo utilizo un servidor proxy en mi compania pero mis empleados desabilitan el proxy y pueden navegar libremente me podras ayudar gracias

Enrique Cortés dijo...

Cuando dices "internet tools" supongo que te refieres al cuadro de diálogo "Opciones de Internet" (en inglés, "Internet Options"). Para ello, debes seguir los pasos que describo muy claramente en este artículo.

Unknown dijo...

Hola
La pregunta es: Con la solucion que propones queda abilitada la opcion de acceso remoto al equipo en que estas restringiendo el acceso a internet?, lo que me pasa es que trabajo en una empresa que atiende publico y utilizamos un programa de gestion que requiere de acceso remoto, por el asunto de soporte, pero no quiero que los operarios puedan tener acceso a internet para chatear,faceboock, etc, en definitiva que lo utilizen solo para el trabajo, haciendo la salvedad anterior. Si fueras tan amable de responder al mail: hhevia@cerogrdo.cl te estaria muy agradecido. Hector Hevia.

Enrique Cortés dijo...

Hola, Tito.

Si para ello se utiliza Internet Explorer, sólo se podrá acceder a las direcciones especificadas en el archivo HOSTS. Por tanto, las restricciones impuestas tal como especifico en el artículo afectan directamente al acceso remoto al equipo (o Escritorio Remoto para soporte técnico).

el canibal dijo...

como puedo hacer par desbloquear una cuenta de hotmail en el filtro de internet ICRA???

el canibal dijo...

hola quisiera saber comohago para desbloquear hotmail del filtro de internet icra

Anónimo dijo...

Sr. Cortes.
Si me puede ayudar.
Yo active el asesor de contenido y habilite tambien el archivo host, pero un usuario instalo Google Chrome y navega igual.
El pc esta conectado a un red de area local y tiene casilla de correo outlook. La idea es que no tenga acceso a navegacion pero si a su correo. Tiene sua ip de la red mas los dsn. Como puedo hacer para que no pueda navegar.
Gracias.-
Marcelo.

escuela de manejo daytona dijo...

una consulta... se puede bloquear una pagina solo para uno de los usuarios de windows 7...... osea hay 3 usuarios y solo queremos bloquearla pra uno de ellos
gracias

escuela de manejo daytona dijo...

una consulta... se puede bloquear una pagina solo para uno de los usuarios de windows 7...... osea hay 3 usuarios y solo queremos bloquearla pra uno de ellos
gracias

Ronald Schneider Hamann dijo...

Buenos dias Me podrias ayudar con lo siguiente
tengo usuarios en mi pc uno es admin y el otro es Estandar
quisisera saber como el usuario estandar puede restringirse el acceso
a internet, érp qie tenga acceso a red local

Enrique Cortés dijo...

Hola, Ronald. Desactivar el acceso a Internet a uno o varios usuarios del equipo mientras que el resto de usuarios puede navegar perfectamente, se puede hacer pero es algo complicado y hay que modificar varias ramas del registro. Sería más o menos lo que explica esta página (http://lecciones.batiburrillo.net/desactivar-acceso-a-internet/)pero primero hay que iniciar sesión en esa cuenta de usuario y sin cerrar seión, entrar en la cuenta del administrador para realizar los cambios en el regitro. Primero hay que determinar cuál es la clave del usuario donde deben hacerse las modificaciones. Abrir HKEY_USERS, y de las subclaves que cuelgan, una de ellas es la del usuario. La subclave Volatile Environment nos dice a quién pertenece (si miramos el valor HOMEPATH. Una vez localizada la clave del usuario, aplicar los cambios tal como explica la página web. Es calgo complicado si no conoces un poco el registro de windows.

Anónimo dijo...

Esto es un copiar y pegar de la web de Microsoft. Como no se cita la fuente, esto plagio.

Enrique Cortés dijo...

¿Plagio? ¿Quieres que te cite la fuente?
Ahí la tienes: https://support.microsoft.com/es-es/kb/978599

Por eso no hay fuente, porque es original mío y publicado por Microsoft.