El Blog de Enrique Cortés

domingo, 29 de julio de 2007

El modo protegido de Internet Explorer en W. Vista y W. 7


En Windows Vista y Windows 7, el modo protegido de Internet Explorer tiene como objetivo que el Control de Cuentas de Usuario (UAC) limite a Internet Explorer con los privilegios suficientes para explorar Internet, pero no los suficientes para modificar archivos de usuario o las configuraciones de forma predeterminada. Como resultado, incluso si un sitio malintencionado ataca un punto vulnerable de Internet Explorer, el modo protegido ayuda a reducir los riesgos de que el código del sitio pueda instalar software, copiar archivos en la carpeta de inicio, modificar la configuración del registro, o piratear la configuración de la página de inicio del explorador o el proveedor de búsqueda. Esta característica, conocida como modo protegido de Internet Explorer, sólo está disponible para las versiones de Internet Explorer 7 y 8 en Windows Vista, e Internet Explorer 8 en Windows 7 y Windows Server. Puesto que estas defensas restringen las capacidades de Internet Explorer, se han agregado algunas características de compatibilidad de forma que se asegura a los usuarios legítimos que puedan instalar software nuevo, descargar archivos y modificar la configuración del sistema, tal y como solían hacerlo anteriormente.

Además, Internet Explorer ofrece una nueva protección contra aquellos controles ActiveX no autorizados. Mientras que la plataforma ActiveX puede extender mucho las capacidades del explorador y mejorar las experiencias en línea, algunos desarrolladores malintencionados han tomado la plataforma para escribir aplicaciones malintencionadas que roben información y dañen el sistema del usuario. Muchos de estos ataques se llevan a cabo contra los controles ActiveX integrados en el sistema operativo, aunque los controles nunca fueron ideados para ser usados por aplicaciones de Internet.

Internet Explorer en Windows Vista y Windows 7 ofrece a los usuarios un nuevo y eficaz mecanismo de seguridad para la plataforma ActiveX. ActiveX Opt-In deshabilita automáticamente clases enteras de controles—todos los controles que el usuario no ha habilitado previamente—que reducen al máximo la superficie de ataque. Esta nueva característica funciona directamente para mitigar el posible mal uso que pueda hacerse de los controles preinstalados. A partir de ahora, se solicita a los usuarios confirmación a través de la Barra de información antes de tener acceso a un control ActiveX instalado previamente pero que todavía no se ha utilizado. Este mecanismo de notificación proporciona a los usuarios la capacidad de permitir o denegar el acceso al obtener sitios Web que no les resulten familiares.

En el caso de los sitios Web malintencionados que intentan ataques automáticos, ActiveX Opt-In protege a los usuarios impidiendo el acceso no deseado y otorga el control al usuario. En el caso en que el usuario decida permitir cargar un control ActiveX, el control correspondiente se habilita fácilmente haciendo clic en la Barra de información.

Muchos usuarios han preguntado acerca del Modo protegido, que parece ser que se deshabilita de forma automática según ciertas configuraciones. De forma predeterminada, el modo protegido de Internet Explorer está habilitado para las zonas de seguridad de Internet, Intranet y la zona de Sitios restringidos, mientras que siempre está deshabilitado para las zonas de Sitios de Confianza y la zona local de la máquina.

Para permitir o inhabilitar el modo protegido para una zona de seguridad, debemos acudir a Opciones de Internet > Pestaña Seguridad > Seleccionar la zona apropiada > Marcar o desmarcar la casilla de verificación Permitir el modo protegido. Podemos controlar el estado del modo protegido si consultamos el texto que nos aparece en la esquina inferior derecha de la barra de estado del navegador: Modo protegido activado. Sin embargo, ocasionalmente, es posible que el texto de la barra de estado cambie de pronto a Modo protegido desactivado, aun cuando en Opciones de Internet el diálogo dice que el modo protegido está habilitado. Existen ciertas excepciones que pueden potencialmente girar el estado del modo protegido de activado a desactivado de forma automática. A saber:


1. El Control de Cuentas de Usuario (UAC) está deshabilitado. Si UAC está deshabilitado, el modo protegido se desactiva de forma automática. En este escenario, algunas de las protecciones que dependen del modo protegido no están disponibles, por ejemplo, el User Interface Privilege Isolation (UIPI) queda deshabilitado.

2. Internet Explorer está funcionando con privilegios de administrador. El modo protegido se desactiva cuando Internet Explorer se ejecuta con privilegios de administrador (por ejemplo, si hacemos clic derecho del ratón sobre el icono de IE, y en el menú contextual elegimos Ejecutar como administrador o cuando IE se ejecuta con privilegios administrativos desde otra aplicación). Esto puede ocurrir, por ejemplo, cuando un programa instalador funciona con privilegios de administrador y lanza un nuevo proceso de Internet Explorer.

3. Internet Explorer navega a una página HTML local. Cuando la página que se se visita es un archivo local, situado en la máquina local, el modo protegido también puede deshabilitarse automáticamente, puesto que el contenido de la página se considera seguro. Ahora bien, si la página fue guardada desde una zona (por ejemplo Internet) en la que se ha permitido el modo protegido, entonces éste vuelve al estado activado.


Navegar con IE8 en Windows Vista y Windows 7 siempre es más seguro con el modo protegido activado. Pero si por alguna razón visitamos una página web que por sus características y la zona de la que procede, debería visualizarse en modo protegido, y la barra de estado nos informa que no es así, lo aconsejable es cerrar inmediatamente Internet Explorer, e iniciar una nueva instancia del navegador para visitar de nuevo la página.
*
*

11 comentarios:

Rafael dijo...

si hubiera mas gente asi de informada el mundo informatico se beneficiaria grandemente. gracias y que los budas te protejan

Anónimo dijo...

Bueno este navegador me tiene de cabeza y en la empresa no se puede cambiar por otro, tiene que ser IE. Usamos muchas web de nuestra intranet y alguna de internet, en las que tenemos que ejecutar activeX etc.

Mi duda entre muchas que me dá este navegador es:

Como puedo añadir un complemento manualmente ?
indagando un poquito he visto que se guardan en distintos sitios de c: *.ocx la mayoria, e incluso alguna *.dll
El problema en si es que el I.E. 7 cada vez que va a descargar un complemento de una de nuestras web corporativa siempre esta desconfianzo y preguntando desea descargar, desea instalar ... pues ya no se como decirle que SI, la tengo incluso metida en sitios de confianza, pero nada el sigue ere que ere, ya no se como decirle que de esas 5 paginas se abra todo y se descarge todo sin pregunta, y sin restrinciones .

Anónimo dijo...

Gracias util información......

Karo dijo...

como puedo tener el modo protegido activado, sin que se me aparezca la odiosa ventana del uac.

Enrique Cortés dijo...

Hola, Yoli. No es posible. El modo protegido es el UAC de Internet Explorer. Si deshabilitas UAC, deshabilitas el modo protegido.

Anónimo dijo...

como hago para activar el mo protegido. nunca esta activado. lo reinicio y no pasa nada es normal tengo windows seven hp 32bits

Enrique Cortés dijo...

Hola, Anónimo.

¿Te has leído el artículo completo?
Léetelo, anda...

Anónimo dijo...

Muy buenas Enrique

He buscado info a cerca de mi problema y lo mas "cercano" que he encontrado es tu publicación en el Blog.

Resulta que "misteriosamente" en el portatil de mi novia (windows 7) ya no le es posible navegar con el explorer 8 (32 bits) con modo protegido activado ....... si lo desactivo SI puede navegar con toda normalidad ...

Por mas q busco en cuentas de usuarios, por mas q configuro su explorer y lo pongo como el mio, no logro que funcione ... no lo entiendo ...

Alguna idea con estos simples datos???

PD si ejecuto explorer 32 bits como administrador SI puedo navegar en modo protegido pero SIEMPRE me sale la ventana para aceptar permisos como administrador ... :(

Gracias Enrique!!

Saludos Salva.

javiercito dijo...

oye amigo tengo una duda x k cada ke prendo mi lap con win 7 el modo protegido esta desactivado despues lo activo i cuando apago la lap i la prendo denuevo esta como desactivado ¿como hacer que este activado cada ke enciendo mi lap?

Anónimo dijo...

No puedo deshabilitar el modo protegido la opción esta en promo y no permite modificar, he revisado en muchos foros y no encuentro algo referente a esto.

help me

Anónimo dijo...

Estimados no puedo cambiar la opción de
"Enable protected mode", esta en plomo deshabilitada, como corrijo este problema?