El Blog de Enrique Cortés

jueves, 27 de septiembre de 2007

Impedir a los usuarios la descarga de archivos en IE7/IE8


En ambientes empresariales y redes corporativas, los administradores de sistemas pueden aplicar directivas a equipos y usuarios utilizando la Directiva de grupo. Entre estas directivas está la de impedir que los usuarios de la red puedan descargar archivos desde Internet. Sin embargo, en entornos domésticos, con sistemas no profesionales, no existe tal Directiva de grupo, y por tanto no es posible aplicar esta restricción; pero sí es posible hacerlo desde el registro de windows. Mediante el método que expongo a continuación, como administrador podrás restringir la descarga de archivos, desde cualquier zona de seguridad de Internet, a los usuarios que desees. Es decir, podrás elegir a qué usuarios se les aplicará dicha directiva.

Esto es aplicable a Windows 2000/XP/Vista, en cualquiera de sus ediciones domésticas o profesionales. Antes, es necesario tener claro el concepto de "zonas de seguridad", para lo cual puedes consultar el artículo
Zonas de seguridad de IE y cómo hacer copia de seguridad de las mismas
.

Por tanto, definimos las zonas de seguridad de Internet Explorer, de la siguiente manera:

Zona 1 = Intranet local (sitios web de la red local).
Zona 2 = Sitios de confianza (aquellos que sabemos que son seguros)
Zona 3 = Internet (todos los sitios que no están en las otras zonas)
Zona 4 = Sitios restringidos

Teniendo en cuenta este dato, ya puedes aplicar la directiva en relación a la zona de seguridad desde la que provenga el archivo de descarga. Por ejemplo, para evitar que los usuarios descarguen archivos provenientes de la zona Internet, debes aplicar la directiva a la zona número 3, y para los archivos provenientes de la zona Sitios restringidos, debes aplicar la directiva a la zona número 4.

Para asegurarte que el usuario no pueda descargar archivos de Internet, te aconsejo que apliques la restricción a las cuatro zonas (1, 2, 3 y 4), ya que si, por ejemplo, sólo se aplica a la zona Internet (número 3), los usuarios más avispados agregarán los sitios web de donde provienen los archivos de descarga a una zona sin restricción, con lo cual podrán seguir descargando archivos. Los pasos que debes seguir para conseguirlo son los siguientes:


1. Inicia sesión en todas las cuentas de los usuarios a los que quieras aplicar la directiva.

2. A continuación, inicia sesión en tu cuenta administrativa y accede al editor del registro (regedit). Localiza la clave HKEY_USERS.

3. Bajo esta clave, cuelgan diferentes subclaves numéricas con una nomenclatura parecida a la siguiente:

S-1-5-21-1417001333-1123561945-725345543-1000

Cada una de estas claves corresponde a un usuario. Para saber a qué usuario corresponde cada una de ellas, haz doble clic en la clave y busca una subclave con el nombre Volatile Environment. Selecciónala, y en el panel derecho del editor localiza el valor HOMEPATH. Este valor descubre a qué usuario corresponde.

4. Ahora, en cada una de las claves numéricas, localiza la siguiente clave:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

Es posible que sólo llegues a la clave Microsoft, por tanto debes ir añadiendo las claves hasta llegar a la clave Zones (mediante el menú Edición > Nuevo > Clave).

5. Selecciona la clave Zones y crea cuatro nuevas claves: 1, 2, 3 y 4, de esta forma, tal como se puede apreciar en la imagen de abajo:

Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4






6.
Selecciona cada una de las claves que representan las zonas (1, 2, 3, 4) y en el panel derecho de cada una crea un valor DWORD con el nombre 1803. Haz doble clic sobre el valor 1803 y en Información del valor escribe un 3.

7. Ya puedes cerrar el editor del registro. La directiva ya se ha aplicado.


Puedes comprobar el cambio que se ha producido en cada cuenta de usuario: inicia Internet Explorer y accede al menú Herramientas > Opciones de Internet > Seguridad. Observa cómo en este panel ha aparecido una advertencia de seguridad: "El administrador del sistema controla algunas configuraciones". Pulsa en Nivel personalizado y en el apartado Descargas, verás que la descarga de archivos está deshabilitada, sin posibilidad de cambiar esta configuración.





Nota: Se pueden producir problemas graves si se modifica el Registro incorrectamente utilizando el Editor del Registro o cualquier otro método. Estos problemas pueden requerir que se reinstale de nuevo el sistema operativo. Modifica el Registro bajo tu propia responsabilidad.
*
*





16 comentarios:

Anónimo dijo...

Como hacer para la operación inversa?
mi problema es que no puedo cambiar la configuración de conexión de internet, ya que me sale el mensaje que dice " el administrador del sistema controla algunas configuraciones", obviamente debo ponerme en contacto con ellos, pero me niegan el cambio y necesito hacerlo para trabajar. como puedo hacerlo?

Enrique Cortés dijo...

Respuesta pa LMD: ¿Eres administrador del sistema? Si no eres administrador, debes ponerte en contacto con el administrador para solucionar tu problema.

Saludos.

asyr! dijo...

entre a una pagina y esta se volvio mi pagina de inicio, cuando quise cambiarla a la que yo tenia no podia porque no podia escribir en esa zona. en la parte de abajo de propiedades de internet me sale "El administrador del sistema controla algunas configuraciones"
sin embargo esta es la computadora de mi casa y no hay ningun administrador del sistema ni nada de eso. no se como podre cambiarlo porvafor indiqueme como lo hago?

Enrique Cortés dijo...

Hola, Asyr!

Seguramente, la página que se ha puesto como de inicio, sin consultarte, ha creado una restricción para que no puedas cambiarla. Haz lo siguiente:

1. Cierra Internet Explorer
2. Inicia el editor del Registro (regedit) mediante el menú Inicio > Ejecutar, y localiza la siguiente clave:

HKEY_CURRENT_USER\Software\Policies\Microsoft

Debajo de la carpeta "Microsoft" verás otra carpeta llamada "Internet Explorer". Simplemente, elimina esta última (la seleccionas y pulsa en Edición > Eliminar). Responde Sí a la pregunta y cierra el editor del Registro.

Anónimo dijo...

gracias enrique si que funciona¡¡¡¡

carlos G. dijo...

ENRIQUE!!!...


hola, al parecer es muy eficiente tu blog de informatica es por eso que acudo a ti para que me ayudes a hacer lo inverso.
mi conexion es casera pero una vez intenté conectarme en una red publica gratuita y desde ese entonces no he podido usar el IE7 ni el msn ya que la casilla de PROXY en OPCIONES DE INTERNET siempre esta desactivada y no puedo configurar el LAN dado que "el administrador del sistema controla algunas funciones" o soy el administrador ya intente de todo en cuentas de usuarios y panel de control, control parental, regedit y no puedo espero que nos expliques a LMD y a mi como activar esa funcion, ya tengo demasiado tiempo usando solamente el mozilla y el e-buddy como mensajeria instantanea, de antemano muchas GRACIAAAS!!
(no puedo usar antivirus ya que necesitan de la conexion a internet configurada de IE tal como MSN)

te lo agradeceria ETERNAMENTE!!!

Enrique Cortés dijo...

Si tienes privilegios administrativos, accede al editor del registro (regedit), y localiza estas dos claves:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft
Si existe alguna de ellas, o las dos, las eliminas (botón derecho > eliminar).

Luis García dijo...

Hola casi doy con lo que estoy buscando. lo que necesito es en lugar de deshabilitar las descargas, quiero habilitarles la opcion a los usuarios de "Pedir la intervencion del usuario para descarga automatica de archivo" ¿podrias pasarme el tip? gracias.

Enrique Cortés dijo...

Hola, Chunty.

La opción "Pedir la intervención del usuario automática para la descarga de archivos", es una nueva característica de mejora de la seguridad que incluye el Service Pack 2 de Internet Explorer en Windows XP.

Esta opción determina si se requiere o no la intervención de los usuarios para las descargas de archivos NO iniciadas por los usuarios.

Independientemente de cómo se configure esta opción (activada o
desactivada), los usuarios recibirán siempre cuadros de diálogo de descarga de archivos para las descargas iniciadas por los usuarios.

Es decir, que si la descarga de un archivo la has ejecutado tu
personalmente (por decisión propia del usuario), te debe aparecer un
cuadro de diálogo de descarga de archivo en el que puedes elegir si
abrirlo directamente, o guardarlo a disco (independientemente de cómo
hayas configurado aquélla opción). Ahora bien, este cuadro de diálogo no te aparecerá si no has activado la opción "Confirmar apertura después de la descarga" en Panel de control > Opciones de carpeta > Tipos de archivo.

Anónimo dijo...

hola. logre eliminar el msj que me salia diciendo que el administrador controla el sistema. pero a los dias volvio a salirme lo mismo. utilise el mismo procedimiento y de nuevo lo elimine. pero quisiera saber. por q me salio por segunda ves en pocos dias. y q ago para q en un futuro no me vuelva a salir este msj. agradesco tu respuesta. gracias.

Anónimo dijo...

Hola Enrique tengo el problema de la pagina de inicio de prodigy msn , y el mensaje que sale de que el adminstrador controla algunas configuraciones , hice el procedimiento que mencionas en el regedit lo elimino pero a las pocas horas vuelve a aparecer, que puedo hacer para quitarlo definitivamente o acaso es un virus???
De antemano gracias por tu ayuda¡¡¡

Anónimo dijo...

Que tal Enrique te escribo desde México soy Héctor Cortés He visto las opciones de hacer la operación inversa. He borrado el registro de en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft y HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft cada vez que los borro y cierro el regedit al volverlo abrir aparecen nuevamente y continua el problema "El Administrador del Sistema Controla algunas Configuraciones" solo en conexiones de red de las opciones de internet.
He borrado ambos registros desde modo seguro, he corrido al panda antivirus sin detectar alguno, el spybot, el super antispyware y no se ha solucionado.

Enrique Cortés dijo...

Hola, Héctor.

Antes de realizar la operación inversa, tal como explicas, ¿Quién llevó a cabo la restricción? ¿La restricción la hiciste tú a través del registro?¿Tienes privilegios administrativos?¿Tu equipo está en una red?

Es posible que las políticas establecidas por el administrador de la red impidan cualquier cambio en este sentido. Sólo el administrador, y mediante políticas podrá revertir los cambios.

Anónimo dijo...

ola enrique

tengo un problema no puedo borrar un pagina que a kedado de pagina inicio. e echo lo ke dijiste pero cuando pongo esa clave en ejecutar me aparece un cartel disiendo que "windows no encontro ese archivo..." que ago ami tambien me sale en panel de control "el administrador del sistema controla algunas configuraciones"

espero tu respuesta gracias

Anónimo dijo...

Hola enrique, gracias por tu ayuda!! mi problema era el controlador de internet y gracias a ti lo solucione! te deseo lo mejor, gracia!!

Anónimo dijo...

Hola,
Mi problema es el siguiente, en mi computador mi cuenta es el administrador, tengo problemas para cambiar la configuración de windows update, no podia seleccionar ninguna opción y habia un mensaje que decia "el administrador del sistema controla algunas configuraciones", busque por ahi y encontre que borrando en HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU
el valor, AUOptions, asi lo hice, ahora puedo seleccionar la opción que quiero pero al darle aceptar me sale un aviso "Debe proporcionar un permiso de administrador. Para completar esta tarea, inicie sesión como administrador o pida a un administrador que complete la tarea por usted". Espero me puedan ayudar. Gracias