Referencia
Seguridad de Internet Explorer
Internet Explorer le permite controlar la seguridad de varias formas: mediante certificados de sitios, entidades emisoras de certificados y . Puede instalar previamente certificados en los equipos de los usuarios y evitar que éstos descarguen otros certificados. También puede establecer restricciones en el contenido que ven los usuarios.
Los pueden especificar la configuración de seguridad y las restricciones en los pasos 4 y 5 del Asistente para la personalización de Internet Explorer.
Acerca de las zonas de seguridad
Las opciones de seguridad de Internet Explorer le permiten asignar determinados sitios Web a diversas zonas, en función de la confianza que tenga en el contenido del sitio Web.
Cuando instala Internet Explorer se configuran las siguientes zonas de seguridad:
- Una zona de Internet que contiene, de forma predeterminada, todos los sitios de Internet
- Una zona de intranet local para los equipos conectados a una red local
- Una zona de sitios de confianza, a la que puede asignar los sitios en los que confíe
- Una zona de sitios restringidos, a la que puede asignar los sitios en los que no confíe
- Una zona Mi PC, que contiene los archivos del equipo local
A estas zonas se les puede aplicar los cuatro niveles de configuración de seguridad predeterminados siguientes: alto, medio, medio-bajo y bajo. Además, puede definir niveles de seguridad personalizados para cada zona.
Puede ver todas las opciones de configuración de seguridad si hace clic en el icono Internet del Panel de control y, después, hace clic en la ficha Seguridad. Para obtener información específica acerca de estas opciones y de cómo interactúan, consulte Opciones de seguridad de Internet Explorer.
Recuerde que la seguridad en Internet será tan buena como lo sea su configuración. Internet Explorer le proporciona la información necesaria para tomar decisiones correctas en cuanto a la seguridad, así como herramientas flexibles para implementar esas decisiones.
Puede predefinir las opciones de seguridad cuando ejecuta el Asistente para la personalización de Internet Explorer y puede determinar si los usuarios pueden o no cambiar esas opciones. Si no predefine las opciones de seguridad, puede ser aconsejable recomendar el nivel de seguridad óptimo para los usuarios, en función de su experiencia y de las necesidades de la organización.
Notas
- Si el idioma del paquete del explorador Internet Explorer que está generando difiere del idioma del explorador de su equipo y ha importado las zonas de seguridad, quizás aparezcan algunos caracteres no reconocibles en la interfaz que cree para las zonas de seguridad de los exploradores.
- Sólo puede configurar la zona Mi PC desde el IEAK; sus opciones de configuración no están disponibles en la interfaz del explorador. Normalmente, se recomienda usar la configuración predeterminada para esta zona a menos que su organización tenga requisitos especiales. Una configuración con un nivel de seguridad menor podría crear riesgos de seguridad, mientras que una configuración de seguridad más estricta podría afectar a la funcionalidad.
Para obtener más información, consulte los temas siguientes:
La zona de Internet está formada por todos los sitios no incluidos en alguna de las otras zonas. De forma predeterminada, la zona de Internet tiene asignado el nivel de seguridad medio. Si le preocupan los problemas de seguridad que se puedan presentar al explorar Internet, puede ser aconsejable que cambie la configuración al nivel alto. Si aumenta el nivel de seguridad, algunas páginas Web no tendrán permiso para realizar operaciones potencialmente peligrosas, si bien esto puede obstaculizar cierta funcionalidad útil y hacer que algunas páginas no funcionen correctamente.
Puede elegir la configuración personalizada para controlar cada decisión individual de seguridad de la zona. Para ello, haga clic en el icono Internet del Panel de control, haga clic en la ficha Seguridad y, finalmente, haga clic en Personalizar nivel.
Hay dos zonas a las que puede asignar sitios Web específicos en los que confía más o menos que los de la zona de Internet o la zona de intranet local. Para agregar sitios a estas zonas, elija primero la zona y, después, haga clic en Sitios.
La zona de sitios de confianza tiene asignado de forma predeterminada el nivel de seguridad bajo. Es recomendable para sitios de confianza elevada, como empresas con las que habitualmente mantiene relaciones comerciales, a veces conocidos como una extranet. Si asigna un sitio a la zona de sitios de confianza, el sitio podrá realizar operaciones más eficientes. Además, Internet Explorer le pedirá menos veces que tome decisiones relativas a la seguridad Agregue un sitio a esta zona sólo si confía en que el contenido nunca hará algo peligroso en su equipo. En la zona de sitios de confianza, le recomendamos encarecidamente que utilice el protocolo HTTPS o que se asegure de que las conexiones al sitio sean seguras.
La zona de sitios restringidos tiene asignado de forma predeterminada el nivel de seguridad alto. Si asigna un sitio a la zona de sitios restringidos, el sitio sólo tendrá permiso para realizar un número mínimo de operaciones que sean verdaderamente seguras. Esta zona sirve en el caso poco frecuente de que no confíe en un sitio. Para asegurar un alto grado de seguridad para contenido en el que no se confía, muchas páginas en esta zona no funcionarán correctamente.
Para estar totalmente seguros, se impone configurar la zona de intranet local junto con el y el servidor de seguridad. Todos los sitios de la zona deben estar "dentro del servidor de seguridad" y los servidores proxy deben configurarse de manera que no permitan que se resuelva un nombre externo en esta zona. Configurar la seguridad de la zona del cliente requiere tener un conocimiento detallado de la configuración de la red existente, los servidores proxy y los servidores de seguridad seguros. Si no conoce esta información, póngase en contacto con el administrador de la red.
De forma predeterminada, la zona de intranet local está compuesta por locales y de los establecidos para suplantar al servidor proxy en la ficha Conexiones. Puede configurar estas opciones en la pantalla Configuración de conexión del Asistente para la personalización de Internet Explorer. Tenga en cuenta que ahora se pueden definir varias para cada usuario. El administrador de la red debe confirmar que la configuración es realmente segura para la instalación o debe ajustarla para que lo sea.
Al configurar la zona puede especificar las categorías de direcciones URL que se considerarán. También puede agregar determinados sitios a la zona.
Para especificar categorías de direcciones URL que desea incluir en la zona desde el explorador:
- Haga clic en el menú Herramientas de Internet Explorer y, después, haga clic en la ficha Seguridad.
- Haga clic en la zona Intranet local y, después, haga clic en Sitios.
- Active las casillas de verificación que correspondan de entre las siguientes:
Incluir todos los sitios locales (intranet) no listados en otras zonas
Incluir todos los sitios que no utilicen el servidor proxy
Incluir todas las rutas de acceso de red (UNC)
Notas
- Para agregar un sitio específico a esta zona, haga clic en Opciones avanzadas, escriba la dirección URL y haga clic en Agregar. Para requerir que se use la comprobación del servidor, active la casilla de verificación Necesita comprobación del servidor (https:) para todos los sitios de esta zona.
- Para especificar categorías de direcciones URL para los paquetes IEAK, haga clic en Personalizar la configuración de zonas de seguridad, en la pantalla Configuración de seguridad del Asistente para la personalización de Internet Explorer y, después, haga clic en Modificar configuración.
Las reglas siguientes se aplican a las opciones de la zona de intranet local. Tenga en cuenta que agregar un sitio a cualquier zona tiene prioridad sobre las reglas siguientes:
- Incluir todos los sitios locales (intranet) no listados en otras zonas: los nombres de los sitios de intranet no incluyen puntos (por ejemplo, http://local). Un nombre de sitio como http://www.microsoft.com no es local, ya que contiene puntos. Este sitio se asignaría a la zona de Internet La regla sobre nombres de sitios de una intranet también se aplica a las direcciones URL file: y direcciones URL http: .
- Incluir todos los sitios que no utilicen el servidor proxy: en las configuraciones intranet típicas se usa un servidor proxy para tener acceso a Internet con una conexión directa a servidores de intranets. Esta configuración usa este tipo de información de configuración para diferenciar la intranet del contenido Internet en relación con las zonas. Si el servidor proxy se configura de una manera distinta, debe desactivar esta opción y emplear otras opciones para designar archivos asignados a la zona de intranet local. En el caso de los sistemas que no disponen de servidor proxy, esta configuración no tiene ningún efecto.
- Incluir todas las rutas de red (UNC): las rutas de red (por ejemplo, \\local\file.txt) suelen utilizarse con contenido de red local que debería incluirse en la zona de intranet Local. Si hay rutas de acceso de red que no deberían estar incluidas en la zona de intranet local, debe desactivar esta opción y usar otras opciones para designar archivos asignados a la zona de intranet local. Por ejemplo, en ciertas configuraciones del Sistema de archivos común de Internet (CIFS, Common Internet File System) es posible que una ruta de red se refiera a contenido Internet.
Una vez que se ha confirmado que la zona de intranet local es segura, piense en la posibilidad de cambiar el nivel de seguridad de la zona a medio-bajo o bajo para permitir que se realice una gama más amplia de operaciones. También puede definir niveles de configuración individuales de seguridad en el cuadro de diálogo Configuración personalizada.
Si hay partes de su intranet que son menos seguras o no son dignas de confianza, se pueden excluir de esta zona si las asigna a la zona de sitios restringidos.
La configuración de la zona de intranet local debe hacerse con el IEAK, aunque también puede utilizar las opciones de la ficha Seguridad del cuadro de diálogo Propiedades de Internet.
Si desea hacer referencia a un servidor Web mediante una expresión más corta de su que no contenga el dominio, puede usar un sufijo de nombre de dominio. Por ejemplo, puede hacer referencia a un servidor Web denominado ejemplo.microsoft.com como ejemplo y tendrá acceso al mismo contenido tanto si escribe http://ejemplo.microsoft.com como http://ejemplo.
Para establecer un sufijo de nombre de dominio debe agregar éste al orden de búsqueda del sufijo de dominio en las propiedades de ; para ello, realice los siguientes pasos:
- Haga clic con el botón secundario del mouse (ratón) en el icono Entorno de red y, a continuación, haga clic en Propiedades.
- Haga clic en TCP/IP y, después, en Propiedades.
- Haga clic en la ficha Configuración DNS y, a continuación, agregue la información que desee en el área Orden de búsqueda del sufijo de dominio.
Es importante que establezca correctamente las zonas de seguridad para esta configuración. De forma predeterminada, se considera que la dirección URL sin puntos (http://ejemplo) se encuentra en la zona de intranet local, mientras que la dirección URL con puntos (http://ejemplo.microsoft.com) está en la zona de Internet. Por tanto, si usa esta configuración y no se omite el servidor proxy para asignar claramente el contenido a la zona apropiada, tendrá que cambiar la configuración de la zona.
En función de si el contenido al que se tiene acceso mediante el sufijo de dominio se considera contenido de intranet o contenido de Internet, tendrá que asignar las direcciones URL de los sitios ambiguos a las zonas apropiadas. Para asignar direcciones URL como http://ejemplo a la zona de Internet, desactive la casilla de verificación Incluir todos los sitios locales (intranet) no listados en otras zonas para la zona de intranet local, e incluya el sitio en la lista de sitios de la zona.
Es posible dirigir contenido del Web mediante un nombre de Sistema de nombres de dominio (DNS) o mediante una dirección de protocolo Internet (IP); para los sitios que usan ambos, es importante configurar ambas referencias a la misma zona. Normalmente, los sitios de la zona de intranet local son identificables tanto por su nombre local como por en la lista de derivación del servidor proxy; todos los demás nombres y direcciones IP se asignarían a la zona de Internet. No obstante, si el nombre de un sitio se introduce en la lista de zonas de sitios en los que se confía o de zonas de sitios restringidos, pero su intervalo de direcciones IP no está en la lista, puede que se trate el sitio como parte de la zona de Internet si se tiene acceso a ella mediante su dirección IP.
Es importante comprender que un usuario puede copiar contenido de una zona a otra, con lo que podría aumentar o disminuir el nivel de seguridad deseado para dicho contenido.
Si está usando y tiene instalados Internet Explorer 5 (o posteriores) e Internet Explorer con el mismo archivo de configuración automática, algunos valores de configuración que difieren entre las versiones no serán configurados en Internet Explorer 4.
