Entradas del Registro de zonas de seguridad de Internet Explorer para usuarios avanzados

  • Artículo

Advertencia

Se ha programado la deshabilitación permanente de la aplicación de escritorio retirada y sin soporte de Internet Explorer 11 a través de una actualización de Microsoft Edge en ciertas versiones de Windows 10. Para obtener más información, consulte Preguntas frecuentes sobre la retirada de la aplicación de escritorio de Internet Explorer 11.

En este artículo se describe cómo y dónde se almacenan y administran las zonas de seguridad y la configuración de privacidad de Internet Explorer en el Registro. Puede usar directiva de grupo o el Kit de administración de Microsoft Internet Explorer (IEAK) para establecer las zonas de seguridad y la configuración de privacidad.

Versión original del producto: Internet Explorer 9, Internet Explorer 10
Número de KB original: 182569

Configuración de privacidad

Internet Explorer 6 y versiones posteriores agregaron una pestaña Privacidad para proporcionar a los usuarios más control sobre las cookies. Esta pestaña (seleccioneHerramientas y, a continuación, seleccioneOpciones de Internet) proporciona flexibilidad para bloquear o permitir cookies, en función del sitio web del que procede la cookie o del tipo de cookie. Los tipos de cookies incluyen cookies de terceros, cookies de terceros y cookies que no tienen una política de privacidad compacta. Esta pestaña también incluye opciones para controlar las solicitudes de sitios web para los datos de ubicación física, la capacidad de bloquear elementos emergentes y la capacidad de ejecutar barras de herramientas y extensiones cuando la exploración de InPrivate está habilitada.

Hay diferentes niveles de privacidad en la zona de Internet y se almacenan en el registro en la misma ubicación que las zonas de seguridad.

También puede agregar un sitio web para habilitar o bloquear cookies basadas en el sitio web, independientemente de la política de privacidad en el sitio web. Esas claves del Registro se almacenan en la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Los dominios que se han agregado como sitio administrado aparecen en esta subclave. Estos dominios pueden llevar cualquiera de los siguientes valores DWORD:

0x00000005- Always Block
0x00000001: Permitir siempre

Configuración de la zona de seguridad

Para cada zona, los usuarios pueden controlar cómo Controla Internet Explorer elementos de mayor riesgo, como controles ActiveX, descargas y scripts. La configuración de zonas de seguridad de Internet Explorer se almacena en las siguientes subclaves del Registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Estas claves del Registro contienen las siguientes claves:

  • TemplatePolicies
  • ZoneMap
  • Zonas

Nota:

De forma predeterminada, la configuración de zonas de seguridad se almacena en el subárbol del HKEY_CURRENT_USER Registro. Dado que este subárbol se carga dinámicamente para cada usuario, la configuración de un usuario no afecta a la configuración de otro.

Si las zonas de seguridad: usar solo la configuración de la máquina en directiva de grupo está habilitada, o si el Security_HKLM_only valor DWORD está presente y tiene un valor de 1 en la siguiente subclave del Registro, solo se usa la configuración del equipo local y todos los usuarios tienen la misma configuración de seguridad:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Con la Security_HKLM_only directiva habilitada, Internet Explorer usará los valores HKLM. Sin embargo, los valores HKCU se seguirán mostrando en la configuración de zona de la pestaña Seguridad de Internet Explorer. En Internet Explorer 7, la pestaña Seguridad del cuadro de diálogo Opciones de Internet muestra el siguiente mensaje para indicar que el administrador del sistema administra la configuración:

Algunas configuraciones las administra el administrador del sistema. Si las zonas de seguridad: usar solo la configuración de la máquina no está habilitada en directiva de grupo, o si el valor DWORD no existe o está establecido en 0, la configuración del equipo se usa junto con la Security_HKLM_only configuración del usuario. Sin embargo, solo aparece la configuración de usuario en opciones de Internet. Por ejemplo, cuando este valor DWORD no existe o se establece en 0, HKEY_LOCAL_MACHINE la configuración se lee junto con HKEY_CURRENT_USER la configuración, pero solo HKEY_CURRENT_USER la configuración aparece en Opciones de Internet.

TemplatePolicies

La TemplatePolicies clave determina la configuración de los niveles de zona de seguridad predeterminados. Estos niveles son Bajo, Medio Bajo, Medio y Alto. Puede cambiar la configuración de nivel de seguridad de la configuración predeterminada. Sin embargo, no se pueden agregar más niveles de seguridad. Las claves contienen valores que determinan la configuración de la zona de seguridad. Cada clave contiene un valor de cadena Description y un valor de cadena de nombre para mostrar que determinan el texto que aparece en la pestaña Seguridad para cada nivel de seguridad.

ZoneMap

La ZoneMap clave contiene las claves siguientes:

  • Dominios
  • EscDomains
  • ProtocolDefaults
  • Ranges

La Domains clave contiene dominios y protocolos que se han agregado para cambiar su comportamiento del comportamiento predeterminado. Cuando se agrega un dominio, se agrega una clave a la Domains clave. Los subdominios aparecen como claves en el dominio al que pertenecen. Cada clave que enumera un dominio contiene un DWORD con un nombre de valor del protocolo afectado. El valor de DWORD es el mismo que el valor numérico de la zona de seguridad donde se agrega el dominio.

La EscDomains clave es similar a la clave Dominios, salvo que la EscDomains clave se aplica a los protocolos que se ven afectados por la configuración de seguridad mejorada de Internet Explorer (IE ESC). IE ESC se introdujo en Microsoft Windows Server 2003 y solo se aplica a los sistemas operativos del servidor.

La ProtocolDefaults clave especifica la zona de seguridad predeterminada que se usa para un protocolo determinado (ftp, http, https). Para cambiar la configuración predeterminada, puede agregar un protocolo a una zona de seguridad seleccionando Agregar sitios en la pestaña Seguridad , o bien puede agregar un valor DWORD en la clave Dominios. El nombre del valor DWORD debe coincidir con el nombre del protocolo y no debe contener dos puntos (:) o barras diagonales (/).

La ProtocolDefaults clave también contiene valores DWORD que especifican las zonas de seguridad predeterminadas donde se usa un protocolo. No puede usar los controles de la pestaña Seguridad para cambiar estos valores. Esta configuración se usa cuando un sitio web determinado no se encuentra en una zona de seguridad.

La Ranges clave contiene intervalos de direcciones TCP/IP. Cada intervalo TCP/IP que especifique aparece en una clave con nombre arbitrario. Esta clave contiene un :Range valor de cadena que contiene el intervalo TCP/IP especificado. Para cada protocolo, se agrega un valor DWORD que contiene el valor numérico de la zona de seguridad para el intervalo IP especificado.

Cuando el archivo Urlmon.dll usa la función pública MapUrlToZone para resolver una dirección URL determinada en una zona de seguridad, usa uno de los métodos siguientes:

  • Si la dirección URL contiene un nombre de dominio completo (FQDN), se procesa la clave Dominios.

    En este método, una coincidencia de sitio exacta invalida una coincidencia aleatoria.

  • Si la dirección URL contiene una dirección IP, se procesa la Ranges clave. La dirección IP de la dirección URL se compara con el :Range valor contenido en las claves con nombre arbitrario bajo la Ranges clave.

Nota:

Dado que las claves con nombre arbitraria se procesan en el orden en que se agregaron al registro, este método puede encontrar una coincidencia aleatoria antes de encontrar una coincidencia. Si este método encuentra primero una coincidencia aleatoria, la dirección URL se puede ejecutar en una zona de seguridad diferente a la zona a la que se asigna normalmente. Este comportamiento es una característica del diseño de la aplicación.

Zonas

La Zones clave contiene claves que representan cada zona de seguridad definida para el equipo. De forma predeterminada, se definen las cinco zonas siguientes (numeradas de cero a cuatro):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Nota:

De forma predeterminada, Mi equipo no aparece en el cuadro Zona de la pestaña Seguridad, ya que está bloqueado para ayudar a mejorar la seguridad.

Cada una de estas claves contiene los siguientes valores DWORD que representan la configuración correspondiente en la pestaña Seguridad personalizada.

Nota:

A menos que se indique lo contrario, cada valor de DWORD es igual a cero, uno o tres. Normalmente, una configuración de cero establece una acción específica según lo permitido, una configuración de uno hace que aparezca un mensaje y una configuración de tres prohíbe la acción específica.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Notas sobre 1200, 1A00, 1A10, 1E05, 1C00 y 2000

Las dos entradas del Registro siguientes afectan a si puede ejecutar controles ActiveX en una zona determinada:

  • 1200 Esta entrada del Registro afecta a si puede ejecutar controles ActiveX o complementos.
  • 2000 Esta entrada del Registro controla el comportamiento binario y el comportamiento del script para los controles o complementos ActiveX.

Notas sobre 1A02, 1A03, 1A05 y 1A06

Las cuatro entradas del Registro siguientes solo surten efecto si están presentes las claves siguientes:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} Cookie de primera persona *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookie de terceros *

Entradas del Registro

  • 1A02 Permitir cookies persistentes que se almacenan en su equipo #
  • 1A03 Permitir cookies por sesión (no almacenadas) #
  • 1A05 Permitir cookies persistentes de terceros *
  • 1A06 Permitir cookies de sesión de terceros *

Estas entradas del Registro se encuentran en la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

En esta subclave del Registro, <ZoneNumber> es una zona como 0 (cero). La 1200 entrada del Registro y la entrada del 2000 Registro contienen una configuración denominada Administrador aprobado. Cuando esta configuración está habilitada, el valor de la entrada del Registro determinada se establece en 00010000. Cuando la configuración aprobada por el administrador está habilitada, Windows examina la siguiente subclave del Registro para buscar una lista de controles aprobados:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

La configuración de inicio de sesión (1A00) puede tener cualquiera de los siguientes valores (hexadecimal):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

La configuración de privacidad (1A10) se usa en el control deslizante de la pestaña Privacidad. Los valores DWORD son los siguientes:

Bloquear todas las cookies: 00000003
Alto: 00000001
Medio alto: 00000001
Medio: 00000001
Bajo: 00000001
Aceptar todas las cookies: 00000000

En función de la configuración del control deslizante, también modificará los valores de {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120}, o ambos.

La configuración Permisos de Java (1C00) tiene los cinco valores posibles siguientes (binario):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Si se selecciona Personalizado, usa {7839DA25-F5FE-11D0-883B-0080C726DCBB} (que se encuentra en la misma ubicación del Registro) para almacenar la información personalizada en un binario.

Cada zona de seguridad contiene el valor de cadena Descripción y el valor de cadena Nombre para mostrar. El texto de estos valores aparece en la pestaña Seguridad al seleccionar una zona en el cuadro Zona. También hay un valor de cadena Icon que establece el icono que aparece para cada zona. Excepto para la zona Mi equipo, cada zona contiene un CurrentLevelvalor , MinLevely RecommendedLevel DWORD. El MinLevel valor establece la configuración más baja que se puede usar antes de recibir un mensaje de advertencia, CurrentLevel es la configuración actual de la zona y RecommendedLevel es el nivel recomendado para la zona.

Qué valores de Minlevel, RecommendedLevely CurrentLevel significan lo siguiente:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

El Flags valor DWORD determina la capacidad del usuario para modificar las propiedades de la zona de seguridad. Para determinar el Flags valor, agregue juntos los números de la configuración adecuada. Los siguientes Flags valores están disponibles (decimal):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Si agrega la configuración tanto a los HKEY_LOCAL_MACHINsubárboles E como a los HKEY_CURRENT_USER subárboles, la configuración será aditiva. Si agrega sitios web a ambos subárboles, solo estarán visibles los sitios web de HKEY_CURRENT_USER . Los sitios web del HKEY_LOCAL_MACHINE subárbol se siguen aplicando según su configuración. Sin embargo, no están disponibles y no se pueden modificar. Esta situación puede resultar confusa porque un sitio web solo puede aparecer en una zona de seguridad para cada protocolo.

Referencias

Para obtener más información sobre los cambios en la funcionalidad en Microsoft Windows XP Service Pack 2 (SP2), visite el siguiente sitio web de Microsoft:

Parte 5: Seguridad mejorada de la exploración

Para obtener más información sobre las zonas de seguridad de direcciones URL, visite el siguiente sitio web de Microsoft:

Acerca de las zonas de seguridad de direcciones URL

Para obtener más información sobre cómo cambiar la configuración de seguridad de Internet Explorer, visite el siguiente sitio web de Microsoft:

Cambiar la configuración de seguridad y privacidad de Internet Explorer 11

Para obtener más información sobre el bloqueo de zona de máquina local de Internet Explorer, visite el siguiente sitio web de Microsoft:

Bloqueo de zona de máquina local de Internet Explorer

Para obtener más información sobre los valores asociados a las acciones que se pueden realizar en una zona de seguridad de direcciones URL, consulte Marcas de acción de dirección URL.