Impedir el acceso a Internet a los usuarios

Id. de artículo: 2605305 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Generalmente, se piensa que activando el Asesor de Contenido de Internet Explorer podemos restringir el acceso a Internet a los usuarios; nada más lejos de la realidad. La utilización del Asesor de contenido no es el mejor método para restringir toda navegación en Internet. Sí que es cierto que restringe un gran porcentaje de páginas de Internet, sin embargo existen también otras muchas que permanecen fuera de los sistemas de clasificación, incluso configurando el Asesor para que los usuarios no puedan ver sitios sin clasificación, además de otras muchas páginas malintencionadas que burlan estos sistemas de clasificación.

Es posible mejorar la eficacia del Asesor de contenido, agregando filtros clasificatorios de organizaciones independientes, como el RSAC (Recreational Software Advisory Council), el ICRA (Internet Content Rating Association), o el SafeSurf. Sin embargo, nunca se conseguirá un 100% de restricción. Sin ir más lejos, siempre podrá accederse a las páginas de estas asociaciones, o incluso a la mayoría de páginas de Microsoft:

http://www.microsoft.com/
http://www.icra.org/
http://www.safesurf.com/


El mejor método para evitar cualquier tipo de navegación a través de Internet es utilizar un servidor proxy, mediante el cual puede permitirse el acceso a la red interna, o intranet, y evitando la salida al exterior, o a ciertos sitios, o bloquear la utilización del protocolo HTTP mediante un firewall.

Evidentemente, las empresas utilizan servidores proxy para controlar los accesos y los usuarios que tendrán permisos de conexión. Pero los datos de la conexión proxy NO deben estar visibles a los usuarios que no sean administradores, o incluso a ninguno. En estos casos, lo más indicado es restringir el acceso al Panel de control de Internet Explorer, evitando de esta forma que cualquier usuario pueda copiar o modificar configuraciones del navegador.

Ahora bien, tanto si utilizamos como si no un servidor proxy, existe una manera sencilla de poder conseguir que los usuarios sólo puedan navegar a determinadas páginas de Internet, las que el administrador determine, y ésta sería editando el archivo Hosts, de manera que únicamente contenga las direcciones a las que se puede acceder, y eliminando la dirección IP del servidor o servidores DNS de la configuración del protocolo TCP/IP (cuya IP se puede conocer en una consola de comandos), restringiendo, además, el acceso a las conexiones de red del Panel de control.

Hay que tener en cuenta que con esta restricción, algunos programas pueden tener problemas de conexión a Internet si utilizan para ello el proceso iexplore.exe.

Configurar la conexión a Internet mediante el archivo Hosts

El archivo Hosts es un archivo de texto que se puede utilizar para resolver nombres de dominio en direcciones IP de forma local, y se halla en el directorio de Windows en el caso de sistemas Windows 9x/Me; o en el directorio %Systemroot%\system32\drivers\etc en el caso de sistemas NT/2000/XP/Vista/7. Para más información sobre este archivo y sus funciones, se pueden consultar los siguientes artículos:

http://www.saulo.net/pub/articulo.php?cod=hosts
http://www.ayuda-internet.net/tutoriales/manu-eliminapubli/manu-eliminapubli.html

Para editar el archivo Hosts, acudiremos a la ruta %Systemroot%\system32\drivers\etc (para el caso de Windows XP/Vista/7); nos aseguraremos que no está protegido contra escritura (abriremos sus propiedades y quitaremos la marca "sólo lectura" si la tiene activada) y posteriormente abriremos el archivo con el Bloc de notas (notepad.exe), e introduciremos las direcciones que nos interese tener operativas, como se muestra en este ejemplo:

Contraer esta imagenAmpliar esta imagen
2605311


Lógicamente, las direcciones IP pueden cambiar. Para conocer la IP real de un sitio web, ejecutamos el comando *ping* desde un símbolo de sistema (en este caso, para Google):

Contraer esta imagenAmpliar esta imagen
2605312


Automáticamente, la consola nos dará la dirección IP de Google (216.239.57.104).

Una vez introducidas las direcciones IP asociadas a los nombres de dominio en el archivo Hosts, guardaremos los cambios y lo protegeremos contra escritura. Seguidamente, ejecutamos "control netconnections", desde el menú Inicio > Ejecutar, y seleccionamos nuestra conexión de red, y mediante el botón derecho del ratón elegimos Propiedades. Seleccionamos el protocolo de Internet TCP/IP, y en sus propiedades eliminamos las direcciones de los servidores DNS. Guardamos los cambios.

Para restringir el acceso al Panel de control de Internet Explorer a todos los usuarios, deben establecerse restricciones en el registro de Windows desde una cuenta administrativa. Desde el menú Inicio > Ejecutar, tecleamos regedit.exe. Cuando se abra el editor del registro, buscamos la rama siguiente:

HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Internet Explorer

Teniendo seleccionada la clave Internet Explorer, creamos una nueva subclave a la que llamaremos ?Restrictions?. Teniendo seleccionada ésta última, en el panel de la derecha, creamos un nuevo valor DWORD llamado ?NoBrowserOptions?, cuyo contenido lo establecemos en *1* para habilitar la restricción. Cerramos el editor del registro. Con este ajuste, ningún usuario podrá acceder al panel de control del navegador desde el menú Herramientas, incluyendo a los administradores.

Si queremos excluir a los administradores de esta restricción, en los sistemas que incluyan Directiva de Grupo (W2000 Profesional/WXP Profesional/W2003/WVista/W7), ejecutaremos gpedit.msc, y habilitaremos la política "Menú Herramientas: opción de menú Deshabilitar opciones de Internet", que encontramos en la rama Configuración de usuario > Plantillas administrativas > Componentes de Windows > Internet Explorer > Menús del Explorador.

Acto seguido, debemos llevar a cabo los ajustes que se describen en el siguiente artículo, para liberar los administradores de dicha restricción:

Como aplicar diretivas locais para todos os usuários exceto administradores em uma configuração de grupo de trabalho no Windows 2000
http://support.microsoft.com/kb/293655/es-es

Una vez establecida esta restricción a los usuarios, éstos no podrán acceder al menú de Opciones de Internet desde el navegador, pero podrán seguir accediendo desde el Panel de control > Opciones de Internet, por lo que habrá que crear una nueva restricción, en este caso, a través de esta otra clave del registro para todos los usuarios del equipo:

Nota: Se pueden producir problemas graves si se modifica el Registro incorrectamente utilizando el Editor del Registro o cualquier otro método. Estos problemas pueden requerir que se reinstale de nuevo el sistema operativo. Modifica el Registro bajo tu propia responsabilidad.

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer

O esta otra sólo para usuarios determinados:

HKEY_USERS \ Carpeta_de_usuario \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer

(donde ?Carpeta_de_usuario? corresponde a la clave de referencia numérica del usuario)

En las que, en el panel derecho, deberemos crear un nuevo valor DWORD denominado "NoControlPanel", con el contenido *1*. Cerramos el editor del registro y reiniciamos el sistema.

Configurar la conexión a Internet mediante un servidor proxy

También se puede seguir este otro método: configurar la conexión a Internet mediante un servidor proxy falso para cada usuario (o para el equipo local), o incluso para los equipos de una red de conexión compartida, y, utilizando una política del sistema, implementar los datos del proxy para todos los usuarios (siempre y cuando la conexión no se establezca mediante acceso telefónico, y no se trate de sistemas operativos domésticos ( Windows XP Home, W. Vista Home)).

De esta forma, no se podrá utilizar Internet Explorer para navegar.

Para crear un servidor proxy falso en Internet Explorer, sigue estos pasos:

  1. Inicia sesión en una cuenta administrativa
  2. Desde el menú Inicio > Ejecutar, teclea inetcpl.cpl y pulsa Aceptar
  3. Pulsa en la pestaña Conexionesy en Configuración de LAN
  4. Marca la casilla de verificación Usar un servidor proxy para la LAN
  5. En la casilla Dirección escribe: 127.0.0.1, y en la casilla Puerto escribe: 80, y pulsa Aceptar dos veces.


Para implementar mediante Directiva de grupo esta configuración de proxy a todo el equipo local, sigue estos pasos:
  1. Desde el menú Inicio > Ejecutar, teclea gpedit.msc y pulsa Aceptar
  2. Pulsa en Configuración del equipo > Plantillas Administrativas > Componentes de Windows > Internet Explorer
  3. En el panel derecho, busca la directiva Configuración de proxy por equipo y no por usuario
  4. Haz doble clic en ella y marca la opción Habilitada. Seguidamente, pulsa Aplicary Aceptar.
  5. Sal del editor de Directiva de grupo.
Estas configuraciones se pueden aplicar tanto en Internet Explorer 6 como en IE7, IE8 e IE9. No afectan a otros navegadores.

Contraer esta imagenAmpliar esta imagen
Soluciones de la Comunidad
RENUNCIA LEGAL DE SOLUCIONES DE LA COMUNIDAD

NI MICROSOFT IBÉRICA S.R.L. ("MICROSOFT") NI SUS RESPECTIVOS PROVEEDORES GARANTIZAN LA IDONEIDAD, FIABILIDAD NI EXACTITUD DE LA INFORMACIÓN Y LOS GRÁFICOS INCLUIDOS. TODA LA INFORMACIÓN Y LOS GRÁFICOS RELACIONADOS SE PROPORCIONAN "TAL CUAL" SIN GARANTÍA DE NINGUNA CLASE. SIN PERJUICIO DE NINGUNA GARANTÍA IMPUESTA POR CUALQUIER LEY DE APLICACIÓN OBLIGADA, MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES RENUNCIAN POR LA PRESENTE A TODA GARANTÍA Y CONDICIÓN RESPECTO A ESTA INFORMACIÓN Y LOS GRÁFICOS RELACIONADOS, INCLUIDA CUALQUIER GARANTÍA Y CONDICIÓN IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN DETERMINADO FIN, ESFUERZO RAZONABLE, TITULARIDAD Y AUSENCIA DE INFRACCIÓN. USTED ADMITE EXPRESAMENTE QUE, SIN PERJUICIO DE LOS CASOS EN LOS CUALES LA LEY VIGENTE PROHÍBA LA EXCLUSIÓN DE RESPONSABILIDAD POR DAÑOS, BAJO NINGÚN CONCEPTO, NI MICROSOFT NI SUS PROVEEDORES ACEPTARÁN RESPONSABILIDAD ALGUNA POR DAÑOS DIRECTOS O INDIRECTOS DE CUALQUIER ÍNDOLE U ORIGEN (INCLUYENDO, ENTRE OTROS, LOS DAÑOS POR PÉRDIDA DE USO, INFORMACIÓN O BENEFICIOS) QUE SE DERIVEN O ESTÉN RELACIONADOS CON EL USO O INCAPACIDAD DE USO DE LA INFORMACIÓN Y LOS GRÁFICOS RELACIONADOS INCLUIDOS.

Propiedades

Id. de artículo: 2605305 - Última revisión: jueves, 26 de septiembre de 2013 - Versión: 1.2
La información de este artículo se refiere a:
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9 on Windows Server
Palabras clave: 
kbmvp kbhowto kbcommunity kbstepbystep KB2605305

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com