Cómo reforzar la seguridad de la zona Equipo local en Internet Explorer

Seleccione idioma Seleccione idioma
Id. de artículo: 833633 - Ver los productos a los que se aplica este artículo
Importante
Este artículo contiene información acerca de cómo se modifica el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad de él y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

Advertencia
Si decide realizar los cambios que se describen en este artículo, podría perderse parte de la funcionalidad de algunos programas y componentes de Windows. Por tanto, antes de realizar estos cambios en un entorno de producción, Microsoft recomienda que los pruebe exhaustivamente para asegurarse de que los programas críticos siguen funcionando correctamente para todos los usuarios.

En este artículo se describe el modo en que un administrador puede reforzar la configuración de seguridad de la zona Equipo local en Microsoft Internet Explorer. La zona Equipo local se conoce también como la zona Mi PC. La información de este artículo se aplica a las configuraciones siguientes:
  • Versiones de 32 bits de Internet Explorer en versiones de 32 bits de Microsoft Windows
  • Versiones de 64 bits de Internet Explorer en versiones de 64 bits de Microsoft Windows XP
  • Versiones de 64 bits de Internet Explorer en versiones de 64 bits de Microsoft Windows Server 2003
Nota
Microsoft Windows XP Service Pack 2 (SP2) impone ciertas restricciones sobre la zona Equipo local. Por tanto, si ha instalado el Service Pack 2 de Windows XP, es posible que no necesite efectuar uno de los procedimientos que se describen en este artículo. Para obtener más información, consulte los siguientes sitios Web de Microsoft:
http://www.microsoft.com/spain/windowsxp/sp2/technologiesoverview.mspx#EBAA
http://www.microsoft.com/spain/windowsxp/sp2/ieoeoverview.mspx

Más información

Acerca de las zonas de seguridad

La interfaz de usuario de Internet Explorer permite configurar cuatro zonas de seguridad:
  • Internet
  • Intranet local
  • Sitios de confianza
  • Sitios restringidos
Hay una quinta zona, Equipo local, que es una zona implícita que existe en el equipo local. Los valores de seguridad de esta zona no se pueden configurar en Internet Explorer. Tampoco es posible configurar los valores de seguridad en Opciones de Internet del Panel de control. No obstante, si dispone de permisos de administrador, puede modificar la configuración del Registro para establecer las opciones de seguridad de esta zona.

Internet Explorer le permite asignar un sitio Web a una zona de seguridad. Un sitio Web de la zona Internet tiene un nivel más alto de seguridad que un sitio Web de la zona Sitios de confianza o Intranet local. Al asignar un sitio Web a una zona de seguridad, puede supervisar el modo en el sitio Web realiza las operaciones en el equipo. Por ejemplo, si asigna un sitio Web a la zona de seguridad que tenga el nivel de seguridad más restrictivo, podrá evitar que realice operaciones que puedan poner en peligro su equipo.

Un sitio Web de la zona Equipo local tiene una configuración de seguridad menos restrictiva que un sitio Web de cualquiera de las demás zonas. La excepción a esta regla es el contenido que Internet Explorer almacena en la memoria caché del equipo local. Un usuario malintencionado podría tratar de aprovechar la configuración de seguridad menos restrictiva de la zona Equipo local y ejecutar código arbitrario en el equipo

Consideraciones que debe tener en cuenta antes de reforzar la configuración de seguridad de la zona Equipo local

Después de reforzar la configuración de seguridad de la zona Equipo local, los usuarios pueden experimentar una o varias de las situaciones siguientes:
  • Antes de abrir un origen de datos de otro dominio, se pide confirmación a los usuarios.
  • Antes de ejecutar una secuencia de comandos en una página, se pide confirmación a los usuarios.
  • Los controles ActiveX y los programas Java no se ejecutan.
  • La página Web que el usuario intenta abrir no se muestra correctamente.

Dónde se guardan las opciones de seguridad de la zona Equipo local en el Registro

Las opciones de seguridad de la zona Equipo local se almacenan en las subclaves del Registro que se detallan a continuación en función de las condiciones siguientes:
  • Si permite que los usuarios puedan establecer su propia configuración de seguridad en Internet Explorer, las opciones de seguridad de la zona Equipo local se guardan en esta subclave:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • Si establece la misma configuración de seguridad en Internet Explorer para todos los usuarios, las opciones de seguridad de la zona Equipo local se almacenan en esta subclave:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

De manera predeterminada, las opciones de la zona de seguridad se almacenan en el siguiente subárbol del Registro:
HKEY_CURRENT_USER
Como este subárbol se carga dinámicamente para cada usuario, la configuración de un usuario no afecta a la de los demás usuarios. Para determinar si todos los usuarios tiene la misma configuración de seguridad, compruebe si una de las siguientes condiciones es verdadera:
  • La opción Zonas de seguridad: usar sólo la configuración del equipo está habilitada en la Directiva de grupo.
  • Se ha especificado el valor Security_HKLM_only DWORD y tiene un valor de 1.
El valor Security_HKLM_only DWORD se almacena en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Las configuraciones del equipo y del usuario se utilizarán cuando una de las siguientes condiciones sea verdadera:
  • La opción Zonas de seguridad: usar sólo la configuración del equipo no está habilitada en la Directiva de grupo
  • El valor de Security_HKLM_only DWORD no existe
  • El valor de Security_HKLM_only DWORD está establecido en 0

Si el valor de Security_HKLM_only DWORD no existe o el valor de Security_HKLM_only DWORD está establecido en 0, Internet Explorer lee las claves del Registro HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER, respectivamente. Sin embargo, en Opciones de Internet del Panel de control sólo aparece la opción HKEY_CURRENT_USER.

La configuración de seguridad que aparece en el objeto Opciones de Internet del Panel de control tiene valores numéricos correspondientes en el Registro. En la tabla siguiente se muestran los valores predeterminados de cada opción de seguridad. En la tabla se incluyen también los valores recomendados que puede utilizar para reforzar las opciones de seguridad de la zona Equipo local.
Contraer esta tablaAmpliar esta tabla
Nombre de la opción de seguridad en la IUNombre numérico del valor del Registro (tipo)Datos del valor del Registro predeterminadosDatos del valor del Registro recomendados
Ejecutar controles ActiveX y complementos1200 (DWORD)03
Inicilizar y escribir secuencias de comandos para controles ActiveX no marcados como seguros1201 (DWORD)13
Secuencias de comandos activas1400 (DWORD)01
Acceso a los orígenes de datos entre dominios1406 (DWORD)01
Permisos Java1C00 (binario)00 00 02 0000 00 00 00
En esta tabla, las opciones de los valores DWORD significan lo siguiente:
  • 0 indica que la acción está habilitada. Es la opción predeterminada.
  • 1 indica que aparece un mensaje.
  • 3 indica que la acción está deshabilitada.
La opción predeterminada 00 00 02 00 del valor binario indica un nivel de seguridad medio. La opción 00 00 00 deshabilita Java.

Nota
Si el valor de Secuencias de comandos activas es 1 pueden aparecer demasiados mensajes. Por tanto, quizás prefiera permitir la ejecución de secuencias de comandos. Para ello, establezca el valor de Secuencias de comandos activas en 0. Si no desea establecer Secuencias de comandos activas en Pedir datos, cambie la línea que empieza por 1400 en la sección siguiente, "Cómo modificar la configuración de seguridad de la zona Equipo local".

Cómo modificar la configuración de seguridad de la zona Equipo local


Advertencia
Si utiliza incorrectamente el Editor del Registro pueden surgir problemas graves que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Para modificar la configuración de seguridad de la zona Equipo local, modifique el valor DWORD o el valor binario. Utilice el método apropiado para su entorno.

En entornos de servicios de directorio de Active Directory

Reforzar la configuración predeterminada de la zona Equipo local
En un entorno de Active Directory, utilice el Editor de objetos de directiva de grupo, que anteriormente se conocía como Editor de directivas de grupo. Para reforzar las opciones de seguridad de la zona Equipo local, siga estos pasos:
  1. Copie el texto siguiente y péguelo en un editor de texto, como el Bloc de notas:

    Si los usuarios pueden establecer su propia configuración de seguridad, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003 "1201"=dword:00000003 "1400"=dword:00000001 "1406"=dword:00000001 "1C00"=hex:00,00,00,00
    Si todos los usuarios deben tener la misma configuración de seguridad, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003 "1201"=dword:00000003 "1400"=dword:00000001 "1406"=dword:00000001 "1C00"=hex:00,00,00,00 
  2. Guarde el archivo como ADHardenLMZ.reg.
  3. En el equipo en el que desea ejecutar el Editor de objetos de directiva de grupo, ejecute el archivo ADHardenLMZ.reg para importar la configuración en el Registro.
  4. Abra el Editor de objetos de directiva de grupo para el objeto de Active Directory que desee modificar.
  5. Quizás aparezca un mensaje para las siguientes acciones:
    • Permitir la ejecución de secuencias de comandos
    • Confirmar que desea continuar ejecutando secuencias de comandos
    Si aparece este mensaje, haga clic en . Si recibe un mensaje en el que se indica que la configuración actual no permite la ejecución de controles ActiveX, haga clic en Aceptar.

    Nota
    Después de reforzar la configuración de seguridad de la zona Equipo local, el panel de Ayuda no aparecerá en el Editor de objetos de directiva de grupo.
  6. Expanda Configuración de usuario, Configuración de Windows, Mantenimiento de Internet y Seguridad. Haga doble clic en Zonas de seguridad y clasificación de contenido.
  7. Haga clic en Importar la configuración actual de las zonas de privacidad y seguridad y después en Aceptar.
Restablecer la configuración predeterminada de la zona Equipo local
Para restablecer la configuración predeterminada de la zona Equipo local, siga estos pasos:
  1. Copie el texto siguiente y péguelo en un editor de texto como el Bloc de notas.

    Si los usuarios pueden establecer su propia configuración de seguridad, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000 "1201"=dword:00000001 "1400"=dword:00000000 "1406"=dword:00000000 "1C00"=hex:00,00,02,00
    Si todos los usuarios deben utilizar la misma configuración de seguridad, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000 "1201"=dword:00000001 "1400"=dword:00000000 "1406"=dword:00000000 "1C00"=hex:00,00,02,00
    
    
  2. Guarde el archivo como ADDefaultLMZ.reg.
  3. En el equipo en el que desea ejecutar el Editor de objetos de directiva de grupo, ejecute el archivo ADDefaultLMZ.reg para importar la configuración predeterminada en el Registro.
  4. Abra el Editor de objetos de directiva de grupo para el objeto de Active Directory que desee modificar.
  5. Quizás aparezca un mensaje para las siguientes acciones:
    • Permitir la ejecución de secuencias de comandos
    • Confirmar que desea continuar ejecutando secuencias de comandos
    Si aparece este mensaje, haga clic en . Si recibe un mensaje en el que se indica que la configuración actual no permite la ejecución de controles ActiveX, haga clic en Aceptar.

    Nota
    Después de reforzar la configuración de seguridad de la zona Equipo local, el panel de Ayuda no aparecerá en el Editor de objetos de directiva de grupo.
  6. Expanda Configuración de usuario, Configuración de Windows, Mantenimiento de Internet y Seguridad. Haga doble clic en Zonas de seguridad y clasificación de contenido.
  7. Haga clic en Importar la configuración actual de las zonas de privacidad y seguridad y después en Aceptar.

En entornos que no son de Active Directory

Reforzar la configuración predeterminada de la zona Equipo local
Para reforzar la configuración de seguridad de la zona Equipo local, importe la configuración de seguridad actualizada en el Registro. Para ello, siga estos pasos:
  1. Copie el texto siguiente y péguelo en un editor de texto como el Bloc de notas.

    Si los usuarios pueden establecer su propia configuración de seguridad en Internet Explorer, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003 "1201"=dword:00000003 "1400"=dword:00000001 "1406"=dword:00000001 "1C00"=hex:00,00,00,00
    Si todos los usuarios deben tener la misma configuración de seguridad, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003 "1201"=dword:00000003 "1400"=dword:00000001 "1406"=dword:00000001 "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. Guarde el archivo como HardenLMZ.reg.
  3. Ejecute el archivo HardenLMZ.reg en todos los equipos cliente para importar la configuración en el Registro.
Restablecer la configuración predeterminada de la zona Equipo local
Para restablecer la configuración predeterminada de la zona Equipo local, siga estos pasos:
  1. Copie el texto siguiente y péguelo en un editor de texto, como el Bloc de notas:

    Si los usuarios pueden establecer su propia configuración de seguridad en Internet Explorer, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000 "1201"=dword:00000001 "1400"=dword:00000000 "1406"=dword:00000000 "1C00"=hex:00,00,02,00
    Si todos los usuarios deben tener la misma configuración de seguridad, utilice el texto siguiente:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000 "1201"=dword:00000001 "1400"=dword:00000000 "1406"=dword:00000000 "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. Guarde el archivo como DefaultLMZ.reg.
  3. Ejecute el archivo DefaultLMZ.reg en todos los equipos cliente para importar la configuración en el Registro.

Asignar una archivo HTML ubicado en la zona Equipo local a la zona Internet

Después de reforzar la configuración de seguridad de la zona Equipo local, puede asignar un archivo HTML local que contenga secuencias de comandos, controles ActiveX o programas Java a la zona Internet. Cuando Internet Explorer abre el archivo HTML, Internet Explorer busca el comentario "guardado desde dirección URL". Si Internet Explorer encuentra este comentario, utiliza la configuración de seguridad de la zona Internet en lugar de la configuración de la zona Equipo local. Si la zona Internet se ha configurado para poder ejecutar secuencias de comandos, controles ActiveX o programas Java, estos elementos se ejecutarán y no experimentará ninguno de los comportamientos descritos en la sección "Consideraciones que debe tener en cuenta antes de reforzar la configuración de seguridad de la zona Equipo local".

Para asignar un archivo HTML local a la zona Internet, puede agregar un comentario "guardado desde dirección URL" en este archivo. Este comentario indica a Internet Explorer que aplique la configuración de seguridad de la zona Internet en el archivo HTML que está guardado en el disco duro. Este comentario puede ser similar a:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


El valor en paréntesis representa el número de caracteres de la dirección URL que siguen al signo igual. En este ejemplo, este valor es 0023. Contoso representa el nombre de un sitio Web de Internet.

Referencias

Para obtener información adicional acerca de cómo distribuir los cambios del Registro a varios equipos mediante un archivo .reg, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
310516 Cómo agregar, modificar o eliminar subclaves y valores del Registro mediante un archivo de entradas de registro (.reg)
Para obtener información adicional acerca de las entradas del Registro de las zonas de seguridad de Internet Explorer, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
182569 Descripción de las entradas del Registro de las zonas de seguridad de Internet Explorer
Para obtener información adicional acerca de las plantillas de zonas de seguridad de URL, visite el siguiente sitio Web de Microsoft:
http://go.microsoft.com/fwlink/?LinkID=12658

Propiedades

Id. de artículo: 833633 - Última revisión: miércoles, 19 de octubre de 2005 - Versión: 3.1
La información de este artículo se refiere a:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
Palabras clave: 
KB833633

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com