Entradas del Registro de zonas de seguridad de Internet Explorer para usuarios avanzados

En este artículo se describe cómo y dónde se almacenan y administran las zonas de seguridad y la configuración de privacidad de Internet Explorer en el Registro. Puedes usar la directiva de grupo o el Kit de administración de Microsoft Internet Explorer (IEAK) para establecer las zonas de seguridad y la configuración de privacidad.

Versión original del producto:   Internet Explorer 9, Internet Explorer 10
Número KB original:   182569

Configuración de privacidad

Internet Explorer 6 y versiones posteriores agregaron una pestaña Privacidad para dar a los usuarios un mayor control sobre las cookies. Esta pestaña(seleccione Herramientas y, a continuación, seleccione opciones de Internet) proporciona flexibilidad para bloquear o permitir cookies, en función del sitio web del que provenía la cookie o del tipo de cookie. Los tipos de cookies incluyen cookies de origen, cookies de terceros y cookies que no tienen una directiva de privacidad compacta. Esta pestaña también incluye opciones para controlar las solicitudes de sitios web de datos de ubicación física, la capacidad de bloquear ventanas emergentes y la capacidad de ejecutar barras de herramientas y extensiones cuando la exploración de InPrivate está habilitada.

Hay diferentes niveles de privacidad en la zona de Internet y se almacenan en el Registro en la misma ubicación que las zonas de seguridad.

También puede agregar un sitio web para habilitar o bloquear las cookies basadas en el sitio web, independientemente de la directiva de privacidad del sitio web. Esas claves del Registro se almacenan en la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Los dominios que se han agregado como un sitio administrado se enumeran en esta subclave. Estos dominios pueden llevar cualquiera de los siguientes valores DWORD:

0x00000005 - Bloquear siempre
0x00000001- Permitir siempre

Configuración de zona de seguridad

Para cada zona, los usuarios pueden controlar cómo Controla Internet Explorer los elementos de mayor riesgo, como ActiveX, descargas y scripts. La configuración de zonas de seguridad de Internet Explorer se almacena en las siguientes subclaves del Registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Estas claves del Registro contienen las siguientes claves:

  • TemplatePolicies
  • ZoneMap
  • Zonas

Nota

De forma predeterminada, la configuración de zonas de seguridad se almacena en el  HKEY_CURRENT_USER   subárbol del Registro. Dado que este subárbol se carga dinámicamente para cada usuario, la configuración de un usuario no afecta a la configuración de otro.

Si la configuración Zonas de seguridad: Usar solo la configuración del equipo en la directiva de grupo está habilitada, o si el valor DWORD está presente y tiene un valor de 1 en la siguiente subclave del Registro, solo se usa la configuración del equipo local y todos los usuarios tienen la misma configuración de    Security_HKLM_only   seguridad:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Con la directiva habilitada, Internet Explorer usará los valores Security_HKLM_only HKLM. Sin embargo, los valores hkcu seguirán a mostrarse en la configuración de la zona en la pestaña   Seguridad de Internet Explorer. En Internet Explorer 7, la pestaña Seguridad del cuadro de diálogo Opciones de **** Internet muestra el siguiente mensaje para indicar que el administrador del sistema administra la    ****   configuración:

El administrador del sistema administra algunas opciones de configuración   Si la configuración Zonas de  seguridad: Usar solo la configuración del equipo no está habilitada en la directiva de grupo, o si el valor DWORD no existe o está establecido en  Security_HKLM_only0, la configuración del equipo se usa junto con la configuración del usuario. Sin embargo, solo la configuración del usuario aparece en las opciones de Internet. Por ejemplo, cuando este valor DWORD no existe o se establece en 0, la configuración se lee junto con la  HKEY_LOCAL_MACHINE    HKEY_CURRENT_USER   configuración,  HKEY_CURRENT_USER   pero solo la configuración aparece en las opciones de Internet .

TemplatePolicies

La  TemplatePolicies   clave determina la configuración de los niveles de zona de seguridad predeterminados. Estos niveles son Bajo, Medio Bajo, Medio y Alto. Puede cambiar la configuración del nivel de seguridad de la configuración predeterminada. Sin embargo, no puede agregar más niveles de seguridad. Las claves contienen valores que determinan la configuración de la zona de seguridad. Cada clave contiene un valor de cadena descripción y un valor de cadena de nombre para mostrar que determinan el texto que aparece en la pestaña Seguridad para cada nivel de seguridad.

ZoneMap

La ZoneMap clave contiene las siguientes claves:

  • Dominios
  • EscDomains
  • ProtocolDefaults
  • Rangos

La clave contiene dominios y protocolos que se han agregado para cambiar  Domains   su comportamiento del comportamiento predeterminado. Cuando se agrega un dominio, se agrega una clave a la  Domains   clave. Los subdominios aparecen como claves en el dominio al que pertenecen. Cada clave que enumera un dominio contiene un DWORD con un nombre de valor del protocolo afectado. El valor de DWORD es el mismo que el valor numérico de la zona de seguridad donde se agrega el dominio.

La clave es similar a la clave Dominios, excepto que se aplica a los protocolos que se ven afectados por la configuración de seguridad mejorada  EscDomains   de Internet Explorer  EscDomains   (ESC de IE). IE ESC se introdujo en Microsoft Windows Server 2003 y solo se aplica a sistemas operativos de servidor.

La clave especifica la zona de seguridad predeterminada que se usa para  ProtocolDefaults   un protocolo determinado (ftp, http, https). Para cambiar la configuración predeterminada, puede agregar un protocolo **** a una zona de seguridad seleccionando Agregar sitios en la pestaña Seguridad o puede agregar un valor DWORD en la clave    ****   Dominios. El nombre del valor DWORD debe coincidir con el nombre del protocolo y no debe contener ningún signo de dos puntos (:) o barras diagonales (/).

La  ProtocolDefaults   clave también contiene valores DWORD que especifican las zonas de seguridad predeterminadas donde se usa un protocolo. No puede usar los controles de la pestaña   Seguridad para cambiar estos valores. Esta configuración se usa cuando un sitio web determinado no se encuentra en una zona de seguridad.

La  Ranges   clave contiene intervalos de direcciones TCP/IP. Cada intervalo TCP/IP que especifique aparece en una clave con nombre arbitrario. Esta clave contiene un  :Range   valor de cadena que contiene el intervalo TCP/IP especificado. Para cada protocolo, se agrega un valor DWORD que contiene el valor numérico de la zona de seguridad para el intervalo IP especificado.

Cuando el Urlmon.dll usa la función pública MapUrlToZone para resolver una dirección URL determinada en una zona de seguridad, usa uno de los métodos siguientes:

  • Si la dirección URL contiene un nombre de dominio completo (FQDN), se procesa la clave de dominios.

    En este método, una coincidencia exacta de sitio reemplaza una coincidencia aleatoria.

  • Si la dirección URL contiene una dirección IP, se  Ranges   procesa la clave. La dirección IP de la dirección URL se compara con el valor contenido en las claves con nombre  :Range   arbitrario debajo de la  Ranges   clave.

Nota

Dado que las claves con nombre arbitrario se procesan en el orden en que se agregaron al Registro, este método puede encontrar una coincidencia aleatoria antes de encontrar una coincidencia. Si este método encuentra primero una coincidencia aleatoria, es posible que la dirección URL se ejecute en una zona de seguridad diferente de la zona en la que se suele asignar. Este comportamiento es una característica del diseño de la aplicación.

Zonas

La  Zones   clave contiene claves que representan cada zona de seguridad definida para el equipo. De forma predeterminada, se definen las cinco zonas siguientes (numeradas de cero a cuatro):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Nota

De forma predeterminada, Mi PC no aparece en el cuadro Zona de la pestaña Seguridad, ya que está bloqueado para ayudar a mejorar la seguridad.

Cada una de estas claves contiene los siguientes valores DWORD que representan la configuración correspondiente en la pestaña Seguridad personalizada.

Nota

A menos que se indique lo contrario, cada valor DWORD es igual a cero, uno o tres. Por lo general, una configuración de cero establece una acción específica según lo permitido, un valor de uno hace que aparezca un mensaje y un valor de tres prohíbe la acción específica.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Notas sobre 1200, 1A00, 1A10, 1E05, 1C00 y 2000

Las dos entradas del Registro siguientes afectan a si puede ejecutar controles ActiveX en una zona determinada:

  • 1200 Esta entrada del Registro afecta a si puede ejecutar ActiveX controles o complementos.
  • 2000 Esta entrada del Registro controla el comportamiento binario y el comportamiento del script ActiveX controles o complementos.

Notas sobre 1A02, 1A03, 1A05 y 1A06

Las cuatro entradas del Registro siguientes solo tienen efecto si están presentes las siguientes claves:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} Cookie de terceros *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookie de terceros *

Entradas del Registro

  • 1A02 Permitir cookies persistentes almacenadas en el equipo #
  • 1A03 Permitir cookies por sesión (no almacenadas) #
  • 1A05 Permitir cookies persistentes de terceros *
  • 1A06 Permitir cookies de sesión de terceros *

Estas entradas del Registro se encuentran en la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

En esta subclave del Registro, <ZoneNumber> es una zona como 0 (cero). La entrada del Registro y la entrada del Registro contienen una 1200 configuración que se denomina Administrador 2000 aprobado. Cuando esta configuración está habilitada, el valor de la entrada del Registro en particular se establece en 00010000. Cuando la configuración aprobada por el administrador está habilitada, Windows examina la siguiente subclave del Registro para buscar una lista de controles aprobados:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

La configuración de inicio de sesión (1A00) puede tener cualquiera de los siguientes valores (hexadecimal):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

La configuración de privacidad (1A10) se usa en el control deslizante de la pestaña Privacidad. Los valores DWORD son los siguientes:

Bloquear todas las cookies: 00000003
Alto: 00000001
Medio alto: 00000001
Medio: 00000001
Bajo: 00000001
Aceptar todas las cookies: 00000000

Según la configuración del control deslizante, también modificará los valores de {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120}, o ambos.

La Java permisos de acceso (1C00) tiene los siguientes cinco valores posibles (binario):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Si se selecciona Personalizado, usa {7839DA25-F5FE-11D0-883B-0080C726DCBB} (que se encuentra en la misma ubicación del Registro) para almacenar la información personalizada en un binario.

Cada zona de seguridad contiene el valor de cadena Descripción y el valor de cadena nombre para mostrar. El texto de estos valores aparece en la pestaña Seguridad cuando selecciona una zona en el cuadro Zona. También hay un valor de cadena icon que establece el icono que aparece para cada zona. Excepto para la zona Mi PC, cada zona contiene  CurrentLevel un valor , y  MinLevelRecommendedLevel   DWORD. El valor establece la configuración más baja que se puede usar antes de recibir un mensaje de advertencia, es la configuración actual de la zona y es el nivel recomendado  MinLevel    CurrentLevel   para  RecommendedLevel   la zona.

Qué valores  Minlevel para , y significa lo  RecommendedLevelCurrentLevel   siguiente:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

El valor DWORD determina la capacidad del usuario para modificar las propiedades de  Flags   la zona de seguridad. Para determinar el  Flags   valor, agregue juntos los números de la configuración adecuada. Están disponibles  Flags   los siguientes valores (decimal):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Si agrega valores de configuración tanto a E como  HKEY_LOCAL_MACHIN a  HKEY_CURRENT_USER   los subárboles, la configuración es aditiva. Si agrega sitios web a ambos subárboles, solo los sitios web en  HKEY_CURRENT_USER   los que están visibles. Los sitios web del  HKEY_LOCAL_MACHINE   subárbol aún se aplican de acuerdo con su configuración. Sin embargo, no están disponibles y no se pueden modificar. Esta situación puede resultar confusa porque un sitio web puede aparecer en una sola zona de seguridad para cada protocolo.

Referencias

Para obtener más información acerca de los cambios en la funcionalidad de Microsoft Windows XP Service Pack 2 (SP2), visite el siguiente sitio web de Microsoft:

Parte 5: Seguridad de exploración mejorada

Para obtener más información acerca de las zonas de seguridad url, visite el siguiente sitio web de Microsoft:

Acerca de las zonas de seguridad url

Para obtener más información acerca de cómo cambiar la configuración de seguridad de Internet Explorer, visite el siguiente sitio web de Microsoft:

Cambiar la configuración de seguridad y privacidad de Internet Explorer 11

Para obtener más información acerca del bloqueo de la zona de máquina local de Internet Explorer, visite el siguiente sitio web de Microsoft:

Bloqueo de la zona de máquina local de Internet Explorer

Para obtener más información acerca de los valores asociados con las acciones que se pueden realizar en una zona de seguridad de dirección URL, vea Marcas de acción de dirección URL.