Bloqueo de controles ActiveX obsoletos

Importante

La aplicación de escritorio de Internet Explorer 11 se retirará y se retirará del soporte técnico el 15 de junio de 2022. Para obtener una lista de lo que está en el ámbito, vea las preguntas más frecuentes. Las mismas aplicaciones y sitios de IE11 que use hoy pueden abrirse en Microsoft Edge mediante el uso del modo Internet Explorer. Más información aquí.

Aplicable a:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • Windows Server 2012 R2
  • Windows Server 2008 R2 con Service Pack 1 (SP1)
  • Windows Vista SP2

Los controles ActiveX son pequeñas aplicaciones que permiten que los sitios web proporcionen contenido, como vídeos y juegos, y te permiten interactuar con contenido como barras de herramientas. Por desgracia, como muchos controles ActiveX no se actualizan automáticamente, pueden quedarse anticuados a medida que salen nuevas versiones. Es muy importante que mantengas actualizados tus controles ActiveX, ya que el software malintencionado (o malware) puede dirigirse a errores de seguridad, lo que puede dañar a su equipo recopilando información en él, instalar software no deseado o dejar que otra persona lo controle de forma remota. Para ayudar a evitar esta situación, Internet Explorer incluye una nueva característica de seguridad denominada Bloqueo de controles ActiveX obsoletos.

El bloqueo de controles ActiveX obsoletos te permite:

  • Saber cuándo IE impide que una página web cargue controles ActiveX comunes, pero no obsoletos.

  • Interactuar con otras partes de la página web que no se ven afectadas por el control obsoleto.

  • Actualizar el control obsoleto para que esté actualizado y sea más seguro.

La característica de bloqueo de control ActiveX obsoleto funciona con todas las Zonas de seguridad, excepto la zona de intranet local y la zona de sitios de confianza.

También funciona con estas combinaciones de IE y el sistema operativo:

Sistema operativo Windows Versión de IE
Windows 10 Todas las versiones compatibles de IE.
Microsoft Edge no admite controles ActiveX.
Windows 8.1 y Windows 8.1 Update Todas las versiones compatibles de IE
Windows 7 SP1 Todas las versiones compatibles de IE
Windows Server 2012 Todas las versiones compatibles de IE
Windows Server 2008 R2 SP1 Todas las versiones compatibles de IE
Windows Server 2008 SP2 Solo Windows Internet Explorer 9
Windows Vista SP2 Solo Windows Internet Explorer 9

Para obtener más información acerca de esta nueva característica, consulta el blog Internet Explorer empieza bloqueando los controles ActiveX obsoletos. Para ver la lista completa de los controles Active obsoletos bloqueados por esta función, consulta Controles ActiveX obsoletos bloqueados.

¿Qué aspecto tiene la notificación de bloqueo de controles ActiveX obsoletos?

Cuando IE bloquea un control ActiveX obsoleto, verás una barra de notificación similar a esta, según la versión de IE que tengas:

De Internet Explorer 9 a Internet Explorer 11

Advertencia sobre controles activex obsoletos (ie9+).

Windows Internet Explorer8

Advertencia sobre controles activex obsoletos (ie8).

El bloqueo del control ActiveX obsoleto también realiza una advertencia de seguridad que te indica si una página web intenta iniciar aplicaciones obsoletas específicas, fuera de IE:

Advertencia sobre controles activex obsoletos fuera de ie.

¿Cómo se corrige el problema de una aplicación o un control ActiveX obsoleto?

Desde la notificación acerca del control ActiveX no actualizado, puedes ir al sitio web del control para descargar su última versión.

Para obtener el control ActiveX actualizado

  1. En la barra de notificación, presiona o haz clic en Actualizar.

    IE abre el sitio web del control ActiveX.

  2. Descarga la última versión del control.

Nota de seguridad:
Si no confías plenamente en un sitio web, no debes permitir que cargue un control ActiveX obsoleto. Sin embargo, aunque no lo recomendamos, puedes ver el contenido que falta de la página web pulsando o haciendo clic en Ejecutar esta vez. Esta opción ejecuta el control ActiveX sin actualizar o corregir el problema. La próxima vez que visites una página web que ejecute el mismo control ActiveX obsoleto, recibirás de nuevo la notificación.

Para obtener la aplicación actualizada

  1. Desde la advertencia de seguridad, pulsa o haz clic en el vínculo Actualizar.

    IE abre el sitio web de la aplicación.

  2. Descarga la última versión de la aplicación.

Nota de seguridad:
Si no confías plenamente en un sitio web, no debes permitir que inicie una aplicación no actualizada. Sin embargo, aunque no lo recomendamos, puedes permitir que la página web inicie la aplicación pulsando o haciendo clic en Permitir. Esta opción abre la aplicación sin actualizar o corregir el problema. La próxima vez que visites una página web que ejecute la misma aplicación obsoleta, recibirás de nuevo la notificación.

¿Cómo decide IE qué controles ActiveX bloquea?

IE usa el archivo versionlist.xml o versionlistWin7.xml de Microsoft para indicar si se debe detener la carga de un control ActiveX. Estos archivos se actualizan con controles ActiveX obsoletos y recientemente detectados, que IE descarga automáticamente a tu copia local del archivo.

Puedes ver tu copia del archivo aquí %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml o la versión de Microsoft, en función del sistema operativo y la versión de IE, aquí:

Nota de seguridad:
Aunque recomendamos encarecidamente no hacerlo, si no quieres que tu equipo descargue automáticamente la lista de versiones actualizada de Microsoft, ejecuta el siguiente comando desde un símbolo del sistema:

reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f

Al desactivar esta descarga automática la función de bloqueo de controles ActiveX obsoletos deja de funcionar al no permitir que la lista versiones se actualice con otros controles que han quedado recientemente obsoletos, lo que puede poner en peligro la seguridad de tu equipo. Usa esta opción de configuración bajo tu responsabilidad.

Bloqueo de controles ActiveX obsoletos

Importante

La aplicación de escritorio de Internet Explorer 11 se retirará y se retirará del soporte técnico el 15 de junio de 2022. Para obtener una lista de lo que está en el ámbito, vea las preguntas más frecuentes. Las mismas aplicaciones y sitios de IE11 que use hoy pueden abrirse en Microsoft Edge mediante el uso del modo Internet Explorer. Más información aquí.

en dispositivos administrados El bloqueo de control de ActiveX actual incluye cuatro nuevas opciones de configuración de directiva de grupo que puede usar para administrar la configuración del explorador web, en función del controlador de dominio. Puedes descargar las plantillas administrativas, incluida la nueva configuración, desde la página Descarga de plantillas administrativas (.admx) para Windows 10 o la página Plantillas administrativas (.admx) para Windows 8.1 y Windows Server 2012 R2, en función de tu sistema operativo.

Configuración de directiva de grupo

Aquí se muestra una lista de la nueva información de directiva de grupo, incluida la configuración, la ubicación, los requisitos y las cadenas de texto de Ayuda. Todas estas opciones se pueden definir en el ámbito Configuración del equipo o Configuración de usuario, pero la Configuración del equipo tiene prioridad sobre la Configuración de usuario.

Importante
El bloqueo de controles ActiveX obsoletos está desactivado en la zona de intranet local y en la zona de sitios de confianza; por tanto, los sitios web de intranet y las aplicaciones de línea de negocio seguirán usando los controles ActiveX obsoletos sin interrupción.

Opción de configuración Ruta de acceso de la categoría Compatible en Texto de ayuda
Activar el registro de controles ActiveX en IE Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management De Internet Explorer 8 a IE11 Esta opción indica si IE guarda información de registro de los controles ActiveX.

Si habilitas esta opción, IE registra la información del control ActiveX (incluido el URI de origen que cargó el control y si está bloqueado) en un archivo local.

Si deshabilitas o no configuras esta opción, IE no registrará información del control ActiveX.

Ten en cuenta que puedes activar o desactivar esta opción independientemente de la configuración Turn off blocking of outdated ActiveX controls for IE o Turn off blocking of outdated ActiveX controls for IE on specific domains.

Elimina el botón Ejecutar esta vez para los controles ActiveX obsoletos en IE. Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management De Internet Explorer 8 a IE11 Esta opción de configuración te permite que los usuarios dejen de ver el botón Ejecutar esta vez y que ejecuten controles ActiveX obsoletos en IE.

Si habilitas esta opción de configuración, los usuarios no verán el botón Ejecutar esta vez en el mensaje de advertencia que aparece cuando IE bloquea un control ActiveX obsoleto.

Si deshabilitas o no configuras esta opción, los usuarios verán el botón Ejecutar esta vez en el mensaje de advertencia que aparece cuando IE bloquea un control ActiveX obsoleto. Si se hace clic en este botón se permite al usuario ejecutar una vez el control ActiveX no actualizado.

Desactivar el bloqueo de los controles ActiveX obsoletos para IE en dominios específicos Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management De Internet Explorer 8 a IE11 Esta opción de configuración te permite administrar una lista de dominios en que IE dejará de bloquear los controles ActiveX obsoletos. Los controles ActiveX obsoletos nunca se bloquean en la zona de intranet.

Si habilitas esta opción, puedes escribir una lista personalizada de dominios para los que no se bloquearán los controles ActiveX en IE. Cada entrada de dominio debe tener uno de los formatos siguientes:

  • "domainname.TLD". Por ejemplo, si quieres incluir *.contoso.com/*, usa "contoso.com".
  • "hostname". Por ejemplo, si quieres incluir https://example, usa "example".
  • "file:///path/filename.htm". Por ejemplo, usa file:///C:/Users/contoso/Desktop/index.htm.

Si deshabilitas o no configuras esta opción, la lista se elimina e IE sigue bloqueando controles ActiveX obsoletos específicos en todos los dominios de la zona de Internet.

Desactivar el bloqueo de controles ActiveX obsoletos para IE Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management De Internet Explorer 8 a IE11 Esta opción indica si los IE bloquea controles ActiveX obsoletos específicos. Los controles ActiveX obsoletos nunca se bloquean en la zona de intranet.

Si habilitas este valor de configuración, IE deja de bloquear controles ActiveX obsoletos.

Si deshabilitas o no configuras esta opción, IE sigue bloqueando controles ActiveX no obsoletos específicos.

Eliminar el botón Actualizar en la notificación de bloqueo de controles ActiveX obsoletos para IE Esta funcionalidad solo está disponible a través del Registro De Internet Explorer 8 a IE11 Esta opción indica si la notificación de bloqueo de controles ActiveX obsoletos muestra el botón Actualizar. Este botón apunta a los usuarios para que actualicen controles ActiveX obsoletos específicos en IE.

Si no quieres usar la directiva de grupo, también puedes activar o desactivar estas opciones mediante el Registro. Puedes actualizar el registro manualmente.

Opción de configuración Configuración del Registro
Activar el registro de controles ActiveX en IE reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v AuditModeEnabled /t REG_DWORD /d 1 /f

Donde:

  • 0 o sin configurar. Registra información de los controles ActiveX (incluido el URI de origen que cargó el control y si estaba bloqueado) en un archivo local.
  • 1. Registra información de los controles ActiveX.
Eliminar el botón Ejecutar esta vez para los controles ActiveX obsoletos en IE reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v RunThisTimeEnabled /t REG_DWORD /d 0 /f

Donde:

  • 0. Elimina el botón Ejecutar esta vez.
  • 1 o sin configurar. Deja el botón Ejecutar esta vez.
Desactivar el bloqueo de los controles ActiveX obsoletos para IE en dominios específicos reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\Domain" /v contoso.com /t REG_SZ /f

Donde:

  • contoso.com. Un solo dominio en el que no se bloquearán los controles ActiveX obsoletos en IE. Usa un nuevo comando reg add para cada dominio que quieras agregar a la lista de permitidos.
Desactivar el bloqueo de controles ActiveX obsoletos para IE reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

Donde:

  • 0. Deja de bloquear controles ActiveX obsoletos.
  • 1 o sin configurar. Sigue bloqueando controles ActiveX obsoletos específicos.
Eliminar el botón Actualizar en la notificación de bloqueo de controles ActiveX obsoletos para IE reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v UpdateEnabled /t REG_DWORD /d 0 /f

Donde:

  • 0. Elimina el botón Actualizar
  • 1 o sin configurar. Deja el botón Actualizar.

Inventario de los controles ActiveX

Puedes hacer un inventario de los controles ActiveX que se están usando en tu empresa activando la opción Turn on ActiveX control logging in IE :

  • Windows 10: mediante un archivo de valores separados por comas (.csv). o una clase local de Instrumental de administración de Windows (WMI).

  • El resto de las versiones de Microsoft Windows: solo mediante un archivo .csv.

Hacer un inventario de tus controles ActiveX mediante el uso de un archivo .CSV

Si decides realizar un inventario de los controles ActiveX que se están usando en tu empresa activando la opción Turn on ActiveX control logging in IE, IE registra la información del control ActiveX en el archivo %LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv .

Aquí se muestra un ejemplo detallado y una descripción de lo que se incluye en el archivo VersionAuditLog.csv.

URI de origen Ruta de acceso del archivo Versión del producto Versión de archivo Permitir/bloquear Razón Compatible con EPM
https://contoso.com/test1.html C:\Windows\System32\Macromed\Flash\Flash.ocx 14.0.0.125 14.0.0.125 Permitido No está en la lista de bloqueos Compatible con EPM
https://contoso.com/test2.html C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll 6.0.410.2 6.0.410.2 Bloqueado Obsoleto No compatible con EPM

Donde:

  • URI de origen La dirección URL de la página que cargó el control ActiveX.

  • Ruta de acceso de archivo. La ubicación del binario que implementa el control ActiveX.

  • Versión del producto. La versión del producto del binario que implementa el control ActiveX.

  • Versión del archivo. La versión del archivo del binario que implementa el control ActiveX.

  • Permitido/bloqueado Si IE bloqueó el control ActiveX.

  • Compatible con el modo protegido mejorado (EPM). Si el control ActiveX cargado es compatible con el Modo protegido mejorado.

    Nota
    El modo protegido mejorado no es compatible con Internet Explorer 9 o versiones anteriores de IE. Por lo tanto, si estás usando Internet Explorer 8 o Internet Explorer 9, todos los controles ActiveX siempre se marcarán como no compatibles con EPM.

  • Razón. El control ActiveX puede bloquearse o permitirse por cualquiera de los siguientes motivos:

Razón Corresponde a Descripción
La versión no está en la lista de bloqueo Permitido La lista de versiones de IE permite de forma explícita la versión del control ActiveX cargado.
Dominio de confianza Permitido El control ActiveX se cargó en un dominio que se enumera en el valor de configuración Turn off blocking of outdated ActiveX controls for IE on specific domains.
El archivo no existe Permitido Faltan archivos binarios necesarios en el control ActiveX cargado para que se ejecute correctamente.
Obsoleto Bloqueado La lista de versiones de IE bloqueó explícitamente el control ActiveX cargado porque está obsoleto.
No está en la lista de bloqueos Permitido El control ActiveX cargado no está en la lista versiones de IE.
Administrado por la directiva Permitido El control ActiveX cargado está administrado por una configuración de directiva de grupo que no aparece aquí y se administrará con arreglo a esa configuración de directiva de grupo.
Intranet, zona o sitio de confianza Permitido El control ActiveX se cargó en la zona de sitios de confianza o en la zona de intranet local.
Bloqueado Bloqueado El control ActiveX cargado está bloqueado en IE porque contiene vulnerabilidades de seguridad conocidas.
Desconocida Permitido o bloqueado No es aplicable ninguna de las anteriores.

Hacer un inventario de tus controles ActiveX usando una clase local WMI

Para Windows 10 también tienes la opción de registrar la información del inventario en una clase WMI local. La información registrada en esta clase incluye toda la información obtenida del archivo .csv, así como la etiqueta CLSID del control ActiveX cargado o el nombre de cualquier aplicación iniciada desde un control ActiveX.

Antes de comenzar

Para poder usar WMI para realizar un inventario de los controles ActiveX, debes descargar el paquete de configuración (archivo .zip), que incluye:

  • ConfigureWMILogging.ps1. Un script de Windows PowerShell.

  • ActiveXWMILogging.mof. Un archivo de objeto administrado.

Antes de ejecutar el script de PowerShell, debes copiar los archivos .ps1 y .mof en la misma ubicación de directorio, en el equipo del cliente.

Para configurar IE para usar el registro de WMI

  1. Abre el editor de directiva de grupo y activa la configuración Administrative Templates\Windows Components\Internet Explorer\Turn on ActiveX control logging in IE .

  2. En el dispositivo cliente, inicia PowerShell en modo elevado (usando privilegios administrativos) y ejecuta ConfigureWMILogging.ps1 eludiendo la directiva de ejecución de PowerShell, con este comando:

    powershell –ExecutionPolicy Bypass .\ConfigureWMILogging.ps1
    

    Para obtener más información, consulta el tema about_Execution_Policies.

  3. Opcional: configurar el firewall del dominio para los datos WMI. Para obtener más información, consulta Recopilar datos mediante la detección de sitio de empresa.

La información del inventario aparece en la clase WMI, IEAXControlBlockingAuditInfo, que se encuentra en el espacio de nombres WMI root\cimv2\IETelemetry. Para recopilar la información del inventario de los equipos cliente, te recomendamos que uses System Center 2012 R2 Configuration Manager o cualquier agente que pueda tener acceso a los datos de WMI. Para obtener más información, consulta Recopilar datos mediante la detección de sitio de empresa.