.png)
Bloqueos de elevación de zona de Internet Explorer
Se aplica a: Windows Server 2003 with SP1
 Nota |
|---|
| El componente Configuración de seguridad mejorada de Internet Explorer de Microsoft Windows Server 2003 reduce la vulnerabilidad de un servidor a los ataques mediante contenido Web; para ello, aplica una configuración de seguridad de Internet Explorer más restrictiva que deshabilita secuencias de comandos, componentes ActiveX y descargas de archivos para los recursos de la zona de seguridad de Internet. El resultado es que muchas de las mejoras de seguridad incluidas en la última versión de Internet Explorer no serán perceptibles en el Service Pack 1 de Windows Server 2003. Por ejemplo, las nuevas características Barra de información y Bloqueador de elementos emergentes de Internet Explorer no se utilizarán a menos que el sitio esté en una zona cuya configuración de seguridad admita las secuencias de comandos. Si no va a utilizar la configuración de seguridad mejorada en el servidor, estas características funcionarán igual que en el Service Pack 2 de Windows XP. |
¿Para qué se utilizan los bloqueos de elevación de zona?
Cuando Internet Explorer abre una página Web, impone restricciones al comportamiento de esa página según cuál sea su origen: Internet, un servidor de intranet local, un sitio de confianza, etcétera. Por ejemplo, las páginas en Internet tienen restricciones de seguridad más estrictas que las páginas de la intranet local de un usuario. Las páginas Web del equipo de un usuario residen en la zona de seguridad Máquina local, donde las restricciones de seguridad son mínimas. Esto convierte a la zona de seguridad Máquina local en el principal objetivo para usuarios malintencionados. Los Bloqueos de elevación de zona hacen que sea más difícil ejecutar código en esta zona. Además, el Bloqueo de zona Máquina local hace que la zona sea menos vulnerable ante usuarios malintencionados al cambiar la configuración de seguridad.
¿A quién afecta esta característica?
Los programadores de Web deben tener preparados cambios o alternativas ante cualquier posible impacto para sus sitios Web.
Los programadores de aplicaciones deberían revisar esta característica para planear la adopción de cambios en las aplicaciones que se ejecutan en la zona de seguridad Máquina local. Puesto que la característica no está habilitada de manera predeterminada para los procesos que no son de Internet Explorer, los programadores deberán registrar sus aplicaciones para beneficiarse de los cambios.
Los usuarios finales pueden verse afectados por los sitios que no son compatibles con esta configuración y estas reglas más estrictas.
¿Qué funcionalidad nueva se ha agregado a esta característica en el Service Pack 1 de Windows Server 2003?
Bloqueos de elevación de zona
Descripción detallada
Internet Explorer impide que el contexto de seguridad general para cualquier vínculo de una página sea mayor que el contexto de seguridad de la dirección URL raíz. Esto significa, por ejemplo, que una página de la zona Internet no puede desplazarse a una página de la zona Intranet local. Una secuencia de comandos, por ejemplo, no podría causar este desplazamiento. Para esta reducción, el valor del contexto de seguridad de las zonas es, de mayor a menor: zona Sitios restringidos, zona Internet, zona Intranet local, zona Sitios de confianza y zona Máquina local.
Los Bloqueos de elevación de zona también deshabilitan la exploración JavaScript si no existe un contexto de seguridad.
Si un usuario hace clic en un vínculo que desplaza el sitio Web a una zona superior, la exploración a la zona Máquina local se bloquea, pero cuando una página Web intenta abrir una página que está en una zona situada en un contexto de seguridad superior, se muestra un cuadro de diálogo en Internet Explorer con el siguiente mensaje. El texto en cursiva cambia en función de la zona de seguridad a la que intenta desplazarse la página Web.
-
La página Web actual está tratando de abrir un sitio en la lista de Sitios de confianza. ¿Desea permitir esto?
En cualquiera de los casos, la acción predeterminada no permite la elevación de zona. El usuario debe permitir de forma explícita la elevación de zona solicitada.
¿Por qué es importante este cambio?
La elevación de privilegios es una de las vulnerabilidades más explotadas de Internet Explorer y su objetivo final consiste en ejecutar código malintencionado en la zona Máquina local. Los Bloqueos de elevación de zona ayudan a reducir muchos ataques de elevación de privilegios.
¿Qué diferencias de funcionamiento existen?
La exploración desde una zona hacia una zona "superior" está bloqueada. Esto significa que las páginas Web que llaman automáticamente a páginas Web con más privilegios mostrarán un error.
¿Cómo puedo resolver estos problemas?
Si este cambio afecta a una aplicación Web de confianza porque se mueve entre diferentes zonas de seguridad sin interacción del usuario, debe asignar los dominios que usa la aplicación Web en la zona de seguridad con los privilegios mínimos necesarios para realizar la tarea para la que se diseñó la aplicación.
