[Artículo] Restringir el acceso a Internet a los usuarios

30/05/2006 - 12:49 por Enrique [MVP Windows] | Informe spam
Generalmente, se piensa que activando el Asesor de Contenido de Internet
Explorer podemos restringir el acceso a Internet a los usuarios; nada
más lejos de la realidad. La utilización del Asesor de contenido no es
el mejor método para restringir toda navegación en Internet. Sí que es
cierto que restringe un gran porcentaje de páginas de Internet, sin
embargo existen también otras muchas que permanecen fuera de los
sistemas de clasificación, incluso configurando el Asesor para que los
usuarios no puedan ver sitios sin clasificación, además de otras muchas
páginas malintencionadas que burlan estos sistemas de clasificación.

Es posible mejorar la eficacia del Asesor de contenido, agregando
filtros clasificatorios de organizaciones independientes, como el RSAC
(Recreational Software Advisory Council), el ICRA (Internet Content
Rating Association), o el SafeSurf. Sin embargo, nunca se conseguirá un
100% de restricción. Sin ir más lejos, siempre podrá accederse a las
páginas de estas asociaciones, o incluso a la mayoría de páginas de
Microsoft:

http://www.microsoft.com
http://www.icra.org/
http://www.safesurf.com/

El mejor método para evitar cualquier tipo de navegación a través de
Internet es utilizar un servidor proxy, mediante el cual puede
permitirse el acceso a la red interna, o intranet, y evitando la salida
al exterior, o a ciertos sitios, o bloquear la utilización del protocolo
HTTP mediante un firewall.

Evidentemente, las empresas utilizan servidores proxy para controlar los
accesos y los usuarios que tendrán permisos de conexión. Pero los datos
de la conexión proxy NO deben estar visibles a los usuarios que no sean
administradores, o incluso a ninguno. En estos casos, lo más indicado es
restringir el acceso al Panel de control de Internet Explorer, evitando
de esta forma que cualquier usuario pueda copiar o modificar
configuraciones del navegador.

Ahora bien, tanto si utilizamos como si no un servidor proxy, existe una
manera sencilla de poder conseguir que los usuarios sólo puedan navegar
a determinadas páginas de Internet, las que el administrador determine,
y ésta sería editando el archivo *Hosts*, de manera que únicamente
contenga las direcciones a las que se puede acceder, y eliminando la
dirección IP del servidor o servidores DNS de la configuración del
protocolo TCP/IP (cuya IP se puede conocer en una consola de comandos),
restringiendo, además, el acceso a las conexiones de red del Panel de
control.

Hay que tener en cuenta que con esta restricción, algunos programas
pueden tener problemas de conexión a Internet si utilizan para ello el
proceso *iexplore.exe*.

El archivo *Hosts* es un archivo de texto que se puede utilizar para
resolver nombres de dominio en direcciones IP de forma local, y se halla
en el directorio de Windows en el caso de sistemas Windows 9x/Me; o en
el directorio "%Systemroot%\system32\drivers\etc" en el caso de sistemas
NT/2000/XP. Para más información sobre este archivo y sus funciones, se
pueden consultar los siguientes artículos:

http://www.saulo.net/pub/articulo.php?cod=hosts
http://www.ayuda-internet.net/tutor...publi.html

Para editar el archivo *Hosts*, acudiremos a la ruta
%Systemroot%\system32\drivers\etc (para el caso de Windows XP); nos
aseguraremos que no está protegido contra escritura (abriremos sus
propiedades y quitaremos la marca "sólo lectura" si la tiene activada) y
posteriormente abriremos el archivo con el Bloc de notas (notepad.exe),
e introduciremos las direcciones que nos interese tener operativas, como
se muestra en este ejemplo:

____________________________

127.0.0.1 localhost
207.46.198.60 microsoft.com
80.67.86.24 intel.com
____________________________


Lógicamente, las direcciones IP pueden cambiar. Para conocer la IP real
de un sitio web, ejecutamos el siguiente comando desde un símbolo de
sistema (en este caso, para Google):

____________________________

C:\>ping google.es

Haciendo ping a google.es [216.239.57.104] con 32 bytes de datos:

Respuesta desde 216.239.57.104: bytes2 tiempoQms TTL$2
Respuesta desde 216.239.57.104: bytes2 tiempoRms TTL$2
Respuesta desde 216.239.57.104: bytes2 tiempoRms TTL$2
Respuesta desde 216.239.57.104: bytes2 tiempoQms TTL$2

Estadísticas de ping para 216.239.57.104:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 51ms, Máximo = 52ms, Media = 51ms
____________________________

Automáticamente, la consola nos dará la dirección IP de Google
(216.239.57.104).

Una vez introducidas las direcciones IP asociadas a los nombres de
dominio en el archivo *Hosts*, guardaremos los cambios y lo protegeremos
contra escritura. Seguidamente, ejecutamos "control netconnections",
desde el menú Inicio > Ejecutar, y seleccionamos nuestra conexión de
red, y mediante el botón derecho del ratón elegimos Propiedades.
Seleccionamos el protocolo de Internet TCP/IP, y en sus propiedades
eliminamos las direcciones de los servidores DNS. Guardamos los cambios.

Para restringir el acceso al Panel de control de Internet Explorer a
todos los usuarios, deben establecerse restricciones en el registro de
Windows desde una cuenta administrativa. Desde el menú Inicio >
Ejecutar, tecleamos "regedit.exe" (sin comillas). Cuando se abra el
editor del registro, buscamos la rama siguiente:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer

Teniendo seleccionada la clave "Internet Explorer", creamos una nueva
subclave llamada "Restrictions". Teniendo seleccionada ésta última, en
el panel de la derecha, creamos un nuevo valor DWORD llamado
"NoBrowserOptions", cuyo contenido lo establecemos en *1* para habilitar
la restricción. Cerramos el editor del registro. Con este ajuste, ningún
usuario podrá acceder al panel de control del navegador desde el menú
Herramientas, incluyendo a los administradores. Si queremos excluir a
los administradores de esta restricción, en los sistemas que incluyan
Directiva de Grupo (W2000 Profesional/WXP Profesional/W2003/WVista),
ejecutaremos "gpedit.msc", y habilitaremos la política "Menú
Herramientas: opción de menú Deshabilitar opciones de Internet", que
encontramos en la rama Configuración de usuario > Plantillas
administrativas > Componentes de Windows > Internet Explorer > Menús del
Explorador.

Acto seguido, debemos llevar a cabo los ajustes que se describen en el
siguiente artículo, para liberar los administradores de dicha
restricción:

**How to apply local policies to all users except administrators in a
workgroup setting in Windows 2000
http://support.microsoft.com/kb/293655/en-us

(artículo aplicable también a Windows XP)


Una vez establecida esta restricción a los usuarios, éstos no podrán
acceder al menú de Opciones de Internet desde el navegador, pero podrán
seguir accediendo desde el Panel de control > Opciones de Internet, por
lo que habrá que crear una nueva restricción, en este caso, a través de
esta otra clave del registro para todos los usuarios del equipo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

O esta otra sólo para usuarios determinados:

HKEY_USERS\Carpeta_de_usuario\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

(donde "Carpeta_de_usuario" corresponde a la clave de referencia
numérica del usuario)

En las que, en el panel derecho, deberemos crear un nuevo valor DWORD
denominado "NoControlPanel", con el contenido *1*. Cerramos el editor
del registro y reiniciamos el sistema.

_______________________________________________________________

Podeis consultar este artículo también en mi blog:
http://ekort.blogspot.com/2006/05/r...t-los.html



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com
ekort@ZZZZmvps.org (despiértame si me quieres escribir)
Vista x86 (TM) Beta 2 Build 5384
IE 7.0.5346.5 on XPSP2

"Soy difícil de oír, pero no para los que me quieren escuchar"


Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no
rights.
________________________________________________________________________________
 

Leer las respuestas

#1 JorgeO
30/05/2006 - 16:47 | Informe spam
Hash: SHA1

Gracias, articulo guardado¡¡¡

Preguntas similares