Auditando IE6 tanto como IE7

Los usuarios no administradores no deberían poder acceder a determinados apartados de configuración del navegador en sus equipos. El acceso indiscriminado al panel de control de Internet Explorer en una cuenta no administrativa puede ocasionar graves problemas al sistema si se producen cambios en aspectos de seguridad o privacidad.

A nivel empresarial, los administradores de redes son los que deben establecer las políticas del sistema, deshabilitando todas aquellas funciones a las que los usuarios no deberían acceder nunca, aunque por desgracia esto no siempre se cumple.

A parte de las directivas habituales que se implementan a través de Directiva de grupo, o GPOs, yo siempre aconsejo restringir por completo el panel de control de Internet Explorer en cuentas de usuario normales. De esta forma evitamos:

- que puedan cambiarse configuraciones de seguridad
- cambiar la página de inicio, especialmente si existe una Intranet como página de inicio
- manipulación de certificados de seguridad
- cambiar el tipo de conexión, o servidor proxy
- descargar controles o complementos que pueden ser muy dañinos para el sistema
- eliminar pruebas de navegación como el historial o los archivos temporales
- cambiar otras configuraciones...

De esta manera, los logs y carpetas de historiales y archivos descargados se mantendrán y no podrán ser eliminados por el usuario. Para saber cómo se pueden aplicar estas restricciones, consulta el siguiente artículo:

http://ekort.blogspot.com/2006/05/r...t-los.html



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com


Windows Vista x86/x64 (RTM) Build 6.0.6000
Internet Explorer 7 (RTW) Build 7.0.5730.11 en XP-SP2


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.

_____________________________________________________________________________________

"A.J." escribió en el mensaje news:
En un área de trabajo realizamos una auditoría para detectar contenido
inapropiado en las carpetas temporales de Internet para cada usuario en
nuestras máquinas. A veces alguien borra esos archivos intentando ocultar su
comportamiento, así que necesitamos un procedimiento controlado para auditar
material no apropiado sin importar qué haga la gente maligna para eliminarlo.
Esta política aplica al IE7 también, donde los usuarios tienen acceso al
botón "delete all browsing history".
Agradeceremos informar la mejor práctica para este escenario.
ciber-saludos,

Si se restringe el acceso al panel de control de Internet Explorer (inetcpl.cpl) en cada máquina, los usuarios ya no podrán eliminar archivos temporales ni historiales a través de este método. Únicamente podrán borrarlos accediendo directamente a las carpetas. Para evitar que los usuarios puedan acceder a estas carpetas, la mejor opción es editar los permisos denegando el acceso.

No sé de qué sistemas operativos estamos hablando, pero para el caso de Windows XP, la solución estaría en denegar el acceso a las carpetas "Configuración local" y "Cookies" del usuario, que son las que contienen toda esa información temporal (archivos temporales de Internet, archivos temporales de programas, Historial de navegación y cookies descargadas).

Para ello, habría que acceder a la ruta "X:\Documents and Settings\Usuario" (donde X es la letra de unidad, y Usuario es el nombre de la cuenta de usuario), y localizar las carpetas mencionadas, teniendo en cuenta que son carpetas ocultas (previamente, deben hacerse visibles los archivos y carpetas ocultos desde el Panel de control, Opciones de carpeta). Una vez localizadas, acceder a las propiedades, y a través de la pestaña Seguridad, denegar todos los permisos al usuario.



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com


Windows Vista x86/x64 (RTM) Build 6.0.6000
Internet Explorer 7 (RTW) Build 7.0.5730.11 en XP-SP2


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
________________________________________________________________________________
"A.J." escribió en el mensaje news:
Hola Enrique,
Muchas gracias por su artículo, sencillo de entender y muy detallado.

Para nuestro escenario parcialmente aplica la restricción en el panel de
control y de esta manera evitar la configuración por parte de los usuarios
finales. Lamentablemente algunos usuarios recurren al truco de borrar los
ficheros de las carpetas temporales, lo cual imposibilita nuestra labor de
auditoría.

Adicionalmente no aplica lo descrito sobre el filtrado de páginas editando
el archivo "hosts" porque nuestro entorno debe permitir la consulta web
libre, como si se tratara de una biblioteca escolar o una sala de cómputo.
Nuestra necesidad específica gira en torno a:

1. Permitir a las personas, con cuentas de usuario en nuestra red, el acceso
a un sinnúmero de páginas y servicios de internet. Cada usuario tiene una
máquina asignada.
2. Auditar los URLs y archivos temporales, en un ambiente controlado, para
aplicar medidas en los usuarios, no en los DNS.

He encontrado útil la vasta información en su Blog, agradeceré me oriente
para el resto de los aspectos planteados.

ciber-saludos,
A.J.


"Enrique [MVP Windows]" wrote:

Los usuarios no administradores no deberían poder acceder a determinados apartados de configuración del navegador en sus equipos. El acceso indiscriminado al panel de control de Internet Explorer en una cuenta no administrativa puede ocasionar graves problemas al sistema si se producen cambios en aspectos de seguridad o privacidad.

A nivel empresarial, los administradores de redes son los que deben establecer las políticas del sistema, deshabilitando todas aquellas funciones a las que los usuarios no deberían acceder nunca, aunque por desgracia esto no siempre se cumple.

A parte de las directivas habituales que se implementan a través de Directiva de grupo, o GPOs, yo siempre aconsejo restringir por completo el panel de control de Internet Explorer en cuentas de usuario normales. De esta forma evitamos:

- que puedan cambiarse configuraciones de seguridad
- cambiar la página de inicio, especialmente si existe una Intranet como página de inicio
- manipulación de certificados de seguridad
- cambiar el tipo de conexión, o servidor proxy
- descargar controles o complementos que pueden ser muy dañinos para el sistema
- eliminar pruebas de navegación como el historial o los archivos temporales
- cambiar otras configuraciones...

De esta manera, los logs y carpetas de historiales y archivos descargados se mantendrán y no podrán ser eliminados por el usuario. Para saber cómo se pueden aplicar estas restricciones, consulta el siguiente artículo:

http://ekort.blogspot.com/2006/05/r...t-los.html



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com


Windows Vista x86/x64 (RTM) Build 6.0.6000
Internet Explorer 7 (RTW) Build 7.0.5730.11 en XP-SP2


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.

_____________________________________________________________________________________

"A.J." escribió en el mensaje news:
En un área de trabajo realizamos una auditoría para detectar contenido
inapropiado en las carpetas temporales de Internet para cada usuario en
nuestras máquinas. A veces alguien borra esos archivos intentando ocultar su
comportamiento, así que necesitamos un procedimiento controlado para auditar
material no apropiado sin importar qué haga la gente maligna para eliminarlo.
Esta política aplica al IE7 también, donde los usuarios tienen acceso al
botón "delete all browsing history".
Agradeceremos informar la mejor práctica para este escenario.
ciber-saludos,