[Artículo] Windows Server | ¿Qué es Internet Explorer Enhanced Security Configuration (IE ESC)?
Internet Explorer Enhanced Security Configuration (IE ESC) o conocido en español como Configuración de Seguridad Mejorada de Internet Explorer es una funcionalidad que contribuye a la segurización de un servidor basado en Windows.
La utilización de Internet Explorer Enhanced Security Configuration (IE ESC) en instalaciones por defecto de sistemas operativos Windows Server viene habilitada y lista para utilizar. No obstante, la misma cambia drástricamente la experiencia de navegación de sitios web desde Internet Explorer.
Esta publicación tiene como objetivo entender en alto nivel cómo funciona IE ESC, para qué sirve y cómo administrarlo.
[toc]
Introducción
Objetivo y Alcance
Esta publicación tiene como objetivo:
- Demostrar a las organizaciones cómo pueden aprovechar las funcionalidades de Internet Explorer Enhanced Security Configuration (IE ESC) para minimizar la superficie de ataque de un servidor basado en Windows en aspectos de navegación a Internet.
- Presentar en alto nivel cómo funciona Internet Explorer Enhanced Security Configuration (IE ESC), cómo impacta en las zonas de seguridad de Internet Explorer y cómo puede configurarse.
El alcance de esta publicación es:
- Internet Explorer Enhanced Security Configuration (IE ESC) en Windows Server 2003 y superior.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Desarrollo
¿Qué es Internet Explorer Enhanced Security Configuration (IE ESC)?
“Internet Explorer Enhanced Security Configuration”, conocido en sus siglas como IE ESC o en español como “Configuración de Seguridad Mejorada de Internet Explorer” es una funcionalidad disponible únicamente en servidores basados en Windows que realiza modificaciones de configuración en Internet Explorer de tal forma que reduce la superficie de ataque de contenidos web y scripts de aplicaciones.
Esta configuración puede forzarse para administradores y usuarios por separado. Una vez activada, puede ocurrir que varias páginas no se muestren correctamente o que aparezcan carteles que se han catalogado como “molestos” en sistemas operativos Windows Server. No obstante, y lejos de ser molestos, esta configuración permite que un servidor sea más seguro.
Como IE ESC realiza modificaciones en las zonas de seguridad y cambia la forma en que el usuario experimenta la navegación en Internet, vamos a dedicar algunos apartados en desarrollar cada uno de estos temas.
Efectos de IE ESC en las Zonas de Seguridad de Internet Explorer
Zonas de Seguridad de Internet Explorer
Internet Explorer cuenta con zonas de seguridad. Cualquier acceso a sitios web es catalogado por IE y dicho sitio web es asignado a algunas de las cuatro zonas de seguridad existentes:
- Internet: esta zona contiene todos los sitios web que no están en el equipo local ni en la intranet, o que no han sido asignados a otra zona.
- Intranet Local: en forma predeterminada, esta zona contiene todas las conexiones de red que fueron establecidas utilizando una ruta de acceso local (UNC), sitios web que omiten el servidor proxy o sitios web que tienen nombre simple sin punto (por ejemplo http://servidor).
- Sitios de Confianza: esta zona contiene sitios web de confianza y que explícitamente fueron incorporados aquí.
- Sitios Restringidos: esta zona contiene sitios que no son de confianza.
De las zonas anteriormente mencionadas, solo dos son configurables: Intranet Local y Sitios de Confianza. No es posible cambiar la configuración de Internet ni la de Sitios Restringidos.
Efectos de IE ESC en las Zonas de Seguridad de Internet Explorer
Internet Explorer Enhanced Security Configuration (IE ESC) asigna niveles de seguridad a las zonas de la siguiente forma:
- Para la zona Internet, la seguridad se establece como Alta.
- Para la zona Intranet Local, la seguridad se establece como Medio Bajo.
- Para la zona Sitios de Confianza, la seguridad se establece como Medio.
- Para la zona Sitios Restringidos, la seguridad se establece como Alta.
Como podemos observar, por defecto la zona de Sitios Restringidos tiene el mismo nivel de seguridad que la zona Internet. ¿Qué significa esto? Que por defecto, todos los sitios no son confiados, salvo lo que explícitamente se ubiquen en la zona “Sitios de confianza” y los que pertenezcan a la zona “Intranet Local”.
Sin lugar a dudas, esto impacta directamente en la navegación y experiencia de los usuarios y administradores. Estos últimos son los que deben identificar que sitios son de confianza.
IE ESC y Remote Desktop Services
Cuando se agrega el rol de Terminal Services a un Windows Server que tiene IE ESC habilitado, el asistente pregunta sobre la preferencia de dejar habilitado o no IE ESC. En varias notas, Microsoft dice que “es una buena idea” deshabilitar IE ESC para los usuarios si se trata de un servidor de acceso remoto como TS o RDS.
Se han reportado varios casos donde, una vez configurado TS o RDS, aunque se deshabilite IE ESC desde el Server Manager los usuarios continúan experimentando experiencia reducida de navegación. No obstante, esto ha sido conocido o supuesto como un “bug del producto”. En dichos casos, para deshabilitar IE ESC se puede utilizar regedit.
Cómo explorar cuando IE ESC está habilitado
El efecto visible de tener habilitado IE ESC y no tener configurado sitios de confianza son carteles continuos de aviso y propuesta de agregar el sitio web que intenta hacer una acción no permitida a Sitios de Confianza, siempre y cuando el usuario sea administrador local.
Internet Explorer Enhanced Security Configuration (IE ESC) aumenta el nivel de Seguridad del servidor, pero afecta directamente la forma de exploración:
- Los controles ActiveX y Scripts están deshabilitados, por lo cual el contenido de muchos sitios web puede no verse correctamente. En el caso de confiar o necesitar ver el contenido de alguno de estos sitios, debe agregarse a la zona Sitios de Confianza para que esta restricción ya no esté presente.
- Por defecto, para poder agregar un sitio web a Sitios de Confianza el mismo debe ser SSL (HTTPS). En el caso que un sitio de confianza no sea SSL pero deba agregarse, se debe destildar la opción en el cuadro de diálogo de Sitios de Confianza que requiera ser HTTPS.
- Solo los administradores y usuarios con derechos podrán modificar el listado de sitios de confianza o agregar sitios mientras navegan. Por defecto, todos los usuarios tienen este derecho, pero puede ser limitado por GPO.
Cómo Administrar IE ESC
Aplicar IE ESC para usuarios específicos
Internet Explorer Enhanced Security Configuration (IE ESC) puede ser aplicado en dos niveles: para Administradores y para Usuarios. Esta configuración la pueden realizar los administradores y usuarios avanzados en Windows Server 2003, y solo los Administradores a partir de Windows Server 2008.
Administrar la zona Sitios de Confianza centralizadamente
Una forma eficaz de administrar sitios de confianza es a través de GPOs utilizando la infraestructura de Active Directory Domain Services. De esta forma, los Administradores no necesitan modificar servidor por servidor la lista de sitios de confianza, y centralizadamente se puede configurar una política que la popule.
Conclusiones
Internet Explorer Enhanced Security Configuration (IE ESC), o Seguridad Mejorada de Configuración de Internet Explorer, es una funcionalidad que nos permite segurizar un aspecto muy importante de los servidores basados en Windows: la navegación a Internet.
IE ESC está disponible a partir de Windows Server 2003, y sufrió mejoras en Windows Server 2008. Entender cómo funciona, por qué, y cómo administrarlo es vital para nuestra tarea de administración diaria y no caer en el error de deshabilitarlo, como sucede en muchas ocasiones y se puede convertir en costumbre para los administradores siendo una de las primeras tareas a realizar en un servidor.
Esperamos que esta publicación haya resultado de interés, ¡y esperamos sus comentarios!
Referencias y Links
- Internet Explorer: Enhanced Security Configuration: http://technet.microsoft.com/en-US/library/dd883248(v=ws.10).aspx
- How to use security zones in Internet Explorer: http://support.microsoft.com/kb/174360/en-us
- Microsoft-Windows-IE-ESC: http://technet.microsoft.com/en-us/library/ff715406.aspx
- Internet Explorer Enhanced Security Configuration changes the browsing experience: http://support.microsoft.com/kb/815141/en-us
Acerca del Autor
Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.