Configuración por sitio por directiva
En este artículo se describen las configuraciones por sitio por directiva y cómo controla el explorador las cargas de página desde un sitio.
El explorador como toma de decisiones
Como parte de cada carga de página, los exploradores toman muchas decisiones. Algunas de estas decisiones, pero no todas, incluyen: si una API determinada está disponible, si se permite una carga de recursos y si se debe permitir la ejecución de un script.
En la mayoría de los casos, las decisiones del explorador se rigen por las siguientes entradas:
- Una configuración de usuario
- Dirección URL de la página para la que se toma la decisión
En la plataforma web de Internet Explorer, cada una de estas decisiones se denominaba URLAction. Para obtener más información, vea Marcas de acción de dirección URL. UrlAction, directiva de grupo empresarial y configuración de usuario en el Panel de control de Internet controlaron cómo controlaría el explorador cada decisión.
En Microsoft Edge, la mayoría de los permisos por sitio se controlan mediante settngs y directivas expresadas mediante una sintaxis sencilla con compatibilidad limitada con tarjetas comodín. Las zonas de seguridad de Windows todavía se usan para algunas decisiones de configuración.
Zonas de seguridad de Windows
Para simplificar la configuración del usuario o administrador, la plataforma heredada clasificó los sitios en una de las cinco zonas de seguridad diferentes. Estas zonas de seguridad son: máquina local, intranet local, de confianza, Internet y sitios restringidos.
Al tomar una decisión de carga de página, el explorador asigna el sitio web a una zona y, a continuación, consulta la configuración de URLAction para que esa zona decida qué hacer. Los valores predeterminados razonables, como "Satisfacer automáticamente los desafíos de autenticación de mi intranet", significan que la mayoría de los usuarios nunca necesitan cambiar ninguna configuración predeterminada.
Los usuarios pueden usar el Panel de control de Internet para asignar sitios específicos a zonas y configurar los resultados de permisos para cada zona. En entornos administrados, los administradores pueden usar la directiva de grupo para asignar sitios específicos a zonas (a través de la directiva "Lista de asignaciones de sitio a zona") y especificar la configuración de URLActions por zona. Más allá de la asignación manual de sitios administrativos o de usuario a Zonas, otras heurísticas podrían asignar sitios a la zona de intranet local. En concreto, los nombres de host sin punto (por ejemplo, http://payroll) se asignaron a la zona de intranet. Si se usaba un script de configuración de proxy, los sitios configurados para omitir el proxy se asignarían a la zona de intranet.
EdgeHTML, usado en controles WebView1 y Microsoft Edge Heredado, hereda la arquitectura zones de su predecesor de Internet Explorer con algunos cambios simplificados:
- Las cinco zonas integradas de Windows se contraían a tres: Internet (Internet), Confianza (Intranet+Confianza) y Equipo local. Se quitó la zona Sitios restringidos.
- Las asignaciones de zona a URLAction se codificaron de forma permanente en el explorador, omitiendo las directivas de grupo y la configuración en el Panel de control de Internet.
Permisos por sitio en Microsoft Edge
Microsoft Edge hace un uso limitado de Las zonas de seguridad de Windows. En su lugar, la mayoría de los permisos y características que ofrecen a los administradores la configuración por sitio a través de la directiva se basan en listas de reglas en el formato de filtro de dirección URL.
Cuando los usuarios finales abren una página de configuración como edge://settings/content/siteDetails?site=https://example.com, encuentran una larga lista de modificadores de configuración y listas para varios permisos. Los usuarios rara vez usan la página Configuración directamente, en su lugar toman decisiones mientras exploran y usan varios widgets y alternan en la lista desplegable de información de página . Esta lista aparece al seleccionar el icono de bloqueo en la barra de direcciones. También puede usar los diversos mensajes o botones en el borde derecho de la barra de direcciones. En la captura de pantalla siguiente se muestra un ejemplo de información de página.
Las empresas pueden usar la directiva de grupo para configurar listas de sitios para directivas individuales que controlan el comportamiento del explorador. Para buscar estas directivas, abra la documentación de la directiva de grupo de Microsoft Edge y busque "ForUrls" para buscar las directivas que permiten y bloquean el comportamiento en función de la dirección URL del sitio cargado. La mayoría de la configuración pertinente se muestra en la sección Directiva de grupo para la configuración de contenido .
También hay muchas directivas (cuyos nombres contienen "Default") que controlan el comportamiento predeterminado de una configuración determinada.
Muchas de las configuraciones son oscuras (WebSerial, WebMIDI) y a menudo no hay ninguna razón para cambiar una configuración del valor predeterminado.
Zonas de seguridad en Microsoft Edge
Aunque Microsoft Edge se basa principalmente en directivas individuales que usan el formato de filtro de dirección URL, sigue usando las zonas de seguridad de Windows de forma predeterminada en algunos casos. Este enfoque simplifica la implementación en empresas que se han basado históricamente en la configuración de Zonas.
La directiva de zona controla los siguientes comportamientos:
- Decidir si se liberan automáticamente las credenciales de autenticación integrada de Windows (Kerberos o NTLM).
- Decidir cómo controlar las descargas de archivos.
- Para el modo Internet Explorer.
Versión de credenciales
De forma predeterminada, Microsoft Edge se evalúa URLACTION_CREDENTIALS_USE para decidir si la autenticación integrada de Windows se usa automáticamente o si el usuario verá una solicitud de autenticación manual. La configuración de la directiva de lista de sitios AuthServerAllowlist impide que se consulte la directiva de zona.
Descargas de archivos
Las pruebas sobre los orígenes de una descarga de archivos (también conocida como "Marca de la Web" se registran para los archivos descargados de la zona de Internet. Otras aplicaciones, como Windows Shell y Microsoft Office, pueden tener en cuenta esta evidencia de origen al decidir cómo controlar un archivo.
Si la directiva de zona de seguridad de Windows está configurada para deshabilitar la configuración para iniciar aplicaciones y descargar archivos no seguros, el administrador de descarga de Microsoft Edge bloquea las descargas de archivos de los sitios de esa zona. Un usuario verá esta nota: "No se pudo descargar – Bloqueado".
Modo IE
El modo IE se puede configurar para abrir todos los sitios de intranet en modo IE. Al usar esta configuración, Microsoft Edge evalúa la zona de una dirección URL al decidir si debe abrirse o no en modo IE. Más allá de esta decisión inicial, las pestañas del modo IE realmente ejecutan Internet Explorer y, como resultado, evalúan la configuración de zonas para cada decisión de directiva como lo hizo Internet Explorer.
Resumen
En la mayoría de los casos, la configuración de Microsoft Edge se puede dejar en sus valores predeterminados. Los administradores que quieran cambiar los valores predeterminados para todos los sitios o sitios específicos pueden usar las directivas de grupo adecuadas para especificar listas de sitios o comportamientos predeterminados. En algunos casos, como la versión de credenciales, la descarga de archivos y el modo IE, los administradores seguirán controlando el comportamiento mediante la configuración de Las zonas de seguridad de Windows.
Preguntas más frecuentes
¿Puede coincidir el formato de filtro de dirección URL en la dirección IP de un sitio?
No, el formato no admite la especificación de un intervalo IP para listas de permitidos y listas de bloqueo. Admite la especificación de literales IP individuales, pero estas reglas solo se respetan si el usuario navega al sitio mediante dicho literal (por ejemplo, http://127.0.0.1/). Si se usa un nombre de host (http://localhost), la regla de literal de IP no se respetará aunque la dirección IP resuelta del host coincida con la dirección IP de la lista de filtros.
¿Pueden los filtros de dirección URL coincidir con nombres de host sin punto?
No. Debe enumerar cada nombre de host, por ejemplo https://payroll, , https://stock, https://whoetc.
Si estaba pensando lo suficiente como para estructurar la intranet de forma que los nombres de host sean del siguiente formato, ha implementado un procedimiento recomendado.
https://payroll.contoso-intranet.comhttps://timecard.contoso-intranet.comhttps://sharepoint.contoso-intranet.com
En el escenario anterior, puede configurar cada directiva con una entrada *.contoso-intranet.com y se participará en toda la intranet.