Preguntas más frecuentes sobre la configuración de seguridad mejorada (ESC) de Internet Explorer

Advertencia

La aplicación de escritorio de Internet Explorer 11 retirada y no compatible está programada para deshabilitarse permanentemente a través de una actualización de Microsoft Edge en determinadas versiones de Windows 10 el 14 de febrero de 2023. Recomendamos encarecidamente configurar el modo IE en Microsoft Edge y deshabilitar IE11 antes de esta fecha para asegurar de que su organización no experimente interrupciones empresariales.

Para obtener más información, consulte esta página de preguntas más frecuentes.

Configuración de seguridad mejorada de Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) establece una configuración de seguridad que define cómo navegan los usuarios por Internet y los sitios web de intranet. Esta configuración también reduce la exposición de servidores a sitios web que podrían presentar un riesgo de seguridad. Este proceso también se conoce como IEHarden. Para obtener más información, vea Internet Explorer: Configuración de seguridad mejorada.

Versión original del producto: Internet Explorer
Número de KB original: 4551931

La configuración predeterminada para Internet Explorer ESC

Esta característica está habilitada de forma predeterminada en los servidores.

Los efectos de habilitar Internet Explorer ESC

Internet Explorer ESC ajusta la configuración de extensibilidad y seguridad de Internet Explorer para reducir la exposición a posibles amenazas de seguridad futuras. Esta configuración se encuentra en la pestaña Opciones avanzadas de Internet en Panel de control. En la tabla siguiente se describe la configuración.

Característica Entrada Configuración Resultado
Navegación Mostrar el cuadro de diálogo Configuración de seguridad mejorada. Activada Muestra un cuadro de diálogo para notificarle cuando un sitio de Internet intenta usar scripts o controles ActiveX.
Navegación Habilite extensiones de explorador. Desactivada Deshabilita las características que ha instalado para su uso junto con Internet Explorer creadas por empresas distintas de Microsoft.
Navegación Habilite Instalar a petición (Internet Explorer). Desactivada Deshabilita la instalación de componentes de Internet Explorer a petición, si así lo requiere una página web.
Navegación Habilite Instalar a petición (otros). Desactivada Deshabilita la instalación de componentes web a petición, si así lo requiere una página web.
máquina virtual Microsoft Compilador Just-In-Time (JIT) para la máquina virtual habilitada (requiere reinicio). Desactivada Deshabilita el compilador de máquinas virtuales de Microsoft.
Multimedia No muestre contenido en línea en la barra multimedia. Activada Deshabilita la reproducción de contenido multimedia en la barra multimedia de Internet Explorer.
Multimedia No muestre contenido en línea en la barra multimedia. Activada Deshabilita la reproducción de contenido multimedia en la barra multimedia de Internet Explorer.
Multimedia Reproducir animaciones en páginas web. Desactivada Deshabilita las animaciones.
Multimedia Reproducir vídeos en páginas web. Desactivada Deshabilita los clips de vídeo.
Seguridad Compruebe si hay revocación de certificados de servidor (requiere reiniciar). Activada Comprueba automáticamente el certificado de un sitio web para ver si el certificado se ha revocado antes de aceptarlo como válido.
Seguridad Compruebe si hay firmas en los programas descargados. Activada Comprueba y muestra automáticamente la identidad de los programas que descarga.
Seguridad No guarde páginas cifradas en el disco. Activada Deshabilita el guardado de información protegida en la carpeta Archivos temporales de Internet.
Seguridad Carpeta Archivos temporales de Internet vacía cuando se cierra el explorador. Activada Borra automáticamente la carpeta Archivos temporales de Internet al cerrar el explorador.

Estos cambios reducen la funcionalidad de páginas web, aplicaciones basadas en web, recursos de red local y aplicaciones que usan un explorador para mostrar ayuda en línea, soporte técnico y asistencia general del usuario.

Cómo desactivar Internet Explorer ESC en servidores Windows

Para desactivar Internet Explorer ESC, siga estos pasos:

  1. Escriba Administrador del servidor en Búsqueda de Windows para iniciar la aplicación Administrador del servidor.

  2. Seleccione Servidor local.

  3. Vaya a la propiedad Configuración de seguridad mejorada de IE , seleccione la configuración actual para abrir la página de propiedades, seleccione el botón de opción Desactivar para los usuarios deseados y, a continuación, seleccione Aceptar.

    La configuración esc de Internet Explorer está activada en el administrador del servidor.

    Captura de pantalla de la ventana Configuración de seguridad mejorada de IE. La opción Desactivado está seleccionada.

  4. Seleccione el icono Actualizar de la barra de herramientas de Administrador del servidor para ver la nueva configuración reflejada en el administrador del servidor.

    Captura de pantalla de la configuración de ESC de Internet Explorer actual en el administrador del servidor.

En el vídeo siguiente se muestra este procedimiento:

Para obtener más información, vea Administrar el servidor local y la consola de Administrador del servidor.

Cómo deshabilitar Internet Explorer ESC mediante un script

  1. Cree un archivo IEHArden_V5.bat con el siguiente contenido de archivo por lotes.

  2. Ejecute el archivo bat en un símbolo del sistema administrativo o como parte del script de inicio de sesión mediante el procedimiento que se documenta en Asignación de scripts de inicio de sesión de usuario.

Contenido del archivo por lotes

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Cómo administrar la configuración de IEHarden para los usuarios mediante directiva de grupo Preferencias (GPP)

Para cambiar la configuración de IEHarden para los usuarios mediante directiva de grupo configuración del Registro de preferencias, siga estos pasos:

  1. Abra la consola DE GPMCM.msc y, a continuación, vaya aConfiguración>de>configuración del usuario Configuración de Configuración de Windows.

  2. En el panel de navegación, haga clic con el botón derecho en el objeto Registry y, a continuación, seleccione Nuevo>elemento del Registro.

    Captura de pantalla que muestra los pasos para crear un registro.

  3. En Propiedades de IEHarden, especifique la siguiente configuración:

    • Ubicación: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nombre del valor: IEHarden

    • Tipo de valor: REG_DWORD

    • Datos de valor: 0 o 000000000

      Captura de pantalla de la configuración del Registro en IEHarden ventana Propiedades.

  4. Seleccione Aplicar y Aceptar para completar esta configuración de GPP.

Nota:

También puede comprobar las siguientes subclaves del Registro si este valor no resuelve el problema. En la mayoría de los casos, esto no es necesario.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Parece que Internet Explorer no funciona después de deshabilitar ESC mediante Administrador del servidor

Para solucionar problemas de este escenario, consulte Standard users can't off Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server or a later version(No se puede desactivar la característica de seguridad mejorada de Internet Explorer en un servidor terminal basado en Windows Server 2003 o una versión posterior). Básicamente, es posible que tenga que habilitar o deshabilitar ESC de nuevo. Dirigirse al registro puede ser la manera más sencilla de resolver este problema.