Windows XP SP 2 Capitulo 1

Introduccin a Windows XP SP2
1. Instalacin de Windows XP SP2

a. Requisitos
Usted puede instalar SP2 solamente en una computadora que est ejecutando
Windows XP Home Edition o Windows XP Professional. Adems, usted debe iniciar
sesin en esa computadora como administrador.
En cuanto a requisitos de hardware son los siguientes:
Compruebe que el hardware es compatible con Windows XP Professional y que todos
los equipos en los que piensa instalar el sistema operativo admiten la instalacin. La
tabla 1 muestra los requisitos mnimos y recomendados de hardware para instalar
Windows XP Home y Professional.
Tabla 1 Requisitos de hardware para Windows XP

Requisitos mnimos
Requisitos recomendados
Procesador Intel Pentium (o compatible) a

233 MHz o superior
Procesador Intel Pentium II (o compatible) a 300

MHz o superior.
64 MB de RAM
128 MB (4 GB mximo) de RAM
Disco duro de 2 GB con 650 MB de espacio

libre en el disco (espacio de disco adicional
necesario si se instala en una red)
2 GB de espacio libre en disco duro
Adaptador de vdeo compatible con VGA o

superior
Adaptador de vdeo SVGA y monitor Plug and Play
Teclado, mouse (ratn) u otro dispositivo

sealador
Teclado, mouse (ratn) u otro dispositivo

sealador
Unidad de CD-ROM o DVD (necesaria para las Unidad de CD-ROM o DVD de 12 velocidades o
instalaciones desde CD)
superior
Adaptador de red (necesario para una
instalacin de red)
Adaptador de red
Nota Windows XP Professional admite sistemas de CPU nica y dual.
b. Evaluando entorno
Es importante como tarea previa a la instalacin de Windows XP SP2, evaluar el

entorno sobre donde se trabaja, especialmente las aplicaciones que se ejecutan en el
cliente, recuerde que el Service Pack 2 actualiza una parte importante del sitema
operativo, esto puede ocasionar que algunos aplicativos dejen de funcionar o
funcionen de forma no deseada.
Para realizar las tareas de evaluacin es importante que usted cuente con un
laboratorio de pruebas.
c.
Laboratorio de pruebas
1. Su ambiente de prueba debe incluir una seccin representativa de los tipos de

computadoras en las cuales usted desee instalar service pack 2. Cerciorarse de que
las computadoras de prueba estn equipadas con el software y los dispositivos de
hardware que se utilizan tpicamente en su organizacin.
2. Instalar el service pack en las computadoras de prueba en el ambiente donde
usted planea utilizar el service pack.
3. Verificar que el software y el hardware continen trabajando segn lo esperado
para los escenarios varios.
Si usted est instalando Windows XP Home Edition o Windows XP Professional por
primera vez dentro de su grupo de la compaa o de trabajo, usted puede ser que
desee instalar a un grupo experimental para probar su instalacin y para verificar
que trabaja en su ambiente segn lo esperado.
d. Instalando Windows XP SP2
Las secciones siguientes proporcionan las instrucciones para la instalacin de SP2.

Usted puede actualizar cualquier computadora que ejecute Windows XP Home Edition
o Windows XP Professional, o usted puede realizar una instalacin integrada del
service pack y Windows XP Home Edition o Windows XP Professional.
Ambos tipos de instalaciones requieren credenciales administrativas. Para instalar el

service pack en una computadora o una conexin de red, usted debe haber iniciado
sesin como administrador.
La Instalacin de la Actualizacin
Durante la instalacin de la actualizacin, el service pack es instalado en una
computadora eso ya ejecuta Windows XP Home Edition o Windows XP Professional.
Cuando usted ejecuta el programa Update.exe, instala los archivos del sistema
actualizados y realiza los cambios necesarios del registro. Despus la computadora
se reinicia, la instalacin est completa y el sistema operativo se ejecuta con un
sistema actualizado de archivos.
Esta seccin describe los procedimientos para instalar el service pack en 2 diversos
escenarios.
Escenario 1: Instalacin del service pack de modo que las computadoras utilicen
una copia local de archivos origen del service pack (recomendado).
una carpeta compartida como origen de archivos del service pack.
Importante
Si un fichero del sistema en una computadora se corrompe o se debe substituir por
una cierta razn, usted debe tener los archivos fuente del service pack para
substituir ese fichero del sistema.
Este service pack soporta varios tipos de medios para la distribucin, que incluyen
CD-ROMs, carpetas compartidas en redes, y descargas Web.
una copia local de archivos origen del service pack (recomendado).
Este mtodo le permite instalar una carpeta compartida de distribucin en una red
de modo que los usuarios puedan actualizar sus computadoras de una locacin
central y despus almacenar sus archivos de reserva en el sistema localmente.
Usted puede hacer esto ejecutando el programa XPsp2.exe (fijando las opciones que
usted desea utilizar). Usted puede tambin crear logon scripts para los usuarios, lo
cul le asegurar de que pueda actualizar a SP2 cuando inicien sus computadoras.
Nota
En el procedimiento siguiente, Drive: representa drive name de la red o de la
computadora donde se localiza su carpeta de distribucin.
Para instalar
el service pack
1. Para cada computadora que usted planea actualizar, realice backup de los
archivos y cierre los programas abiertos antes de continuar.
2. Crear la carpeta de instalacin local.
3. En la carpeta, crear una carpeta de distribucin para el service pack.

Por ejemplo, para crear una carpeta de distribucin llamada XPSP2, ejecute el
siguiente comando en command prompt:
mkdir Drive:\XPSP2
4. Copie XPsp2.exe en la carpeta que usted cre.
5. Antes de comenzar la instalacin, parar cualesquiera real-time virus checkers que
est funcionando en las computadoras en las cuales usted instalara el service pack.
Si los virus checkers se estan ejecutando, pueden interferir con la instalacin.
6. Para instalar el service pack desde la carpeta de instalacin (en este ejemplo,
llamada XPSP2), ejecute el siguiente comando en command prompt:
Drive:\XPSP2\XPsp2.exe
El progreso de la instalacin se exhibe mientras que se verifican y se extraen los
archivos. Tan pronto como se termine este proceso, el SP2 Setup Wizard aparece.
Seguir las instrucciones en el Setup Wizard.
Cuando usted es consultado para seleccionar si guarda los archivos anteriores,
recomendamos que usted seleccione la opcin Archive Files, de esta forma usted
puede quitar el service pack en un futuro.
7. Despus que la instalacin termina, el Setup Wizard le da la opcin para reiniciar
la computadora inmediatamente o ms adelante.
8. Despus de reiniciar la computadora, puede reiniciar los virus checkers.
Importante
SP2 no estar completamente operacional hasta que usted reinicie su computadora.
una carpeta compartida como origen de archivos del service pack.
Esta seccin explica cmo preparar una carpeta compartida de distribucin en una
red y entonces instalar el service pack de la carpeta compartida. Con este mtodo,
usted puede almacenar los archivos de instalacin del service pack en la carpeta
compartida de distribucin en lugar de almacenarlos en las computadoras locales.
Puede ser til extraer los archivos de XPsp2.exe si usted desea utilizar la carpeta de
distribucin como la carpeta que contiene los archivos fuente del service pack. Esto
ahorra espacio de disco en las computadoras locales porque la instalacin sealar a
la carpeta de la distribucin como ServicePackFiles antes de crear esta carpeta
localmente. La carpeta ServicePackFiles es necesaria siempre que el sistema
operativo requiera un archivo del service pack, por ejemplo cuando Windows File
Protection debe restaurar un archivo corrupto, o cuando se est configurando un

componente opcional.
Para instalar
el service pack
El procedimiento es similar al del scenario 1, usted debe crear una carpeta

compartida en una carpeta compartida, esta carpeta es la que contendr los archivos
de instalacin del service pack. Para crearla: mkdir Drive:\XPSP2
Luego debe extraer los archivos a esa carpeta para extraer: XPsp2.exe /X:path /U
Donde path es la locacin de la carpeta compartida.
Para instalar el service pack desde la carpeta de distribucin utilice el comando
Update.exe, de la siguiente forma: Drive:\XPSP2\Update\Update.exe
La instalacin contina de la misma forma que en el escenario 1.
2. Introduccin (Nuevas funcionalidades)
En el siguiente cuadro se muestran las mejoras salientes que introduce el Service

Pack 2 para Windows XP, se encuentran divididas en tres grandes reas, Seguridad,
Administracin y Mejoras al usuario.
Mejoras suministradas por Windows XP Service Pack 2
Objetivo
Configuraciones de
seguridad ms robustas
Herramientas de
seguridad para la gestin
y el control
Conseguir PCs e
informacin personal
inmunes a ataques
externos gracias a
configuraciones de
seguridad ms robustas.
Proteger los PCs con

herramientas ms fciles
de manejar y con un
mejor control sobre las
configuraciones de
seguridad.
Puntos
de
Mejora
Mejora del
Windows
Firewall : Activado
por defecto y
extendido para
proteger la PC
mientras se inicia y
se apaga.
Nuevo Servicio
de Ejecucin de
Ficheros
Adjuntos
(Attachment
Execution
Service):
Determina si los
ficheros son
seguros para
abrirse/ejecutarse
cuando estn
adjuntos a
mensajes del
Outlook Express o
Windows
Messenger, o son
abiertos va
Internet Explorer.
Mejoras de
seguridad en el
Internet
Explorer: Cambios
a nivel de cdigo
en el IE que
ayudarn a facilitar
la proteccin contra
ciertos tipos de
exploits - p.e.
restricciones de
seguridad aplicadas
al HTML hospedado
en el disco duro y
procesado por el IE
Mejoras en la
Actualizacin
Automtica
(Automatic
Update): En el
primer arranque
despus de la
instalacin, es
altamente
recomendable
habilitar las
actualizaciones
automticas. Estn
Centro de
Seguridad de
Windows: El Panel
de Control aade
un applet de
configuraciones de
seguridad que
rene, en un slo
sitio, todos los
informes sobre los
niveles de
seguridad en
curso, en ese
momento, en el
PC.
Bloqueador de
Pop-Up en el
Internet
Explorer: Servicio
que bloquea los
pop-up y popunder de Explorer.
Centralizacin
de la Gestin del
Windows
Firewall: Ms
opciones de
configuracin para
los administradores
- polticas de
grupo, lnea de
comandos, soporte
para multicast, y
setup desatendido.
Soporte para
mltiples perfiles
en el Windows
Firewall: Permite
mltiples perfiles
dentro del firewall
- p.e. Uno cuando
la mquina est
conectada a la red
corporativa, y otro
para cuando no lo
est.
Lista de
excepciones del
Windows
Firewall: El
Administrador
puede aadir
aplicaciones a la
"lista de
excepciones" del
Mejorar la experiencia del

usuario
Actualizar los PCs con los

ltimos avances en
soporte, tanto software,
como hardware.
Nuevo cliente de
Wireless LAN:
Actualizacin directa
con la carpeta de
Conexiones de Red y
con el sistema de
seguimiento por
iconos, para
conectarse y
desconectarse de
forma ms sencilla
de los wireless
"hotspots"
Actualizacin de
Bluetooth: Mayor
facilidad para
conectar los ltimos
dispositivos
compatibles con
Bluetooth como
teclados, telfonos
mviles o PDAs.
Windows Media 9
Series: Mayor
seguridad y
consistencia a la hora
de disfrutar de la
msica y el vdeo con
la instalacin del
ltimo Windows
Media Player
Movie Maker 2.1:
proporciona mejoras
de estabilidad sobre
la V 1.0, adems de
mejoras clave como
el soporte para USB2
SmartKey
Wireless Setup:
Simplifica la
implantacin de
redes wireless
seguras. USB Flash
Drive o cualquier
otro medio portable
para transferir
configuraciones y
claves de seguridad
entre PCs y
dispositivos. Mayor
facilidad para aadir
dispositivos
conectados a la red
sin UI, como p.e.
impresoras.
a. Proteccin de Red (Windows Firewall, Reduccin de superficie de

ataque en RPC)
Esta tecnologa ofrece una mejor proteccin contra los ataques dirigidos a una red, como
MSBlaster, gracias a una serie de innovaciones como Windows Firewall. Dichas mejoras
permiten la activacin predeterminada de Windows Firewall en las instalaciones de
Service Pack 2, el cierre de los puertos excepto cuando se estn usando, la mejora de la
interfaz de usuario para las tareas de configuracin, la mejora de la compatibilidad de las
aplicaciones cuando Windows Firewall est activado y el refuerzo de la administracin
empresarial de Windows Firewall a travs de Group Policy. La posibilidad de un ataque a
la RPC (Llamada de procedimiento remoto) se reduce, por lo que es posible ejecutar
objetos RPC con credenciales reducidas. La infraestructura DCOM tambin tiene
restricciones de control de acceso adicionales para reducir el riesgo de que un ataque a la
red tenga xito.
b. Proteccin de memoria (Ataques buffer overruns) DEP Data
execution prevention
Algunos ataques llevados a cabo por programas malintencionados inciden

especialmente en las vulnerabilidades de la seguridad del software que permiten la
copia de una gran cantidad de datos en diversas reas de la memoria del ordenador.
Estas vulnerabilidades suelen conocerse como desbordamientos de bfer, y
aunque ninguna tcnica puede eliminarlos por completo, Microsoft est empleando
una gran cantidad de tecnologas para mitigar estos ataques. En primer lugar, los
componentes del ncleo de Windows han sido recompilados con las versiones ms
recientes de nuestros compiladores. Por otro lado, Microsoft est trabajando en
colaboracin con los fabricantes de microprocesadores para que Windows soporte
hardware con proteccin de ejecucin (tecnologa tambin conocida como NX, o
no execute) en aquellos microprocesadores que contengan esta caracterstica. La
proteccin de ejecucin utiliza la CPU para marcar todas las posiciones de memoria
de una aplicacin como no-ejecutables a menos que dicha localizacin contenga
explcitamente cdigo ejecutable. De esta forma, cuando un gusano o un virus
inserte cdigo en una parte de la memoria marcada como slo de datos, cualquier
aplicacin o componente Windows no funcionar.
d. Mejora de seguridad de Browsing.
Las tcnicas de seguridad incluidas en Microsoft Internet Explorer ofrecen una mejor
proteccin contra contenido web malintencionado. Una de estas mejoras permite
bloquear la zona de Mquina Local para protegerla de la ejecucin de secuencias de
comandos malintencionados y reforzarla ante descargas web perjudiciales. Adems, se
incluyen mejores controles e interfaces de usuario que protegen de los controles
ActiveX malintencionados y la ejecucin de programas de espionaje sin su autorizacin
y conocimiento.
e. Mantenimiento (Security Center)
Una parte importante de cualquier plan de seguridad es mantener actualizados los

ordenadores con las ltimas versiones del software y de los elementos de seguridad, y
comprender el papel que juegan en la proteccin de su mquina. Tambin debe
asegurarse de estar al da en cuanto a los ataques contra la seguridad y las distintas
tendencias en este campo. Por ejemplo, algunas actualizaciones de software que
previenen contra el ataque de gusanos y virus suelen estar disponibles antes d e que
comience cualquier ataque significativo. Cada vez son ms las nuevas tecnologas
incorporadas para ayudar al usuario final a permanecer actualizado. Entre ellas se puede
citar Security Center, que ofrece un punto central de informacin acerca de la seguridad
del ordenador, y Windows Installer, que proporciona ms opciones de seguridad para la
instalacin de software.
3. Proteccin de trabajo en red.
Esta seccin ofrece informacin detallada sobre las tecnologas de proteccin de la red
incluidas en Windows XP Service Pack 2.
a. Servicios Alerter y Messenger Deshabilitados
Qu hacen los servicios Alerter y Messenger?

Los servicios Alerter y Messenger son componentes de Windows que permiten la
comunicacin de mensajes sencillos entre los ordenadores de una red. El servicio
Messenger transmite mensajes de diferentes aplicaciones y servicios, mientras que el
servicio Alerter est pensado para las alertas administrativas.
A quin se puede aplicar esta caracterstica?
Los administradores que se comunican con sus usuarios deben conocer los cambios
en estos servicios. Adems, los desarrolladores que utilizan estos servicios para
notificar a los usuarios seminarios o mensajes de difusin por la red deben conocer
los cambios. Aunque estos cambios se aplican a todos los ordenadores que ejecutan
Microsoft Windows XP Service Pack 2, slo se ven afectados los conectados a una
red.
Qu funcionalidad existente ha cambiado en Windows XP Service Pack 2?
Servicios Alerter y Messenger desactivados
Descripcin detallada
En versiones anteriores de Windows, el servicio Messenger estaba configurado para
que se iniciara automticamente, mientras que el servicio Alerter lo estaba para su
inicio manual. En Windows XP Service Pack 2, los dos servicios estn configurados
como deshabilitados. En estos servicios no se han introducido ms cambios.
Por qu es importante este cambio? Qu amenazas mitiga?

En estos servicios se han descubierto varias vulnerabilidades. Mientras los servicios
estaban activados, permitan conexiones entrantes a la red, lo que representaba una
superficie susceptible de ataque, elevando su riesgo de seguridad. Adems, estos
servicios se utilizan ocasionalmente en la mayora de entornos de computacin.
Debido al nmero de vulnerabilidades descubierto, a la superficie adicional
susceptible de ataque que presentan los servicios y a la carencia de un uso de
servicio, se ha optado por su desactivacin de forma predeterminada.
Qu funciona de forma diferente o ha dejado de funcionar? Hay alguna
dependencia?
Cualquier aplicacin o servicio que utilice los servicios Alerter o Messenger para
comunicarse con el usuario no tendr xito.
Cmo puedo solucionar estos problemas?
Hay dos formas posibles de resolver este problema. La ms recomendable es revisar
el software en busca de otro mtodo para comunicarse con el usuario. Esto le
permitir comunicarse con el usuario de forma ms segura, sin tener que utilizar los
servicios Alerter o Messenger.
El segundo mtodo es que la aplicacin tenga iniciado el servicio Alerter o Messenger
antes de hacer uso de sus servicios. En la ayuda online y en MSDN puede encontrar
informacin sobre el inicio de servicios. A modo de ejemplo, consulte Uso de la
herramienta administrativa de servicios para configurar servicios en el sitio web de
Microsoft: http://go.microsoft.com/fwlink/?LinkId=25974.
Tengo que modificar mi cdigo para trabajar con Windows XP Service Pack 2?
Si su cdigo utiliza los servicios Messenger o Alerter, tiene que modificar su cdigo.
b. Soporte para dispositivos Wireless Bluetooth incluido
Qu es Bluetooth?
La tecnologa inalmbrica Bluetooth es una especificacin de bajo coste y corto
alcance para la conexin de dispositivos mviles, y est disponible en una gran
variedad de dispositivos. El soporte para esta tecnologa est incluido en Windows XP
Service Pack 2, aunque anteriormente no estaba disponible a travs de Microsoft. La
razn de su inclusin se debe a la demanda por parte de los clientes de que se
incorporara al ncleo del sistema operativo Windows.
Las posibilidades de esta distribucin son las siguientes:
1.
Conectar un dispositivo Bluetooth a una computadora.
2.
Crear un escritorio inalmbrico con un teclado y un ratn Bluetooth.
3.
Transferir archivos desde o hacia un dispositivo Bluetooth.
4.
Imprimir en una impresora Bluetooth.
5.
Conectar con un ordenador de la red o a Internet a travs de un telfono

mvil Bluetooth.
6.
Configurar una conexin IP a Internet mediante un telfono mvil Bluetooth.
Si estn instalados los programas adecuados de Microsoft o de otros fabricantes,

tambin es posible hacer lo siguiente con dispositivos Bluetooth:
1.
Sincronizar agendas y calendarios con un telfono mvil Bluetooth o una PDA

(Asistente digital personal).
2.
Leer coordenadas desde un receptor GPS.
Esta version tambin dispone de soporte para los siguientes perfiles Bluetooth:
1.
PAN (Red de rea personal). Activa conexiones IP sobre Bluetooth.
2.
HCRP (Perfil de sustitucin de copia dura). Activa la impresin.
3.
HID (Dispositivo de interfaz host). Activa teclados, ratones y joysticks

Bluetooth.
4.
DUN (Red de marcacin). Permite que un telfono mvil Bluetooth

funcione como un mdem.
5.
OPP (Perfil push de objeto). Activa la transferencia de archivos.
6.
SPP (Puertos COM virtuales). Activa los programas heredados para

comunicar con dispositivos Bluetooth.
Adems de las anteriores, tambin se incluyen las siguietnes caractersticas:

1.
Suspensin selectiva. Reduce el consumo de energa de los transceptores

Bluetooth conectados al ordenador por medio de USB.
2.
Teclados en modo boot. Activa los teclados Bluetooth configurados

especficamente para trabajar con la BIOS.
Si no hay ningn transceptor Bluetooth en el sistema, no existe cambio alguno en el

comportamiento del mismo. Cuando existe un dispositivo Bluetooth aprobado por el
WHQL (Laboratorio de calidad de hardware Windows), el soporte Bluetooth est
activo.
En este caso, puede encontrar cambios en el apartado Conexiones de red y acceso
telefnico del Panel de control, adems de un nuevo elemento llamado
Dispositivos Bluetooth. Tambin ver un icono Bluetooth en el rea de notificacin
de la barra de herramientas. Haciendo clic en l, se mostrar un men con las tareas
Bluetooth que se pueden llevar a cabo. Adems, puede iniciar el nuevo Bluetooth File
Transfer Wizard (asistente de transferencia de archivos Bluetooth) haciendo click en
Inicio, Accesorios y, finalmente, en Comunicaciones.
Si est instalado un controlador Bluetooth distinto al de Microsoft, la actualizacin a
Windows XP Service Pack 2 no sustituir dicho controlador. Esta operacin podr
hacerse despus manualmente, o mediante un programa.
La ayuda online dispone de informacin ms completa sobre Bluetooth en Windows XP

Service Pack 2.
c.
Herramientas administrativas mejoradas
Qu hacen las herramientas administrativas de cliente?

Estas herramientas son un conjunto de snap-ins MMC (Consola de administracin de
Microsoft) que permiten administrar usuarios, ordenadores, servicios y otros
componentes del sistema en ordenadores locales y remotos. Estos snap-ins utilizan
dos cuadros de dilogo para la administracin: Select Users, Computers, or
Groups y Find Users, Contacts, and Groups. El primero de ellos se emplea
cuando se especifican ACLs en una carpeta compartida, al especificar un ordenador
remoto para volver a apuntar a un snap-in, o en la administracin local de usuarios y
grupos. Find Users, Contacts, and Groups se utiliza para buscar Active Directory
en Mis sitios de red, encontrar una impresora en el asistente Agregar impresora y
localizar objetos en el directorio dentro del snap-in Active Directory Users and
Computers.
Ambos cuadros de dilogo se utilizan para buscar y seleccionar objetos, como, por
ejemplo, usuarios, ordenadores, impresoras y otros elementos de seguridad desde el
ordenador local o Active Directory. Aunque otras aplicaciones pueden utilizar estos
cuadros de dilogo, en esta seccin slo se explican los cambios introducidos en las
herramientas administrativas de cliente aqu enumeradas.
A quin afectan estas caractersticas?
Estos elementos afectan a los administradores que deben administrar Windows XP
desde una localizacin remota usando las herramientas administrativas afectadas, las
cuales se muestran a continuacin. Los administradores y usuarios que utilizan estas
herramientas para controlar ordenadores locales no se ven afectados.
Conectividad remota
Todas las herramientas administrativas mostradas aqu para conectar con un
ordenador remoto asumen que dicho ordenador permite el trfico de red entrante
por el puerto TCP 445. Sin embargo, la configuracin predeterminada de Windows
Firewall en Windows XP Service Pack 2 bloquea dicho trfico. En consecuencia, puede
recibir algunos de los siguientes mensajes de error:
1.
Unable to access the computer nombre_ordenador (imposible acceder al

ordenador nombre_ordenador). El error era: Acceso denegado.
2.
Unable to access the computer nombre_ordenador (imposible acceder al

ordenador nombre_ordenador). El error era: No se encontr la ruta de red.
3.
Failed to open Group Policy object on Computer_Name (fallo al abrir el objeto

Group Policy en nombre_ordenador). Puede que no tenga los derechos
adecuados.
4.
Detalles: no se encontr la ruta de red.
5.
No puede encontrarse un objeto (ordenador) con el siguiente nombre:

nombre_ordenador. Compruebe los tipos de objeto seleccionados y su
localizacin, y asegrese de que ha escrito correctamente el nombre del
objeto, o elimnelo de la seleccin.
6.
Computer nombre_ordenador cannot be managed (no puede administrarse el

ordenador nombre_ordenador). No se encontr la ruta de red. Seleccione
Connect to another computer en el men Action para administrar un
ordenador diferente.
7.
Se ha producido el error de sistema 53. No se encontr la ruta de red.
Estos errores pueden producirse cuando se utiliza uno de los siguientes snap-ins
MMC para la administracin remota:
8.
Certificados (Certificates).
9.
Administracin de un ordenador (Computer Management).
10. Administrador de dispositivos (Device Manager).

11. Administracin de disco (Disk Management).
12. Visor de eventos (Event Viewer).
13. Poltica de grupo (Group Policy).
14. Servicio de indexacin (Indexing Service).
15. Monitor de seguridad IP (IP Security Monitor).
16. Poltica de seguridad IP (IP Security Policy).
17. Usuarios y grupos locales (Local Users & Groups).
18. Administracin de almacenamientos removibles (Removable Storage
Management).
19. Conjunto de polticas resultante (Resultant Set of Policy).
20. Servicios (Services)
21. Carpetas compartidas (Shared Folders).
22. Control WMI (WMI Control).
Adems de los snap-ins MMC, estas herramientas administrativas y cuadros de
dilogo afectan a lo siguiente:
23. La seleccin de usuarios, ordenadores o grupos.
24. La bsqueda de usaurios, contactos y grupos.
25. Net.exe.
Cmo activo estas herramientas?
Para utilizar estas herramientas para conectar de forma remota con un ordenador
que utilice Windows XP y tenga activado Windows Firewall, es preciso que abra el
puerto TCP 445 en el firewall de dicho ordenador. Para ello, siga este procedimiento:
1.
Haga click en Inicio, Programas, Accesorios, Smbolo del sistema.
2.
En la lnea de comandos, escriba netsh firewall set portopening TCP 445

ENABLE y pulse Intro.
Tenga en cuenta que abrir un puerto de un firewall puede vulnerar la seguridad. Por
tanto, es preciso que planifique y verifique cuidadosamente cualquier cambio en la
configuracin antes de implementarlo.
d. Windows Firewall (ICF)
Qu es Windows Firewall?
Windows Firewall (anteriormente denominado Internet Connection Firewall o ICF) es
un firewall de filtrado basado en software para Microsoft Windows XP y Microsoft
Windows Server 2003. Windows Firewall proporciona proteccin para las PC que se
encuentran conectados a una red, impidiendo las conexiones entrantes no solicitadas
mediante TCP/IP versin 4 (IPv4) y TCP/IP versin 6 (IPv6). Las opciones de
configuracin son las siguientes:
1.
Habilitacin en una base por interfaz.
2.
Uso de aperturas estticas de puerto.
3.
Configuracin de opciones ICMP bsicas.
4.
Registro de paquetes perdidos y conexiones satisfactorias.
Si desea ms informacin acerca de Windows Firewall para IPv4, consulte

Panormica de Internet Connection Firewall en el sitio web de Microsoft, en la
direccin http://go.microsoft.com/fwlink/?LinkId=20927. El soporte para el filtrado
del trfico IPv6 se aadi con la revisin de IPv6 Windows Firewall en Advanced
Networking Pack para Windows XP. Advanced Networking Pack est disponible a
travs
de
Windows
Update
en
el
http://go.microsoft.com/fwlink/?linkid=18539.
sitio
web
de
Microsoft:
A qu se aplica esta caracterstica?

Esta caracterstica se aplica a:
1.
Todos los ordenadores que estn conectados a una red.
2.
Todas las aplicaciones y servicios que escuchan en la red.
3.
Todas las aplicaciones que no funcionan con filtrado declarado.
Qu nueva funcionalidad se ha aadido a esta caracterstica en Windows

XP Service Pack 2?
Activo por defecto
Por defecto, Windows Firewall est habilitado para todas las interfaces de red, lo que
proporciona ms proteccin en las nuevas instalaciones y actualizaciones de
Windows XP. Tambin se consigue proteger las nuevas conexiones de red segn se
incorporan al sistema. Esta caracterstica se aplica a los trficos IPv4 y IPv6, y est
activo aunque exista otro firewall presente en el sistema.
Anteriormente a Windows XP Service Pack 2, Windows XP tena desactivado Windows
Firewall, lo que obligaba a ejecutar un asistente o navegar a la carpeta Mis sitios de
red para activarlo manualmente. La experiencia se tornaba bastante complicada para
muchos usuarios, lo que provocaba que muchos ordenadores no tuvieran activada
ninguna proteccin firewall.
Al tener Windows Firewall activo de forma predeterminada, el ordenador est ms
protegido ante cualquier ataque a la red. Por ejemplo, de haber estado Windows
Firewall activado por defecto, el impacto del reciente ataque de MSBlaster podra
haber sido mucho menor.
Qu funciona de forma diferente o ha dejado de funcionar?
Tras instalar Windows XP Service Pack 2, Windows Firewall queda activado por
defecto. Esto podra romper la compatibilidad de la aplicacin en caso de que sta no
funcione con el filtrado declarado por defecto. Tambin puede entrar en conflicto con
otros firewalls software y hardware activos.
Cmo soluciono estos problemas?
La modificacin de una aplicacin para que funcione con un firewall de filtrado
declarado se describe con detalle en este documento en la seccin Debo modificar
mi cdigo para trabajar con Windows XP Service Pack 2?.
4. Proteccin de manejo en e-mail
a. Attachment Execution Service (AES)

Qu es Windows Messenger?
Windows Messenger es un programa de mensajera instantnea que permite la
comunicacin en tiempo real con otras personas que utilizan Windows Messenger o
MSN Messenger.
Con Windows Messenger puede:
1.
Crear una lista de contactos de sus amigos, familiares y colaboradores que

tambin utilizan Messenger.
2.
Ver cundo se registran sus contactos en Windows Messenger y si estn

disponibles.
3.
Enviar mensajes de texto de ac para all con sus contactos.
4.
Llamar a un telfono desde casi cualquier parte del mundo por una tasa muy
baja, as como utilizar su micrfono o auricular para hablar.
5.
Llamar al equipo de un contacto.
6.
Llamar gratis al equipo de un contacto y verse mutuamente mientras hablan.
7.
Enviar imgenes, msica o documentos a sus contactos.
8.
Enlazar directamente con la bandeja de entrada de correo electrnico de su

programa de e-mail predeterminado.
9.
Invitar a alguien para que juegue a un juego, buscar un programa en su

equipo o utilizar conjuntamente el tabln.
10. Utilizar la asistencia remota para permitir que alguien le ayude con su equipo.
11. Recibir informacin de ltima hora utilizando las alertas de Microsoft .NET
Alerts.
A quin se aplica esta funcin?
Todos los usuarios de Windows Messenger deben estar al da de los cambios
introducidos en esta funcin en Windows XP Service Pack 2.
Qu nueva funcionalidad se ha aadido a esta funcin en Windows XP
Service Pack 2?
En Windows Messenger se han introducido las siguientes caractersticas a travs de
Windows XP Service Pack 2:
1.
Bloqueo de transferencias inseguras de archivos.
2.
Requiere el nombre de visualizacin del usuario.
3.
Windows Messenger y Windows Firewall.
Bloqueo de transferencias inseguras de archivos

Las transferencias de archivos se bloquean cuando su contenido podra utilizarse
para daar el equipo. Cuando alguien intenta enviarle un archivo, Windows
Messenger primero comprueba si el emisor se encuentra en su lista de contactos. A

continuacin, el archivo pasa por una comprobacin de seguridad.
Los archivos slo se bloquean cuando suceden estas dos cosas:
1.
El emisor no figura en la lista de contactos.
2.
Alguien intenta enviarle un archivo que se considera inseguro.
Normalmente, los archivos con las extensiones .jpg, .txt y .gif se consideran seguros
y puede recibirlos de cualquiera que no se encuentre en su lista de contactos.
Determinados tipos de archivos deben abrirse con cuidado, incluso si conoce al
emisor, porque pueden incluir cdigo ejecutable. Cuando recibe un cierto tipo de
archivo de alguien que figura en su lista de contactos, se le preguntar lo que quiere
hacer con el archivo. Debe aceptar el archivo slo si puede guardarlo en el disco duro
de su equipo para despus pasarle un programa antivirus antes de abrirlo.
Se le interrogar antes de abrir los siguientes tipos de archivos:
1.
Archivos de Microsoft Office, como .doc, .ppt, .xls.
2.
Archivos de otras aplicaciones, como .zip, .wpd y .pdf.
3.
Aplicaciones de ordenador, programas o cualquier archivo que contenga

cdigo software o secuencias de comandos, incluyendo macros, ejecutables y
JavaScript.
4.
Archivos con las siguientes extensiones: .exe, .cmd, .wsh, .bat, .vb, .vbs;
.pif, .scr, .scf.
5.
Otros tipos de archivos.
Si desea una lista completa de los archivos considerados generalmente inseguros,

consulte "Informacin sobre la lista de archivos inseguros en Internet Explorer 6" en
el sitio web de Microsoft, en la direccin http://go.microsoft.com/fwlink/?
LinkId=25999.
Las transferencias de archivos se bloquean cuando su contenido podra utilizarse
para daar el equipo.
Algunas transferencias de archivos sern bloqueadas.
Los archivos slo se bloquean cuando suceden estas dos cosas:
1.
El emisor no figura en la lista de contactos.
2.
Alguien intenta enviarle un archivo que se considera inseguro.
Si sabe que el archivo es seguro, puede agregar el usuario a su lista de contactos, y

todas las transferencias de archivos que reciba de l sern satisfactorias.
Nombre de visualizacin del usuario necesario

Windows Messenger requiere ahora que el nombre de usuario que se visualiza sea
distinto de la direccin de e-mail del usuario.
Este requisito se lleva a cabo cuando el usuario se registra en Windows Messenger y
cuando actualiza su Nombre para mostrar en el cuadro de dilogo Opciones.
Cuando los usuarios se registran en Windows Messenger, se les insta a proporcionar
un nombre para mostrar antes de iniciar la sesin. De no proporcionar ese nombre,
no podrn iniciar la sesin.
Cuando los usuarios actualizan su nombre para mostrar en el cuadro de dilogo
Opciones, Windows Messenger comprueba si los nombres para mostrar coinciden
con sus direcciones de e-mail.
Cuando las conversaciones de mensajera instantnea se guardan para futuras
referencias utilizando la opcin Guardar como del men Archivo, el nombre para
mostrar del usuario se almacena en un archivo de texto, junto con los mensajes de
texto asociados. Las aplicaciones de virus pueden descubrir la direccin de e-mail en
el archivo de texto y utilizarla para propagarse a los contactos del usuario a travs
de esas mismas conversaciones de mensajera instantnea.
Los usuarios no pueden registrarse mientras no proporcionen un nombre para
mostrar.
El usuario debe proporcionar un nombre para mostrar cuando se le inste a ello
durante el registro.
Outlook Express
XP Service Pack 2?
Modo de slo texto
El modo de slo texto de Outlook Express ofrece a los usuarios la posibilidad de
mostrar los mensajes de correo entrantes en texto plano en lugar de en HTML.
Cuando Outlook Express se ejecuta en este modo se emplea el control de edicin
enriquecido en lugar del control MSHTML, lo que evita ciertos problemas de
seguridad derivados del uso de este ltimo.
Por qu es importante este cambio?

El uso del control de edicin enriquecido ofrece una barrera adicional contra el cdigo
malintencionado que se transmite a travs del correo electrnico. Los equipos que
ejecutan versiones antiguas de Windows XP son vulnerables a los programas
malintencionados porque Outlook Express procesa las secuencias de comandos de la
cabecera HTML. El control MSHTML ejecuta automticamente estas secuencias de
comandos, mientras que el control de edicin enriquecido no lo hace. Ya que un
correo electrnico en formato de slo texto no precisa del procesamiento de la
cabecera HTML para visualizarse correctamente, no existe ninguna diferencia visible
debido a este cambio en el procesamiento.
Las siguientes caractersticas no estn disponibles cuando se ejecuta Outlook Express
en modo de texto sin formato:
1.
El cambio del tamao del texto a una fuente mayor o menor.
2.
La bsqueda de texto en el cuerpo de un mensaje de correo.
Es posible configurar el modo de texto sin formato de diversas formas:

3.
Al leer un mensaje
En Outlook Express, seleccione el men Herramientas, haga click en Opciones

y, despus, en la ficha Leer. Active la casilla de verificacin Leer todos los
mensajes en texto sin formato.
4.
Al componer un mensaje
En Outlook Express, seleccione el men Herramientas, haga click en Opciones

y, despus, en la ficha Enviar. En Configuracin de formato de envo de
correo, seleccione la opcin Texto sin formato.
5.
Con una nueva opcin de men
En el men Ver, haga click en Mensaje en HTML.

Este nuevo elemento activa el modo de visualizacin del mensaje en formato
HTML en caso de que est en modo de texto sin formato, tanto para su
previsualizacin como al mostrar todo el mensaje.
Si est seguro de que el origen de un correo electrnico es de confianza y desea
utilizar todo el conjunto de opciones ofrecidas por el control MSHTML para la lectura
o la composicin de un mensaje, puede activar el modo HTML mediante la opcin del
men Ver descripta en la seccin anterior.
No descargar contenido HTML externo
Esta caracterstica de Outlook Express ayuda a los usuarios a evitar la recepcin de
correo spam, no permitiendo la validacin no autorizada de las direcciones de correo
electrnico en los puntos originarios de dicho spam. Las empresas que usan el spam
como tcnica de marketing suelen incluir dentro del mensaje de correo referencias a
imgenes que residen en sus servidores web. Algunos de estos mensajes contienen
una imagen de un pxel de tamao que es invisible para el receptor. Esto hace que
dicha persona no detecte la posible inclusin de cdigo malintencionado dentro de
ese mensaje. Cuando el usuario abre este correo, las versiones anteriores de Outlook
Express contactaban automticamente con el servidor web para descargar y mostrar
esas imgenes. Cuando se reciba esa peticin, el servidor web poda tener la certeza
de que el mensaje haba llegado a una cuenta de correo activa, lo cual validaba dicha
cuenta en la lista de correo originaria del spam. Ahora, cuando est activa la opcin
No descargar contenido HTML externo, el comportamiento predeterminado de
Outlook Express cambia de forma que no contacta con el servidor web para
descargar el contenido externo, lo que evita que el generador del spam verifique la
direccin de correo electrnico. Este comportamiento es configurable y est activo
por defecto al instalar Windows XP Service Pack 2.
Esta caracterstica tambin minimiza un problema comn experimentado por las
personas cuyos equipos utilizan conexiones de red por marcacin. Antes de su
implementacin, si un usuario descargaba sus correos electrnicos y despus
anulaba la conexin, cuando intentaba ver los mensajes HTML que incluian imgenes
o cualquier otro contenido Internet externo, su mdem poda volver a marcar
automticamente para mostrar ese contenido.
Esta caracterstica incrementa la privacidad proporcionada a los usuarios de Outlook
Express, ya que sus direcciones de correo electrnico no se validan sin su
conocimiento por parte del servidor web que origina los spam cuando se abre un
mensaje de este tipo. Las ventajas del uso de estas caractersticas son varias:
1.
El usuario recibe menos spam.
2.
El usuario est menos preocupado por la recepcin de spam.
3.
En la mayora de los casos, los usuarios con conexiones de red por marcacin
no intentan conectar de nuevo de manera automtica tras recibir un correo
electrnico de tipo HTML.

La implementacin de esta caracterstica en Outlook Express evita la visualizacin de
imgenes en correos electrnicos de tipo HTML en el caso de que las mismas deban
recuperarse desde servidores que se encuentran tanto en Internet como en zonas de
contenido web restringido. Este nuevo comportamiento provoca que el nombre del
usuario no sea validado por el sito web que alberga las imgenes, por lo que hay
menos riesgo de que la direccin de correo electrnico del usuario sea empleada por
los generadores de spam. Esto puede provocar que, con el tiempo, el nmero de
correos spam recibidos sea mucho menor.
Para indicar que estas imgenes han desaparecido, ahora existe una barra de
informacin de mensajes externos que aparece tanto en la ventana del mensaje de
Outlook Express como en el rea de previsualizacin. Esta barra de informacin
aparece siempre que el mensaje contiene referencias a contenido Internet externo,
como imgenes o secuencias de comandos, y las opciones estn establecidas para
mostrar el mensaje en formato HTML.
Cuando Outlook Express bloquea el contenido, la imagen se sustituye en el texto por
el marcador estndar destinado a las imgenes bloqueadas. Estos marcadores son
los nicos elementos que pueden dar una pista de que algo no est mostrndose.
Los sonidos, IFrame y otro tipo de contenido, no tienen ninguna representacin
visual en el cuerpo del mensaje. Cuando los usuarios imprimen un correo HTML con
contenido bloqueado, Outlook Express imprime el mensaje como aparece en
pantalla, con un marcador en lugar de las imgenes bloqueadas, por lo que el
contenido externo no se descarga.
Otro beneficio de esta caracterstica es que minimiza un problema comn de los
usuarios durante la marcacin: los intentos automticos y no deseados de conexin a
la red. Cuando se visualiza un mensaje HTML sin estar conectado, las versiones
anteriores de Outlook Express intentaban marcar para conectar a Internet y
recuperar cualquier imagen a la que se hiciera referencia en dicho correo. Sin
embargo, como la mayora de las referencias HTML externas de un correo electrnico
apuntan a recursos que forman parte de la zona Internet, el contenido no se muestra
por defecto y no se realiza ninguna operacin de conexin a la red.
Para desactivar todos los bloqueos de contenido externo, en el men Herramientas,
seleccione Opciones y, despus, haga click en Seguridad. Desactive la casilla de
verificacin Bloquear imgenes y otros contenidos externos en el e-mail
HTML. A partir de entonces, ningn contenido estar bloqueado, por lo que
devolver Outlook Express al comportamiento anterior de descarga automtica de
contenido externo.
Para descargar de manera explcita contenido externo de un mensaje de correo
electrnico, haga click en la barra de informacin de mensajes externos.
5. Seguridad en servicios de Browsing

Esta seccin ofrece informacin detallada acerca de las tecnologas incluidas en
Windows XP Service Pack 2 que garantizan una navegacin web ms segura. Estas
tecnologas estn diseadas para mejorar la seguridad, en comparacin con las
versiones anteriores de Internet Explorer.
a. Mejoras en Download, Attachment, y Authenticode
Mejoras en la descarga, los adjuntos y Authenticode
Qu hacen las mejoras introducidas en la descarga, los adjuntos y
Authenticode?
En Windows XP Service Pack 2, los avisos que se utilizan para la descarga de
archivos, los adjuntos de correo, la ejecucin de procesos de shell y la instalacin de
programas se han modificado para que resulten ms coherentes y claros de lo que
eran en el Service Pack 1 para Windows XP. Adems, Windows XP muestra al usuario
el editor de un archivo ejecutable cuando selecciona archivos ejecutables en Internet
Explorer u Outlook Express.
Hay una nueva interfaz de programacin de aplicaciones (API) que permite a los
desarrolladores de aplicaciones hacer uso de la nueva interfaz de usuario. Si desea
ms informacin respecto a la API, consulte Integracin de la API AES,

anteriormente en este documento.
A quin afecta esta funcin?
Los desarrolladores de aplicaciones podrn llamar al nuevo cuadro de dilogo
Attachment Execution Service (AES) desde sus aplicaciones Windows utilizando
la API que se describe en Integracin de la API AES, anteriormente en este
documento.
Los desarrolladores de aplicaciones tambin deben saber que los archivos
ejecutables sern comprobados al descargarse o adjuntarse por correo electrnico.
Indicador de descarga de archivo IE
Cuando un usuario utiliza Internet Explorer para descargar un archivo, el cuadro de
dilogo que aparece tiene los siguientes cambios:
1.
Se ha aadido un manejador de archivos.
2.
Existe una nueva zona de informacin en la parte inferior del cuadro de dilogo
que ofrece informacin ligeramente diferente, dependiendo de si el tipo de
archivo descargado es de riesgo alto o bajo.
3.
Todos los archivos ejecutables son descargados y comprobados segn la firma

del editor.
Despus de descargar un archivo ejecutable, Internet Explorer muestra la

informacin de edicin del archivo. El cuadro de dilogo Authenticode presenta esta
informacin al usuario, que puede tomar una decisin ms informada acerca de la
ejecucin del archivo. Un archivo ejecutable que no incluye la firma del editor, que
cuenta con un editor errneo o cuyo editor ha sido bloqueado por un administrador
de sistemas, no podr ejecutarse en el ordenador.
Este cambio ofrece coherencia y claridad a la experiencia de la descarga de archivos
y al cdigo del ordenador del usuario. Cuando en un archivo ejecutable se encuentra
una firma, la comprobacin del editor ofrece informacin crucial, as como un mtodo
sistemtico de evitar que archivos ejecutables sospechosos o de editores
desconocidos comprometan la seguridad de un ordenador.
Los archivos ejecutables con firmas errneas o bloqueadas que no se ejecutan.
Puede desbloquear un editor utilizando Manage Add-ons en Internet Explorer.
b. Internet Explorer Add-on Management
Qu son Internet Explorer Add-on Management y Crash Detection?

En Internet Explorer se incluyen dos caractersticas nuevas y estrechamente
relacionadas.
Internet Explorer Add-on Management permite a los usuarios ver y controlar la lista
de complementos que Internet Explorer puede cargar, con ms detalle que antes.
Tambin muestra la presencia de algunos complementos que no se vean antes y que
podran ser muy difciles de detectar.
Internet Explorer Add-on Crash Detection intenta detectar las cadas de Internet
Explorer que estn relacionadas con un complemento. Cuando el complemento est
correctamente identificado, la informacin se presenta al usuario. ste tiene la
opcin de deshabilitar los complementos para diagnosticar la frecuencia de las cadas
y mejorar la estabilidad global de Internet Explorer.
Los usuarios podrn ver, habilitar y deshabilitar los complementos utilizados por
Internet Explorer, e identificar si pueden estar relacionados con sus cadas. Los
administradores pueden implementar una lista de complementos que estn
habilitados o deshabilitados y restringir la posibilidad de que los usuarios los
administren.
XP Service Pack 2?
Internet Explorer Add-on Management
Los usuarios pueden, con ayuda de Internet Explorer Add-on Management, ver y
controlar con ms detalle que antes la lista de complementos que Internet Explorer
puede cargar. Tambin muestra la presencia de algunos complementos que no se
vean antes y que podran ser muy difciles de detectar. Esos complementos podran
ofrecer funcionalidades y servicios no deseados y, en alguos casos, podran suponer
un riesgo para la seguridad.
Por ejemplo, un usuario podra instalar sin darse cuenta un complemento que
registra secretamente toda la actividad web e informa a un servidor central. Antes se
podra haber necesitado software especializado y profundos conocimientos tcnicos
para identificar y eliminar semejante complemento. Internet Explorer Add-on
Management ofrece una forma ms sencilla de detectar y deshabilitar esos
complementos.
Los complementos incluyen:
1.
Objetos de ayuda al navegador.
2.
Controles ActiveX.
3.
Extensiones de la barra de herramientas.
4.
Extensiones del navegador.
Los complementos pueden instalarse desde varias ubicaciones y de diversos modos,

incluyendo:
5.
Descarga e instalacin mientras se visualizan pginas web.
6.
Instalacin por parte del usuario en forma de programa ejecutable.
7.
Como componentes preinstalados del sistema operativo.
8.
Como complementos preinstalados que el sistema operativo incorpora.
Manage Add-ons
Los usuarios pueden habilitar y deshabilitar los complementos de forma individual y
visualizar informacin acerca de la frecuencia con que Internet Explorer los utiliza.
Para ello, siga este procedimiento a fin de abrir Manage Add-ons.
1.
Haga click en Inicio y, despus, en Internet Explorer.
2.
Haga click en Ver y seleccione Manage Add-ons.
Tambin puede abrir Manage Add-ons desde el Panel de control:

3.
Haga click en Inicio y, despus, en Panel de control.
4.
Haga doble click en Opciones de Internet.
5.
Haga click en la ficha Programas y, despus, en Manage Add-ons.
Manage Add-ons tiene varias opciones que permiten cambiar la configuracin de

los complementos.
Puede utilizar Show para controlar la forma de visualizar la lista de complementos.
Tiene dos opciones:
9.
Add-ons currently loaded in Internet Explorer. Esta opcin enumera los

complementos instanciados (o cargados en la memoria) dentro del proceso actual
de Internet Explorer, y los que han sido bloqueados. Esto incluye los controles
ActiveX utilizados por las pginas web visualizadas previamente dentro del
proceso actual.
10. Add-ons that have been used by Internet Explorer. Esta opcin muestra
todos los complementos referenciados por Internet Explorer y que todava estn
instalados.
La lista de complementos muestra todos los complementos instalados de los tipos
mencionados anteriormente. Para activar o desactivar un complemento instalado,
haga click en el complemento en la lista y, despus, haga click en Enable o Disable.
Si hace click en un control ActiveX de la lista y, despus, en Update ActiveX,
Windows busca una actualizacin en la ubicacin donde se localiz el control original.
Si en esa ubicacin se encuentra una versin ms moderna, Internet Explorer intenta
instalar la actualizacin.
La lista de complementos tambin contiene complementos firmados que fueron
bloqueados en la instalacin porque su editor no era de confianza. Si selecciona uno
de esos controles, el usuario puede desbloquear el control haciendo click en Allow.
Hay que tener cuidado al hacer esto, porque la seleccin de Allow elimina el editor
de la lista de desconfianza.
Icono de la barra de estado de complemento bloqueado
En la barra de estado aparece un icono de complemento bloqueado cuando una

pgina web intenta instanciar un control ActiveX que est deshabilitado o bloqueado
porque su editor no es de confianza. Puede hacer doble click en el icono para abrir
Manage Add-ons. El icono de la barra de estado est acompaado por un globo de
texto las cinco primeras veces que aparece.
Globo de texto de notificacin de complemento
Cuando una pgina web intenta instanciar un complemento deshabilitado y
actualmente no hay un icono de complemento bloqueado en la barra de estado,
aparece un mensaje para indicar al usuario que la pgina web actual est solicitando
un complemento que est deshabilitado. El usuario puede hacer click en el mensaje
para obtener ms detalles sobre los complementos bloqueados.
Puede utilizar el Panel de control para suprimir el mensaje. Esta opcin se describe
posteriormente en este documento.
Los datos de los informes de error de Windows han demostrado que los
complementos son la principal causa de los problemas de estabilidad en Internet
Explorer. Esos complementos afectan significativamente a la fiabilidad de Internet
Explorer; adems, representan un riesgo para la seguridad, porque pueden contener
cdigo malintencionado y desconocido.
Muchos usuarios ignoran los complementos que tienen instalados en sus equipos.
Algunos se cargan siempre que Internet Explorer se inicia, pero no pueden
descubrirse a menos que el usuario busque en el registro. Cuando los usuarios
experimentan cadas frecuentes, no hay un mtodo sencillo de diagnosticar si el
problema est relacionado con un complemento. Aunque sospechen que el problema
se debe a un software recientemente instalado, es difcil aislar la causa y, a menudo,
resulta imposible eliminar el problema porque el software no contempla una opcin
de desinstalacin.
Internet Explorer Add-on Management, conjuntamente con Add-on Crash Detection,
ofrece a los usuarios la posibilidad de mejorar la seguridad y la estabilidad de sus
sistemas gracias a la identificacin y la desactivacin de los complementos
problemticos. A los administradores tambin se les proporciona una poderosa
herramienta administrativa para controlar el uso de complementos en su empresa.
Qu no funciona o funciona de forma diferente?
Comportamiento cuando se deshabilitan los complementos
Deshabilitar un complemento no lo elimina del equipo. Slo evita que Internet
Explorer instancie el objeto y ejecute su cdigo. No hay garanta de que el
complemento deshabilitado se cargue alguna vez, dado que un complemento
considerado como deshabilitado por Internet Explorer todava puede ser usado por
otro componente del sistema. El comportamiento desplegado al deshabilitar
diferentes tipos de objetos, vara.
11. Si un control ActiveX est deshabilitado, las pginas web que dependen del
control pueden no funcionar como se esperaba. Se comportan como si el usuario
hubiera desinstalado el control del ordenador y declinara instalarlo. Los usuarios

no son avisados para actualizar los controles que se han deshabilitado.
12. Si un objeto ayudante de navegador es deshabilitado, la funcionalidad que
depende del objeto no est disponible, y no hay indicacin visual de que un
componente est deshabilitado.
13. Si est deshabilitada una extensin de navegador, los botones de la barra de
herramientas y los puntos de entrada del men no se muestran para esa
extensin. Internet Explorer se comporta como si la extensin no estuviera
instalada.
14. Si se deshabilita una extensin de barra de herramientas, sta no aparece en
Internet Explorer. No hay indicacin visual de que la barra de herramientas ha
sido deshabilitada. Internet Explorer se comporta como si la barra de
herramientas no estuviera instalada.
El concepto de un complemento deshabilitado slo se aplica a instancias de Internet
Explorer (Iexplore.exe) y del Explorador de Windows (Explorer.exe). Actualmente,
otros programas basados en componentes de Internet Explorer, tales como el
control WebBrowser, no respetan el estado deshabilitado.
Algunos programas dependen de que una combinacin de mltiples complementos

funcione correctamente, y deshabilitar cualquiera de ellos podra causar problemas. Debe
guardarse precaucin al decidir deshabilitar uno o ms complementos.
c. Internet Explorer Binary Behaviors Security Setting
Qu es Binary Behaviors Security Setting?

Internet Explorer contiene comportamientos binarios dinmicos: componentes que
encapsulan una funcionalidad especfica para los elementos HTML a los que estn
adjuntos. Esos comportamientos binarios no estn controlados por ningn parmetro
de seguridad de Internet Explorer que les permita funcionar en pginas web en la
zona Sitios restringidos. En Windows XP Service Pack 2 hay un nuevo parmetro de
seguridad de Internet Explorer para los comportamientos binarios. Este parmetro
deshabilita de forma predeterminada los comportamientos binarios en la zona Sitios
restringidos. El nuevo parmetro de seguridad de comportamientos binarios
proporciona una mitigacin general de las vulnerabilidades de los comportamientos
binarios de Internet Explorer.
Si desea ms informacin sobre los comportamientos binarios (por ejemplo, cmo
funcionan y cmo implementarlos), consulte Cutting Edge: Binary Behaviors in
Internet Explorer 5.5 en el sitio web de Microsoft, en la direccin
http://go.microsoft.com/fwlink/?LinkId=21862. Los comportamientos binarios, que
estn definidos y compilados en C++, son diferentes de los comportamientos
adjuntos y los comportamientos de elemento, que se definen mediante secuencias de
comandos.
Los desarrolladores cuyas aplicaciones varan la funcionalidad de Internet Explorer en
la zona Sitios Restringidos deben revisar esta caracterstica para pensar si adoptar
cambios en sus aplicaciones. Por ejemplo, deben modificarse las aplicaciones de

correo electrnico que representan e-mail HTML en la zona Sitios Restringidos.
Los usuarios slo pueden verse afectados por aplicaciones que no representan
completamente el contenido HTML con este nuevo parmetro. Estas aplicaciones
normalmente alertarn al usuario de que se ha bloqueado la visualizacin de algn
comportamiento activo. Por ejemplo, cuando Outlook Express se encuentra ante esta
situacin, informa al usuario de que en el correo electrnico tiene contenido activo
restringido.
XP Service Pack 2?
Nueva configuracin de seguridad de Internet Explorer.
En cada una de las zonas de seguridad de Internet Explorer se ha aadido un nuevo
parmetro de accin URL, Binary Behaviors (comportamientos binarios). El valor
predeterminado de este parmetro es Enable (Activar) para todas las zonas,
excepto la zona Sitios restringidos. En esta ltima, el valor predeterminado es
Disable (Desactivar).
Este
nuevo
parmetro
mitiga
los
ataques
en
los
que
se
utilizan
malintencionadamente los comportamientos binarios y permite al usuario controlar el
uso de dichos comportamientos sobre una base por-zona.
Qu ha dejado de funcionar o funciona de otro modo?
Cualquier uso de cualquier comportamiento para la representacin HTML de la zona
Sitios restringidos se bloquea.
Cmo activo estas caractersticas?
Para utilizar los comportamientos binarios desde la zona de sitios restringidos, una
aplicacin tendr que implementar un administrador de seguridad personalizado. (Si
desea ms informacin, consulte la seccin Creacin de un administrador de
seguridad URL personalizado, en Introduccin a las zonas de seguridad URL, del
sitio web de Microsoft: http://go.microsoft.com/fwlink/?LinkId=21863.)
Cuando la accin URL de los comportamientos binarios se ejerce desde un
administrador de seguridad personalizado, la accin URL pasar en una
representacin de cadena de los comportamientos binarios particulares que ese
administrador de seguridad personalizado puede habilitar en funcin de las
necesidades de compatibilidad de la aplicacin. Cuando se ejerce la accin URL, tiene
lugar el siguiente procedimiento:
1.
Llamadas Internet Explorer en un administrador de seguridad personalizado (si

est disponible), utilizando el mtodo ProcessUrlAction con una accin de
URLACTION_BEHAVIOR_RUN.
2.
El parmetro pContext apunta a LPCWSTR, que contiene el comportamiento por

el que est preguntando una poltica. Por ejemplo, #default#time.
3.
Establezca *pPolicy = URLPOLICY_ALLOW para su comportamiento

smartTag, desde su administrador de seguridad personalizado, segn
corresponda.
En ausencia del administrador de seguridad personalizado, la accin predeterminada

es rechazar la ejecucin de comportamientos en la zona restringida.
Ninguna. Slo es un parmetro para activar o desactivar la funcionalidad de los
comportamientos binarios existentes.
Qu parmetros se han aadido o modificado en Windows XP Service Pack
2?
Nombre del
parmetro
Ubicacin
2000
Valor
predeterminado
anterior (si es
aplicable)
Valor
predeterminado
Posibles valores
HKEY LOCAL
Ninguno
MACHINE(or
Current
User)\Softwar
e\Microsoft\In
ternet
Explorer\Main
\Feature
Control\FEATU
RE_BINARY_B
EHAVIOR_LOC
KDOWN
0 (off)
HKEY_CURRE Ninguno
NT_USER
\Software\Mic
rosoft
\Windows\Cur
rentVersion
\Internet
Settings\Zone
s \3\
3 (deshabilitado)
para la zona
restringida; 0
(habilitado) para
todas las dems
zonas
1 (on)
3 (deshabilitado) 0 (habilitado)
La configuracin de los comportamientos binarios tambin puede modificarse

mediante Group Policy como parte de la configuracin de las zonas de seguridad de
Internet Explorer y de las evaluaciones de contenido.
Debo modificar mi cdigo para trabajar con Windows XP Service Pack 2?
Si su cdigo utiliza comportamientos binarios en la zona Sitios restringidos, tendr que

modificar el cdigo implementando un administrador de seguridad personalizado para su
aplicacin. Si desea ms informacin, consulte la seccin Creacin de un administrador
de seguridad URL personalizado, en Introduccin a las zonas de seguridad URL, del

sitio web de Microsoft: http://go.microsoft.com/fwlink/?LinkId=21863.
d. Internet Explorer BindToObject Mitigation
Qu es BindToObject Mitigation?
En Windows XP Service Pack 2, el modelo de seguridad de ActiveX se aplica en todos
los casos en los que se utiliza la vinculacin URL para instanciar e inicializar un
objeto. El modelo de seguridad de ActiveX permite que se marquen los controles
como seguros para las secuencias de comandos y seguros para la inicializacin, y
ofrece a los usuarios la posibilidad de bloquear o permitir controles ActiveX por zona
de seguridad, basndose en estos parmetros. La consecuencia de esto es una
flexibilidad y un control mayores del contenido activo en Internet Explorer.
Los desarrolladores web y los administradores de redes tienen que conocer las
nuevas restricciones para planificar los cambios o alternativas de cualquier posible
impacto en su sitio web.
Los desarrolladores de aplicaciones deben revisar esta caracterstica para planificar la
adopcin de cambios en sus aplicaciones.
Los usuarios podran verse afectados por sitios incompatibles con estas reglas ms
estrictas.
XP Service Pack 2?
Ninguna. Se ha ampliado la funcionalidad de seguridad existente.
Modelo de seguridad de ActiveX aplicado a las inicializaciones de objeto URL
La forma ms efectiva de eliminar las vulnerabilidades de seguridad de ActiveX es
aplicar polticas de seguridad en el origen del enlace URL: URLMON. Un ejemplo
bastante conocido del uso de BindToObject es la declaracin de un control ActiveX
en una pgina HTML utilizando la etiqueta <object> y el atributo CODEBASE. La
misma funcionalidad utiliza cualquier componente que quiera resolver un URL y
recuperar un flujo o un objeto. El modelo de seguridad de ActiveX ahora se aplica a
todas las inicializaciones de objeto con un URL como origen.
En el caso de los controles ActiveX, el modelo de seguridad ActiveX permite que los
controles se marquen como seguros para la escritura de secuencias de comandos o
seguros para la inicializacin, y ofrece a los usuarios la capacidad de bloquear o
permitir los controles ActiveX por zona, basndose en esas configuraciones. En las
versiones anteriores de Windows, este marco de trabajo de seguridad no se aplicaba
en todos los casos en los que la vinculacin URL tena lugar. En su lugar, el cdigo de
llamada era responsable de garantizar la seguridad e integridad del control, lo que a
menudo poda dar como resultado una seguridad vulnerable. Ahora hay ciertas
variaciones malintencionadas que explotan este problema accediendo a travs de
Internet Explorer para comprometer las vulnerabilidades del cdigo de llamada.
Qu no funciona o funciona de forma diferente? Existe alguna dependencia?
El modelo de seguridad ActiveX se aplica a todas las inicializaciones de objeto con un
URL como origen, y la etiqueta Seguro para la inicializacin se aplica a todos los
objetos. Esta mitigacin slo se aplica a los casos en que Internet Explorer resuelve
un URL y lo asigna a un objeto.
Los problemas de compatibilidad de las aplicaciones deben ser mnimos. Las
aplicaciones pueden retractarse si tienen su propio administrador de seguridad. Si
desea ms informacin sobre la retractacin de este modelo de seguridad, consulte
Security Considerations: URL Security Zones API, en el sitio web de Microsoft,
http://go.microsoft.com/fwlink/?LinkId=21814.
2?
Ninguno.
e. Internet Explorer Information Bar
Qu es la barra de informacin?
La barra de informacin de Internet Explorer en Windows XP Service Pack 2
reemplaza muchos de los cuadros de dilogo comunes que se presentan a los
usuarios para su informacin, y proporciona un rea destacada para mostrar
informacin que pueden desear los usuarios, para verla o para actuar sobre ella. Los
ejemplos de cuadros de dilogo que han sido reemplazados por las notificaciones de
la barra de informacin incluyen las instalaciones de ActiveX bloqueados, los popups, las descargas y el contenido activo. La barra de informacin ofrecer
informacin similar al rea de informacin de Outlook 2003, que informa a los
usuarios del contenido bloqueado.

Esta caracterstica se aplica a las siguientes audiencias:
1.
Usuarios que necesitan entender cmo afectar el nuevo comportamiento a su

experiencia de navegacin web.
2.
Administradores de sistemas, que necesitan saber cmo activar o detener esta

funcionalidad en los ordenadores clientes de su empresa.
3.
Diseadores de sitios web que confan en los complementos, que proporcionarn

una experiencia de usuario diferente.
4.
Desarrolladores de aplicaciones basadas en la Web que necesitan entender cmo

cambia su experiencia. Por ejemplo, esto afecta al desarrollo de controles
ActiveX. Los controles ActiveX que son actualizaciones de controles actualmente
instalados en otros ordenadores slo sern tratados como actualizaciones si el
GUID del nuevo control coincide con el GUID actual.
5.
Los desarrolladores de aplicaciones que hospedan el control del navegador web

necesitarn saber cmo utilizar la nueva interfaz de programacin de aplicaciones
(API) para aprovechar esta nueva funcionalidad.

XP Service Pack 2?
Interfaz de usuario de la barra de informacin
La barra de informacin se parece y acta de forma similar al rea de notificacin de
contenido bloqueado de Outlook 2003. Aparece debajo de las barras de herramientas
de Internet Explorer y sobre la vista de la pgina web cuando una notificacin est
presente, y desaparece en la siguiente navegacin. El texto de la barra de
informacin vara, dependiendo de la notificacin proporcionada, y se distribuye en
dos lneas si el texto excede los lmites del rea de notificacin. Por ejemplo, un
mensaje de notificacin comn es Su configuracin de seguridad actual prohbe
ejecutar los controles ActiveX de esta pgina. Por ello, esta pgina puede no
mostrarse correctamente. Si un usuario controla el foco (qu objeto del navegador
puede recibir) usando la tecla Tab, la barra de informacin obtiene el foco despus de
la barra de herramientas y antes de la pgina web.
Haciendo click con el botn izquierdo o derecho en la barra de informacin se
despliega un men referente a la notificacin que se presenta. Este men contiene
siempre un enlace a la Ayuda sobre la barra de informacin, que proporciona
informacin ms detallada sobre la notificacin. Los elementos adicionales del men
relacionados con la notificacin aparecen sobre el elemento Ayuda del men, pero
los elementos del men de la barra de informacin que estn desactivados por el
administrador aparecen degradados.
Los usuarios pueden configurar la barra de informacin para reproducir un sonido
cuando aparece; la configuracin predeterminada es que el sonido est desactivado.
Cuando aparece la barra de informacin, el icono de marca de Windows aparece en
lugar de la notificacin Error en la pgina de la barra de estado.
En ciertos casos puede bloquearse ms de una accin. Por ejemplo, una ventana
pop-up puede bloquearse a la vez que se bloquea la instalacin de un complemento.
En esos casos, el texto se hace ms genrico, y los mens se mezclan para mostrar
cada accin bloqueada en el nivel superior, con los mens de cada accin en un
submen.
Hay una configuracin de zona de seguridad personalizada para la barra de
informacin que permite a los usuarios cambiar los valores de la barra de
informacin por la zona de seguridad. Los usuarios pueden optar por ser notificados
con la barra de informacin o regresar al comportamiento de Windows XP Service
Pack 1 y obtener una notificacin menos destacada para las descargas de cdigos y
archivos.
En Windows XP Service Pack 2, Internet Explorer puede bloquear el contenido
necesario para completar ciertas tareas online. La barra de informacin proporciona
una informacin destacada que informa a los usuarios de cmo obtener pginas web
en las que confan trabajando de nuevo sin el aviso ms llamativo o ms molesto que
se ofreca en Windows XP Service Pack 1.
Para consultar esta informacin, consulte la siguiente seccin, Qu funcionalidad
existente ha cambiado en Windows XP Service Pack 2?.
Indicadores de instalacin de complementos
En Windows XP Service Pack 1, cuando una pgina se refera a un control ActiveX
que no se encontraba en el ordenador, los usuarios eran interrogados acerca de si
queran descargar controles ActiveX. En Windows XP SP2, esto se muestra en la
barra de informacin.
Elemento de la barra de
informacin
Texto del mensaje
Texto de la barra de informacin
To help protect your security,

Internet Explorer stopped this site
from installing software on your
computer. Click here for more
options
Texto breve
Software Install Blocked
Men Opciones
Install Software
Whats the risk?
Los editores de ms confianza trabajarn como lo hacan en Windows XP SP1. Los

controles proporcionados por estos editores se instalan sin necesidad de una
configuracin adicional.
Los editores bloqueados visualizan el icono de la barra de estado. El control
proporcionado por estos editores no se instalar en el ordenador, y no entrar en la
barra de informacin.
Las actualizaciones de complementos funcionan como lo hacan en Windows XP SP1.
Para determinar si el control es una actualizacin, Internet Explorer compara el
certificado que se usaba para firmar el archivo .cab recientemente descargado con el
certificado que se usaba para firmar el servidor actualmente registrado (el archivo
.dll que est registrado en el ordenador local como el servidor del CLSID especificado
en la pgina web). Si el emisor y el sujeto de los certificados son iguales, el control
es considerado una actualizacin. Las actualizaciones muestran el mismo
comportamiento que tenan en XP SP1.
Los indicadores de instalacin de complementos reducen las ocurrencias de usuarios
que instalan cdigo inadvertidamente en su ordenador, bien porque han sido
engaados, bien porque han sido obligados o confundidos por un valor propuesto.
Como los usuarios cuentan con un indicador adicional antes de hacer click en
Instalar, es menos probable que instalen una aplicacin por accidente.
Actualmente, ciertas pginas web confan en que los usuarios instalen cdigo para
funcionar correctamente. Algunos sitios redireccionan al usuario a una pgina
separada que explica cmo instalar el control ActiveX. Si un sitio redirecciona
automticamente la pgina sin proporcionar el control de la nueva pgina, puede
fallar la oportunidad del usuario de instalar el cdigo.
Los autores web deben asegurarse de que el control ActiveX tambin est disponible
en la pgina a la que se redirecciona al usuario, garantizndole que tendr
oportunidad de instalar el control.
Los autores de pginas web no deben sugerir a los usuarios que rebajen sus
configuraciones de seguridad, porque no ayudar en esta situacin.
f.
Internet Explorer Feature Control Security Zone Settings
Qu es Feature Control Security Zone Settings?

Esta caracterstica proporciona una precisin adicional en el control de tres
caractersticas introducidas en Service Pack (SP) 2 para Windows XP, para ayudar a
administrar la compatibilidad de las aplicaciones de intranet organizativas. La
configuracin de la zona de seguridad se aade para el sniffing MIME (en relacin
con la caracterstica MIME Handling), para la elevacin de la zona y para las
restricciones de Windows. Para ms informacin sobre estas caractersticas, lea la

seccin de cada caracterstica ms adelante en este documento.
Los parmetros de registro de Feature Control se proporcionan en Windows XP SP 2
para que pueda configurarse como para usar o no una caracterstica de seguridad
particular. En el ejemplo siguiente, Internet Explorer ha sido configurado para usar la
caracterstica de seguridad Windows Restrictions:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_WINDOWS_RESTRICTIONS
iexplore.exe=1
Una vez que un proceso ha sido configurado para usar una caracterstica de
seguridad, sta se ejecuta y los parmetros de la zona de seguridad quedan
disponibles, si se hallan implementados para esa caracterstica. En la ficha
Seguridad de Opciones de Internet, el usuario puede seleccionar si aplicar o no el
nuevo control de la caracterstica Windows XP SP2. Si selecciona Enable, reduce los
parmetros de seguridad y permite que el comportamiento se ejecute de manera
menos segura, o del mismo modo que en Service Pack 1 para Windows XP. En otras
palabras, en la zona de seguridad de intranet, si est establecido a Enable, Windows
Restrictions no se aplicar (las ventanas funcionan como lo hacan en Windows XP
SP1). Las restricciones de Windows XP SP2 pueden aplicarse de nuevo configurando
la zona de seguridad como Disable.
Por ejemplo, si la caracterstica est activada para Windows Restrictions, esta
caracterstica:
1.
Fuerza la barra de estado activada en las ventanas de Internet Explorer

iniciadas por una secuencia de comandos con la barra de ttulo [las que se
crearon con window.open()].
2.
Constrie el tamao y la posicin de las ventanas de Internet Explorer

iniciadas por una secuencia de comandos con las barras de estado y de ttulo
para asegurar que esas dos barras en esas ventanas siempre estarn visibles
para el usuario.
3.
Constrie las ventanas popup iniciadas por una secuencia de comandos sin
barra de estado o de ttulo u otro marco, para que:
4.
No se extiendan por encima de la parte superior o por debajo de la parte

inferior de la ventana WebOC (Control de objeto web).
5.
Sean de menor altura que la ventana WebOC padre.
6.
Se superpongan horizontalmente a la ventana padre.
7.
Permanezcan con la ventana padre si sta se mueve.
8.
Estn por encima de su ventana padre en el orden z, de modo que otras

ventanas no queden ocultas.
Si la configuracin de seguridad es establecida ms tarde a Enable, habilitar las

ventanas para que se abran sin Windows Restrictions. Para aplicar de nuevo las
restricciones, la configuracin de seguridad de la zona debe establecerse a Disable.
Las acciones deben aplicarse basndose en la zona de seguridad de la que procede el
URL del proceso.
Cada uno de los controles de caracterstica se explican con ms detalle en este
documento. Para ms informacin sobre los indicadores URL Action y cmo se
relacionan con las zonas de seguridad, consulte Acerca de las plantillas de las zonas
de seguridad URL, en el sitio web de Microsoft: http://go.microsoft.com/fwlink/?

LinkId=26001.
Aadir configuraciones de zona de seguridad para una caracterstica permitir a un
usuario o un administrador seleccionar diferentes comportamientos basados en un
riesgo. Por ejemplo, en la zona Internet, http://www.contoso.com tiene aplicada la
caracterstica Windows Restrictions de forma predeterminada. Un elemento de esta
caracterstica activa la barra de estado de las ventanas de Internet Explorer creadas
con el mtodo window.open. Esta caracterstica de seguridad se aadi para evitar
que el usuario suponga que una ventana es de un origen de confianza. Esta
caracterstica de seguridad se desactiva por defecto para http://contoso en la
intranet, en la que el riesgo es menor debido al nivel tpico de seguridad corporativa.
Las aplicaciones de intranet continuarn funcionando como lo hacan en Windows XP
SP1, y no se vern afectadas por problemas de compatibilidad debido a las
restricciones de seguridad adicionales.
Los desarrolladores de aplicaciones web tienen que ser conscientes de que las
nuevas configuraciones de seguridad Windows XP SP2 para el sniffing MIME, los
bloques de elevacin de zona y las restricciones de ventanas pueden ser diferentes,
dependiendo de la zona en que se ejecute la aplicacin.
Los administradores de Group Policy pueden querer ajustar los valores
predeterminados para cada zona con el fin de adaptarse a los entornos particulares
de su organizacin.
A no ser que lo impidan las polticas de Group Policy, los usuarios pueden administrar los valores de estas
configuraciones de zona de seguridad (o acciones URL) para cada zona a travs de las Opciones de Internet
del Panel de control. Observe que la zona Mquina Local no est disponible a travs del Panel de control.
Para acceder a dicha zona, seleccione Inicio, Panel de control, Opciones de Internet, haga click en la
ficha Seguridad, haga click en una zona de seguridad Web y, finalmente, en Personalizar nivel.
g. Internet Explorer Feature Control Settings in Group Policy
Qu hace Feature Control Settings de Internet Explorer en Group Policy?

Windows XP Service Pack 2 introduce unas claves de registro y valores nuevos para
las funciones de seguridad de Internet Explorer denominadas Feature Control. El
comportamiento especfico de esta nueva configuracin de registro se explica con
cada una de las funciones de seguridad a lo largo de esta seccin.
Un archivo Inetres.adm modificado contiene, en forma de polticas, la configuracin
de la nueva funcin. Los administradores pueden administrar las nuevas polticas de
control utilizando los objetos Group Policy (GPO). Cuando Internet Explorer est
instalado, la configuracin de preferencias HKLM predeterminadas para esos
controles de funcin est registrada en el ordenador.
Los administradores de Group Policy pueden configurar uniformemente la
configuracin de Internet Explorer Feature Control para los ordenadores y usuarios
que administran.

Configuraciones de Group Policy en Internet Explorer
Las nuevas polticas de control son:
1.
Binary Behavior Security Restriction.
2.
MK Protocol Security Restriction.
3.
Local Machine Zone Lockdown.
4.
Consistent Mime Handling.
5.
Mime Sniffing Safety Feature.
6.
Object Caching Protection.
7.
Popup Management.
8.
Scripted Window Security Restrictions.
9.
Protection From Zone Elevation.
Los administradores de Group Policy pueden administrar estas nuevas polticas con la
extensin Administrative Templates de Group Policy Object Editor. Al configurar estas
polticas, el administrador puede habilitar o deshabilitar la funcin de seguridad para
los procesos de exploracin (Internet Explorer y Explorador de Windows), para los
procesos ejecutables que definen o para todos los procesos que hospeda el WebOC.
Los usuarios no pueden ver las polticas de control de la funcin o las configuraciones
de las preferencias a travs de la interfaz de usuario de Internet Explorer. Dichas
polticas slo pueden establecerse mediante el Group Policy Object Editor, y las
configuraciones de las preferencias de control de funcin slo pueden modificarse
mediante programa o editando el registro.
Group Policy es la herramienta recomendada para administrar Internet Explorer para
los ordenadores cliente en una red corporativa. Internet Explorer soporta la
administracin de Group Policy para la nueva funcionalidad de Windows XP Service
Pack 2.
Internet Explorer Administration Kit (IEAK) 6 Service Pack 1 es la herramienta
recomendada para los proveedores de soluciones y los desarrolladores de
aplicaciones para personalizar Internet Explorer de cara a sus usuarios finales. (Si
desea ms informacin, consulte Microsoft Internet Explorer 6 Administration Kit
Service
Pack
1
en
el
sitio
web
de
Microsoft,
en
la
direccin
http://go.microsoft.com/fwlink/?LinkId=26002. Los paquetes personalizados que se
generan con IEAK 6 SP1 aplicarn de forma transparente la configuracin de Internet
Explorer sobre Windows XP SP2, pero no instalarn ningn binario. IEAK 6 SP1 no
est soportado para la administracin de escritorio corporativa.
Al aadir las nuevas polticas Internet Explorer Feature Control a Group Policy, los
administradores pueden administrar esas polticas para establecer configuraciones de
seguridad estndar para todos los ordenadores que configuren.

Windows XP Service Pack 2 aade polticas nuevas a Group Policy, pero no cambia la forma de
administrarlas.
h. Internet Explorer Pop-up Blocker
Qu es Pop-up Manager?
Pop-up Manager bloquea la visualizacin de las ventanas pop-up no deseadas. Las
ventanas que se abren cuando el usuario final hace click en un vnculo no se
bloquean.
Los usuarios finales y los administradores de IT pueden permitir que dominios
especficos abran ventanas pop-up mediante programacin. Los desarrolladores
podrn utilizar o extender la funcionalidad pop-up en Internet Explorer para las
aplicaciones que hospedan Internet Explorer.
A los usuarios finales les resultar menos molesta la navegacin por la Web, porque
ya no se abrirn automticamente las ventanas pop-up.
Para los desarrolladores web, Pop-up Manager afecta al comportamiento de las
ventanas abiertas por los sitios web, por ejemplo, utilizando los mtodos
window.open() y showHelp().
Para los desarrolladores de aplicaciones, hay una nueva interfaz de usuario
denominada InewWindowManager.
Las aplicaciones que utilizan el motor de representacin en Internet Explorer para

visualizar HTML pueden elegir utilizar o extender la funcionalidad de Pop-up Manager.
XP Service Pack 2?
Pop-up Manager es una caracterstica nueva de Internet Explorer que se puede
dividir en tres secciones:
1.
Cambios en la experiencia del usuario, los valores predeterminados y las

opciones avanzadas.
2.
Cambios en el comportamiento de las interfaces actuales de programacin de

aplicaciones (API), como window.open y showHelp.
3.
La nueva interfaz INewWindowManager que permite a las aplicaciones

utilizar la tecnologa pop-up en Internet Explorer.
Caractersticas de Pop-up Manager

Valores predeterminados
Pop-up Manager est desactivada de forma predeterminada. Hay restricciones en el
tamao y la posicin de las ventanas pop-up, independientemente de la
configuracin de Pop-up Manager: las ventanas pop-up no pueden abrirse con un
tamao mayor que el rea de escritorio visible. Si desea ms informacin, consulte
Restricciones en las ventanas, en este mismo documento.
Cuando esta funcionalidad est activada, se bloquean las ventanas pop-up
automticas y de fondo, pero las ventanas que se abren como resultado de un click
del usuario siguen abiertas como siempre. Los sitios de las zonas Sitios de confianza
e Intranet local nunca tienen bloqueadas sus ventanas pop-up, pues se consideran
seguras. Esto puede configurarse en la ficha Seguridad del cuadro de dilogo
Opciones de Internet.
Activacin de Pop-up Manager
Puede activar Pop-up Manager de tres formas diferentes.
Peticin de datos en la primera ocurrencia.
Un indicador aparece antes de que se abra la primera ventana pop-up,

preguntando al cliente si desea activar Pop-up Manager.
El men Herramientas.
En Internet Explorer, en el men Herramientas, haga click en Popup Manager y, despus, en Block Pop-up Windows.
Opciones de Internet.
En Internet Explorer, en el men Herramientas, seleccione

Opciones de Internet, haga click en la ficha Privacidad y, despus,
en Block pop-up windows. A continuacin ya puede hacer click en
Opciones para configurar Pop-up Manager.
Cundo se bloquea una ventana pop-up?
Si un sitio abre una ventana pop-up que est bloqueada por Internet Explorer,
aparece una notificacin en la barra de estado y se emite un sonido. Si hace click en
la notificacin de la barra de estado, ver un men con las siguientes opciones:
1.
Show Blocked Pop-up Window. Vuelve a cargar la ventana pop-up.
2.
Allow Pop-up Windows from This Site. Aade el sitio actual a la lista de
sitios permitidos.
3.
Block Pop-up Windows. Activa/desactiva Pop-up Manager.
4.
Pop-up Window Options. Abre la ventana Pop-up Window

Management.
Opciones avanzadas
Internet Explorer ofrece una configuracin avanzada para Pop-up Manager.
1.
Lista de sitios web permitidos
Puede aadir sitios a la lista Allow. Cualquier sitio de esta lista puede abrir
ventanas pop-up.
2.
Bloquear todas las ventanas pop-up
Pop-up Manager permite que los sitios abran ventanas pop-up cuando el usuario
hace click en un vnculo. Esta configuracin modifica el comportamiento
bloqueando las ventanas que estn abiertas a partir de un vnculo. Si est
activada esta configuracin, puede permitir la apertura de ventanas pop-up
pulsando la tecla ALT al mismo tiempo que hace click en el vnculo.
3.
Accin de una tecla
Cuando Block All Pop-up Windows est activada, puede permitir la apertura de
ventanas pop-up pulsando la tecla ALT al mismo tiempo que hace click en el
vnculo.
4.
Configuracin del sonido
Puede activar o desactivar la reproduccin de un sonido por parte de Pop-up

Manager cuando una ventana pop-up est bloqueada por la configuracin
avanzada de Opciones de Internet. Tambin puede cambiar el sonido que se
reproduce. Para ello, seleccione Inicio, Panel de control y haga doble click en
el icono Sonidos y dispositivos de audio.
5.
Zonas
Los clientes pueden ampliar el mbito de Pop-up Manager para incluir las zonas
Intranet local o Sitios de confianza en la ficha Seguridad de Opciones de
Internet.
Cundo vern los usuarios ventanas pop-up estando activada la caracterstica Pop-up Manager?
Los clientes seguirn viendo abiertas las ventanas pop-up en los siguientes casos:
1.
Ventana pop-up abierta por un click del usuario en en vnculo.
2.
Ventana pop-up abierta por el software que se est ejecutando en el

ordenador.
3.
Ventana pop-up abierta por controles ActiveX instanciados por un sitio web.
4.
Ventana pop-up abierta a partir de las zonas Sitios de confianza o Intranet

local.

Las ventanas pop-up se han empleado mal de muchas formas. Al bloquear las pop-ups, la Web es ms
segura para nuestros usuarios finales, y el cliente tiene ms control sobre su experiencia de navegacin.
i.
Internet Explorer Untrusted Publishers Mitigations
Qu es Untrusted Publishers Mitigations?

Esta caracterstica permite al usuario bloquear todo el contenido firmado por un
editor en particular sin que se abra el cuadro de dilogo Authenticode. Esto impide
que se instale el cdigo del editor bloqueado. Esta funcin tambin bloquea la
instalacin de cdigo con firmas no vlidas.
Esta caracterstica se aplica a todos los usuarios, en relacin con la instalacin y
ejecucin de aplicaciones firmadas.
XP Service Pack 2?
Editor bloqueado
Mediante Authenticode, el usuario puede evitar que cierto tipo de contenido sea
instalado o ejecutado. Para ello, es preciso seleccionar la casilla de verificacin
Never trust content from NombreEditor del cuadro de dilogo Authenticode. Si
est activada, el usuario nunca ser interrogado cuando el cdigo que est
identificado con la firma digital del emisor intente autoinstalarse en el sistema, sino
que ser bloqueado automticamente sin mostrar el cuadro de dilogo Authenticode.
Esta caracterstica fue diseada para ayudar a los usuarios a bloquear controles
ActiveX y otros formatos de archivo firmados para que no fueran preguntados
repetidamente por los mismos. Los usuarios no tenan posibilidad de decir: No
quiero nada de ese emisor. No me pregunte ms. Debido a esto, no resultaba
extraa la instalacin de aplicaciones o contenido slo para evitar esas molestas y
repetidas preguntas.
Anteriormente, el cuadro de dilogo Authenticode slo soportaba la seleccin de la
casilla de verificacin Always trust content from Editor, lo que permita la
instalacin automtica de cdigo procedente de un determinado emisor sin preguntar
al usuario. Ahora, es posible la accin contraria y designar un editor como poco
fiable. No deberan surgir problemas de compatibilidad en el cdigo fiable.

No es aplicable.
Bloqueo de firmas errneas
Por defecto, Windows bloquea la instalacin del cdigo firmado si tiene una firma
digital errnea.
Si el cdigo tiene una firma incorrecta, suele significar que ha sido modificado desde
que fue acreditado. Cuando sucede esto, Internet Explorer considera que ese cdigo
no est firmado, ya que cualquiera podra haberlo manipulado. Por defecto, Internet
Explorer bloquea las aplicaciones ActiveX no firmadas que proceden de la zona
Internet. Esta funcionalidad se extiende tambin a todo el cdigo con firmas
incorrectas.
Por defecto, el cdigo con firmas errneas no puede instalarse.
Para recuperar la funcionalidad anterior y permitir la ejecucin de cdigo no firmado,
consulte el parmetro RunInvalidSignatures en la seccin Qu parmetros se han
aadido o modificado en Windows XP Service Pack 2? siguiente.
Un indicador por control por pgina
Internet Explorer slo pide datos una vez por control ActiveX por pgina.
Mitiga el truco de interrogar al usuario varias veces por el mismo control. Aunque los
usuarios lo rechacen repetidamente, no pueden salirse del bucle, y podran llegar a
aceptar la instalacin por aburrimiento ante semejante situacin.
El usuario slo ve un indicador de datos por pgina y por control.
j.
Internet Explorer Window Restrictions
Qu es Window Restrictions?
Internet Explorer ofrece la capacidad de que, mediante secuencias de comandos, se
abran ventanas adicionales de diversos tipos, y que se redimensionen y reubiquen
las que ya existen. La caracterstica de seguridad Window Restrictions, denominada
anteriormente UI Spoofing Mitigation, restringe dos tipos de secuencias de comandos
de iniciacin de ventanas que han sido empleadas por personas malintencionadas
para burlar a los usuarios: las ventanas pop-up (que no disponen de componentes
como la barra de direccin, la barra de ttulo, la barra de estado y las barras de
herramientas) y las ventanas que incluyen las barras de ttulo y de estado.
Los desarrolladores web deben estar al tanto de las nuevas restricciones para
planificar los cambios o las alternativas al posible impacto en sus sitios web.
Los desarrolladores de aplicaciones deben revisar esta funcin para planificar la
adopcin de cambios en sus aplicaciones. Esta funcin slo se habilita de forma
predeterminada para los procesos de Internet Explorer. Los desarrolladores deben
registrar las aplicaciones que no son de Internet Explorer para beneficiarse de los
cambios.
XP Service Pack 2?
Ninguna.
Reposicionamiento de las ventanas de Internet Explorer mediante secuencias de
comandos
Las ventanas iniciadas mediante secuencias de comandos y con las barras de ttulo y
estado quedan restringidas en movimiento por la secuencia de comandos, para
garantizar que esas barras informativas e importantes permanecen visibles una vez
completada la operacin.
1.
Las secuencias de comandos no pueden posicionar las ventanas de modo que

las barras de ttulo o de direccin queden por encima de la parte superior
visible de la pantalla.
2.
Las secuencias de comandos no pueden posicionar ventanas de modo que la

barra de estado quede por debajo de la parte inferior visible de la pantalla.

Sin este cambio, las ventanas creadas con el mtodo window.open() pueden ser
invocadas por secuencias de comandos para husmear una interfaz de usuario o un
escritorio, ocultar informacin malintencionada o activarse mediante uno de estos
tres mtodos:
1.
Posicionar la ventana para que la barra de ttulo, la de estado o la de

direccin quede fuera de la pantalla.
2.
Posicionar la ventana para ocultarle al usuario elementos importantes de la

interfaz.
3.
Posicionar la ventana de modo que est completamente fuera de la pantalla.
Las caractersticas de seguridad visibles de las ventanas de Internet Explorer ofrecen

informacin al usuario para ayudarle a determinar el origen de la pgina web y la
seguridad de la comunicacin que dicha pgina utiliza. Cuando estos elementos
estn ocultos, el usuario podra pensar que se encuentra en una pgina fiable o que
est interactuando con un proceso del sistema, cuando en realidad est tratando con
un host con malas intenciones. El uso malintencionado de la reubicacin de una
ventana puede presentar informacin falsa al usuario, ocultar datos importantes o
husmear en elementos delicados de la interfaz del usuario en un intento de
obligarle a emprender acciones inseguras o divulgar informacin sensible.
Este cambio impone restricciones en el posicionamiento de las ventanas iniciadas
mediante una secuencia de comandos con una barra de ttulo y otra de estado, para
garantizar que las barras de ttulo y estado de esas ventanas sean siempre visibles al
usuario. Las secuencias de comandos no dejan mover ventanas fuera de la pantalla,
aunque el usuario todava puede mover una ventana fuera de la pantalla. Si
mantiene una secuencia de comandos que crea ventanas que salen de la pantalla en
Internet Explorer, tiene que modificar el cdigo.
Si su secuencia de comandos crea o mueve una ventana fuera de la pantalla, debe
examinar este requisito y seleccionar otra forma de conseguir su objetivo. No puede
ignorar o deshabilitar esta funcin de seguridad.
Redimensionamiento de las ventanas de Internet Explorer mediante
secuencias de comandos
Las ventanas iniciadas mediante secuencias de comandos que incluyen una barra de
ttulo y una barra de estado tienen restringido el redimensionamiento mediante
secuencia de comandos para garantizar que las barras de ttulo y estado siguen
visibles una vez completada la operacin.
1.
Las secuencias de comandos no pueden redimensionar las ventanas de modo

que no puedan verse las barras de ttulo, direccin o estado.
2.
Una vez creada una ventana, la definicin de la especificacin

fullscreen=yes cambia para que signifique visualizar la ventana como
maximizada, de modo que se mantendrn visibles las barras de ttulo,
direccin o estado.

Sin este cambio, las ventanas creadas con el mtodo window.open() pueden ser
invocadas por secuencias de comandos para husmear una interfaz de usuario o un
escritorio, ocultar informacin malintencionada o activarse al redimensionar la
ventana para que la barra de estado no est visible.
Las ventanas de Internet Explorer ofrecen al usuario informacin de seguridad visible
para ayudarle a determinar el origen de la pgina web y la seguridad de la
comunicacin con esa pgina. Cuando estos elementos no estn visibles, el usuario
podra pensar que se encuentra en una pgina fiable o estar interactuando con un
proceso del sistema, cuando en realidad est tratando con un host malintencionado.
El uso malintencionado del redimensionamiento de una ventana puede ocultar
informacin importante relacionada con la seguridad, o husmear en elementos
delicados de la interfaz del usuario en un intento de obligarle a emprender acciones
inseguras o divulgar informacin sensible.
Con este cambio, hay restricciones en el tamao de las ventanas iniciadas por
secuencias de comandos para garantizar que las barras de ttulo y estado de esas
ventanas siempre son visibles al usuario. El resultado es que una secuencia de
comandos no puede abrir una ventana en modo kiosk, un modo que no visualiza las
barras de ttulo, de direccin y de estado, que presentan informacin importante
sobre seguridad para el usuario.
El usuario puede seleccionar la visualizacin de una ventana en modo kiosk. Esta
eleccin todava es persistente.
Las ventanas iniciadas mediante una secuencia de comandos se visualizarn

completamente, con las barras de ttulo y de estado de Internet Explorer. El usuario o el
administrador del sitio puede modificar manualmente este estado.
6. Mantenimiento de Desktop
a. Filter for Add or Remove Programs
Qu es Filter for Add or Remove Programs?

El filtro para Agregar o quitar programas (Add or Remove Programs) permite a
los usuarios visualizar slo las actualizaciones de los programas que estn instalados
en el ordenador, en lugar de combinar una lista de actualizaciones y programas
instalados.
Cualquier usuario con credenciales de administrador puede utilizar Add or Remove
Programs en su ordenador local. Aunque algunas aplicaciones las pueden instalar o
eliminar usuarios que no son administradores, la mayora requieren credenciales
administrativas.
Filtrado de actualizaciones de la lista Change or Remove Programs
La lista Change or Remove Programs de Add or Remove Programs muestra los
programas instalados que el usuario puede cambiar o eliminar. Esta lista tambin
muestra las actualizaciones de Windows u otros programas que han sido instalados.
En Windows XP Service Pack 2 (SP2), el usuario puede decidir si mostrar u ocultar
Windows y otras actualizaciones de programas en esta vista. Aparece una casilla de
verificacin nueva, Show updates, encima de la lista, que permite al usuario
cambiar entre mostrar u ocultar las actualizaciones instaladas.
Los fabricantes de software estn creando ms actualizaciones de software y con
mayor frecuencia que antes. Esa frecuencia en las actualizaciones aumenta la
fiabilidad y la seguridad de los sistemas de los usuarios. Sin embargo, si se
visualizaran todas las actualizaciones en la lista Change or Remove Programs de
Add or Remove Programs, la lista de programas instalados se vera abrumada por
la lista de actualizaciones instaladas. Una opcin nueva que filtra las actualizaciones
de la lista y slo muestra los programas instalados facilita su lectura a los usuarios.
Qu funciona de forma diferente o ha dejado de funcionar? Existe alguna
dependencia?
Por defecto, Change and Remove Programs no mostrar las actualizaciones
instaladas para Windows. Para ver esas actualizaciones, active la casilla de
verificacin Show Updates situada en la parte superior de la lista.
Cualquier programa puede beneficiarse de esta funcin marcando sus actualizaciones

de modo que se oculten cuando corresponda. Los programas de Windows que se
escribieron antes de la aparicin de Windows XP Service Pack 2 se visualizarn
independientemente de la seleccin de la opcin de filtro.
Para que en un ordenador no est disponible la funcin de filtrado, siga este
procedimiento:
1.
Abra el Editor de Registro.

Para ello, haga click en Inicio, Ejecutar, escriba regedit y pulse Intro.
2.
Localice
\\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policie
s\Uninstall
3.
Seleccione la clave DontGroupPatches. Por defecto, el valor DWORD es igual

a 0.
4.
Cambie el valor de DWORD a 1 para deshabilitar la funcin de filtrado.
En un entorno corporativo, puede crear un objeto Group Policy para modificar la

configuracin del registro que controla la funcin de filtrado, a fin de que el panel de
control Agregar o quitar programas funcione igual que con el Service Pack 1 para
Windows XP.
2?
Nombre del
parmetro
Ubicacin
DontGroupPa
tches
HKEY_LOCAL_MACHINE\Soft
ware\
Microsoft\Windows\Curre
ntVersion\
Valor predeterminado Valor

anterior (si es
predeterminado
aplicable)
Posibles
valores
DontGroupPatches = DontGroupPa
REG_DWORD:0
tches =
REG_DWORD:1
Policies\Uninstall

Los programas no tienen que cambiar para seguir funcionando con Agregar o
quitar programas en Windows XP Service Pack 2. Si un programa no se modifica
para utilizar la nueva funcin, seguir funcionando como con Service Pack 1.
Un programa puede beneficiarse de la nueva opcin de filtrado marcando sus
actualizaciones de modo que no se muestren por defecto. Los detalles de cmo
marcar programas y actualizaciones estarn disponible en MSN un poco ms
adelante.
b. Microsoft Windows Update Services and Automatic Updates
Qu son Windows Update Services y Automatic Updates?

Windows Update Services (anteriormente Software Update Services) permite a los
administradores afinar y automatizar el proceso de implantacin de actualizaciones
crticas en los ordenadores cliente que ejecutan Microsoft Windows XP Professional o
Microsoft Windows 2000 Professional, as como en los ordenadores con
Windows 2000 Server y Windows Server 2003.
Windows Update Services incluye los siguientes componentes:
1.
Windows Update. Es el sitio web de Microsoft que incluye todas las

actualizaciones de Microsoft disponibles, por producto o tipo de actualizacin.
Los cambios introducidos en Windows Update se describen posteriormente en
este documento.
2.
Microsoft Software Update Services. Es el componente de servidor

Windows Update Services para la administracin y distribucin de
actualizaciones.
3.
Automatic Updates. Es el componente cliente para que los ordenadores

puedan conectar directamente con Windows Update o con un servidor que
ejecuta Windows Update Services para recibir las actualizaciones. El
componente Automatic Updates est incluido en Windows 2000 Service
Pack 3 y versiones posteriores, Windows XP y versiones posteriores, y
Windows Server 2003.
El resto de esta seccin describe Automatic Updates en Windows XP Service Pack 2.

Automatic Updates conecta peridicamente con Internet o con un servidor Windows
Update Services de la red corporativa. Una vez que descubre nuevas actualizaciones
aplicables al ordenador, Automatic Updates puede configurarse para instalar
automticamente todas las actualizaciones (lo ms recomendable) o para notificar al
administrador del ordenador o a los usuarios cuyos ordenadores estn configurados
para recibir notificacin. Una vez que el administrador selecciona las actualizaciones
que deben descargarse, Automatic Updates descarga e instala esas actualizaciones.
Todos los usuarios y administradores de
Windows 2000 Server y versiones posteriores.
ordenadores
con
Windows XP

XP Service Pack 2?
Soporte para aplicaciones y controladores de hardware
La ltima versin de Automatic Updates ofrece soporte extendido para los productos
de Microsoft, incluyendo Microsoft Office, Microsoft SQL Server y Microsoft Exchange.
Tambin proporciona la distribucin y actualizacin de controladores hardware.
Qu amenazas mitiga?
En el pasado, Automatic Updates slo poda distribuir actualizaciones crticas para el
sistema operativo Windows. Esta versin permite la actualizacin de aplicaciones y
controladores, adems del sistema operativo. A menudo, el mantenimiento
actualizado de las aplicaciones y los controladores con las ltimas actualizaciones de
seguridad reduce la superficie de ataque y la exposicin a vulnerabilidades de
seguridad menos conocidas.
Nada.
Soporte para categoras adicionales de actualizacin
Las versiones anteriores de Automatic Updates slo permitan la distribucin e
instalacin de actualizaciones crticas. Esta versin incluye soporte para las
siguientes categoras:
1.
Actualizaciones de seguridad.
2.
Actualizaciones crticas.
3.
Actualizaciones roll-ups.
4.
Paquetes de servicio.
Los clientes que utilizan un servidor Windows Update Services basado en intranet
pueden tener disponibles tipos adicionales de actualizaciones. Si desea ms
informacin sobre las categoras de actualizaciones, incluyendo las actualizaciones
crticas, consulte Acerca de Windows Update en el sitio web de Windows Update:
http://go.microsoft.com/fwlink/?linkid=17289.
Al aadir soporte para una amplia variedad de actualizaciones, particularmente
actualizaciones de seguridad, Automatic Updates hace que el proceso de mantener
los ordenadores actualizados y seguros sea ms fiable y sencillo.
Qu amenazas mitiga?
Anteriormente, Microsoft distribuy varias actualizaciones recomendadas que no se
consideraron crticas, por lo que no se instalaban automticamente. Los usuarios
tenan que conectar con el sitio de Windows Update e instalarlas manualmente.
Como el proceso era manual, caba la posibilidad de que los usuarios no instalaran
actualizaciones en el momento oportuno, quedando sus ordenadores expuestos a
posibles ataques. Este cambio permite que las categoras nuevas se instalen
automticamente, de forma similar a las actualizaciones crticas.
c.
Mejora en Resultant Set of Policy
Qu es Resultant Set of Policy?

Group Policy Resultant Set of Policy (RSoP) informa de la configuracin de Group
Policy aplicada a un usuario u ordenador. Group Policy Results, una Consola de
administracin de Group Policy (GPMC), solicita los datos de RSoP relacionados con
un ordenador y los presenta en forma de informe HTML. Group Policy Modeling
solicita el mismo tipo de informacin, pero en relacin a un servicio que devuelve
una simulacin de RSoP para una combinacin de ordenador y usuario. Esta
simulacin se lleva a cabo en un controlador de dominio que ejecuta Windows
Server 2003 y entonces es devuelta al ordenador que ejecuta GPMC para su
presentacin. Por ltimo, el snap-in de la Consola de administracin de Microsoft
(MMC) RSoP proporciona una forma alternativa de visualizar esta informacin,
aunque lo ms recomendable es Group Policy Results.
A los administradores de Group Policy en un entorno de dominio Active Directory.
Adems, un profesional de IT que debe planificar o validar la aplicacin de Group
Policy puede estar interesado en RSoP.
Uso de RSoP Windows Firewall habilitado
En Windows XP Service Pack 2, Windows Firewall est habilitado de forma
predeterminada. Las solicitudes entrantes contra puertos cerrados (en oposicin a las
respuestas a las peticiones originadas desde el ordenador) son bloqueadas por
Windows Firewall. Esto afecta al uso de RSoP a travs de la red.
Si desea ms informacin sobre Windows Firewall, consulte la seccin Windows
Firewall de este documento.
En la seccin dedicada a Windows Firewall se habla de las razones del cambio y de
las amenazas que mitiga.
Qu funciona de forma diferente o ha dejado de funcionar? Existe alguna
dependencia?
En Windows XP Service Pack 2 se han introducido dos cambios importantes en RSoP:
1.
El acceso remoto a los datos RSoP desde un ordenador con Windows XP

Service Pack 2 ya no funciona una vez que se ha instalado Windows Firewall
en el ordenador de destino.
2.
Si Windows Firewall est habilitado, un ordenador con Windows XP Service

Pack 2 en el que se est ejecutando GPMC (con el propsito de utilizar Group
Policy Results o Group Policy Modeling para recuperar los datos de RSoP) ser
incapaz de recuperar esos datos.
La siguiente tabla resume los cambios necesarios para tener un soporte completo
remoto de RSoP cuando se est ejecutando Windows XP Service Pack 2. En las notas
que aparecen a continuacin encontrar ms detalles.
Cambio requerido
XP SP2 en
XP SP2 en ordenador
ordenador
de destino
administrativo
Habilitar la configuracin de
No se precisa
poltica de definir puertos abiertos cambio
personalizados
Se requiere (puertos
135 y 3001)
Habilitar la configuracin de
poltica para permitir la
comparticin de archivos e
impresoras
Se requiere
No se precisa
cambio
Administrar la autenticacin DCOM No se precisa

cambio
Se requiere (para RSoP

delegado)
Instalar GPMC con Service Pack 1
No se precisa cambio
Se requiere
Habilitar la configuracin de la poltica Definir los puertos abiertos personalizados.

El ordenador objetivo debe escuchar en los puertos de red apropiados para
asegurarse de que las solicitudes entrantes RSoP puedan servirse. Esto puede
administrarse a travs de Group Policy usando la siguiente configuracin de poltica:
Computer Configuration\Administrative Templates\Network\Network
Connections\Windows Firewall\[Domain | Mobile] Profile\Define Custom Open
Ports
Los puertos 135 y 3001 deben abrirse para soportar el RsoP remoto.
Debe ser consciente de que habilitar esta configuracin de poltica puede permitir
tambin que se acepten datos no deseados en esos puertos. Asegrese de revisar
completamente esta configuracin de poltica antes de habilitarla en su entorno.
Configuracin de la poltica Definir si permitir la comparticin de archivos e
impresoras.
Esta configuracin de poltica debe habilitarse tambin en el ordenador objetivo al
usar RsoP remoto. La configuracin de poltica se encuentra en:
Computer Configuration\Administrative Templates\Network\Network
Connections\Windows Firewall\[Domain | Mobile] Profile\Allow File And Print
Sharing
Administrar la autenticacin de DCOM.
Por defecto, Group Policy Results y el snap in de RSoP slo pueden utilizarse
remotamente cuando la persona que origina la solicitud es un administrador local del
ordenador objetivo. Comenzando por Windows Server 2003, hay un modelo de
delegacin disponible que permite delegar este derecho a usuarios que no son
administradores del ordenador objetivo. Esta situacin se da cuando el personal de la

oficina requiere acceso a los ordenadores sin ser sus administradores.
En Windows XP Service Pack 2, el modelo de seguridad en torno a la autenticacin
de DCOM (de la que depende RSoP) ha sido fortalecida. Incluso si la delegacin de
RSoP se ha configurado correctamente, este fortalecimiento evitar que los usuarios
que no son administradores locales extraigan informacin RsoP de un ordenador
objetivo. Observe que este tema no tiene impacto en Group Policy Modeling, ya que
la solicitud simulada de datos de RSoP se hace contra un controlador de dominio que
ejecuta Windows Server 2003, que, por definicin, no ejecuta Windows XP.
Windows XP Service Pack 2 ofrece un mtodo de administrar los usuarios y los
grupos asociados con la autenticacin DCOM. Esta lista puede administrarse a travs
de Group Policy. Para permitir el uso continuado de RsoP delegado, los usuarios a los
que quiera garantizar este derecho deben tener tambin acceso a travs del modelo
de autenticacin DCOM.
La autenticacin de administracin de DCOM a travs de Group Policy no est
implementada en la versin beta de Windows XP Service Pack 2 y, as, la delegacin
remota de RSoP no est disponible en esta edicin.
Para ms informacin sobre los cambios de seguridad introducidos en DCOM por
Windows XP Service Pack 2, consulte DCOM, anteriormente en este documento.
Instalar GPMC con Service Pack 1
La versin inicial de GPMC usaba un mecanismo de acuse de recibo cuando esperaba
los resultados de una solicitud de Group Policy Results o Modeling. El ordenador
administrativo debe estar escuchando esa respuesta. Puesto que Windows Firewall
est habilitado, Windows XP Service Pack 2 bloquea esas respuestas. Aunque abrir
los puertos adecuados puede solucionar este problema, GPMC con Service Pack 1
elimina completamente el uso del mecanismo de acuse de recibo. Le recomendamos
que instale GPMC con Service Pack 1, porque esto permite a Group Policy Results y
Modeling continuar trabajando sin abrir puertos en el ordenador administrativo. Para
instalar GPMC con Service Pack 1, consulte Microsoft Download Center en
http://go.microsoft.com/fwlink/?LinkId=23529.
d. Security Center
Security Center es un nuevo servicio de Windows XP Service Pack 2 que
proporciona una localizacin central para la configuracin de seguridad
recomendada por Microsoft, aprendiendo ms acerca de la misma y garantizando
que el ordenador del usuario est actualizado. Puede utilizar Security Center
haciendo doble click en el icono Security Center del Panel de control.
Qu es Security Center?
El servicio Security Center se ejecuta como un proceso de fondo y comprueba el
estado de los siguientes componentes en el ordenador del usuario:
1.
Firewall
Security Center comprueba si Windows Firewall est activado o no. Tambin

comprueba la presencia de otros firewalls software preguntando por
proveedores especficos de WMI ofrecidos por distribuidores o fabricantes
participantes.
2.
Proteccin contra virus
Security Center comprueba la presencia de programas antivirus efectuando

consultas sobre proveedores de WMI especficos ofrecidos por fabricantes
participantes. Si la informacin est disponible, el servicio Security Center
determina tambin si el software est actualizado y si est activado el
escaneo en tiempo real.
3.
Actualizaciones automticas
Security Center hace comprobaciones para asegurarse de que Automatic

Updates est en configuracin automtica, lo que descarga e instala
automticamente las actualizaciones crticas para el ordenador del usuario. Si
la caracterstica Automatic Updates est desactivada o no tiene establecida la
configuracin recomendada, Security Center proporciona las recomendaciones
adecuadas.
Si se encuentra un componente incompatible con su Poltica de seguridad, Security
Center coloca un icono rojo en el rea de notificacin de la barra de tareas del
usuario, adems de proporcionar un mensaje de alerta durante el inicio de sesin.
Este mensaje contiene vnculos para abrir la interfaz de usuario de Security Center,
lo que despliega un mensaje sobre el problema y proporciona recomendaciones para
solucionarlo.
En los casos en los que los usuarios estn ejecutando programas de firewall o
antivirus que no sean detectados por Security Center, el usuario tiene la opcin de
configurar Security Center para ignorar la alerta sobre ese componente.
En el Panel de control, Security Center tambin sirve como punto de inicio para los
elementos del Panel de control relacionados con la seguridad y los vnculos web
relacionados con la seguridad.
Por defecto, esta caracterstica se aplica a todos los ordenadores de un grupo de
trabajo, es decir, equipos que no estn unidos a un dominio Windows.
Mediante una configuracin de Group Policy, los administradores pueden activar
esta caracterstica en todos los ordenadores de un dominio Windows.
Este cambio ofrece un sencillo mecanismo de alerta automatizado para permitir la
mejora de los equipos de los usuarios y ayudarles a reducir el riesgo de las
amenazas de la red.
Qu amenazas mitiga?
Los usuarios se sienten a menudo inseguros sobre qu tecnologas de seguridad y
configuraciones son las mejores para proteger sus ordenadores de amenazas
basadas en las redes. Este problema se est haciendo ms agudo segn proliferan
los virus y los usuarios que utilizan conexiones de banda ancha siempre abiertas.
Security Center proporciona a los usuarios un modo fcil de asegurarse que estn
tras un firewall, que estn ejecutando un software antivirus actualizado y que sus
ordenadores estn siendo automticamente actualizados con las ltimas
actualizaciones crticas de Microsoft.

No hay cambio en el comportamiento provocado por el mismo Security Center que
pudiera afectar a una aplicacin o un servicio. Sin embargo, Security Center ayuda a
reforzar el uso de Microsoft y los componentes de terceros relativos a la seguridad
que puedan suscitar problemas de compatibilidad. Por ejemplo, consulte la seccin
de Windows Firewall de este documento para conocer los problemas que pueden
surgir debido a la compatibilidad con ese componente.
En Windows XP Service Pack 1, el paquete de servicio puede instalarse utilizando la
opcin /quiet para que la instalacin de Service Pack sea transparente al usuario.
Sin embargo, si Windows XP Service Pack 2 es instalado usando la opcin /quiet o
/q, el icono de Security Center en el Panel de control se abre tras el primer inicio de
sesin interactivo despus de la instalacin.
Nota: Cuando Windows XP Service Pack 2 es instalado en un entorno de dominio, la
caracterstica Security Center es controlada por una configuracin Group Policy que
no est activada de forma predeterminada.
No hay ningn cambio en el comportamiento que pudiera afectar a una aplicacin o
servicio (excepto en lo indicado anteriormente).
e. Windows Installer 3.0
Qu es Windows Installer 3.0?

El servicio Windows Installer define y administra un formato estndar para la
configuracin, la instalacin y las actualizaciones de una aplicacin. Sigue la pista de
componentes tales como grupos de archivos, entradas de registro y atajos. Windows
Installer es un servicio de instalacin que proporciona una implantacin coherente,
permitiendo que los administradores y los usuarios puedan administrar recursos
compartidos, personalizar los procesos de instalacin, tomar decisiones sobre el uso
de la aplicacin y resolver problemas de configuracin.
Windows Installer 3.0 es una nueva versin del servicio que se incluye en
Windows XP Service Pack 2.
Esta funcin se le puede aplicar a:
1.
Los desarrolladores de aplicaciones.
2.
Los autores de configuraciones de aplicaciones.
3.
Los administradores de sistemas relacionados con la distribucin de software.

XP Service Pack 2?
Soporte de administracin de actualizaciones
Windows Installer 3.0 proporciona la infraestructura subyacente para que los
sistemas de distribucin de software instalen actualizaciones para las aplicaciones
basadas en Windows Installer. Las funciones de inventario mejoradas hacen posible a
los administradores detectar productos, caractersticas, componentes y
actualizaciones a travs de contextos de usuario e instalacin. Se proporcionan tres
nuevas funciones para determinar si una actualizacin es necesaria antes de realizar
la descarga completa en el ordenador objetivo. Estas nuevas funciones son:
1.
La funcin MsiEnumProductsEx enumera una o todas las instancias de los

productos actualmente publicados o instalados en los contextos especficos.
2.
La funcin MsiEnumPatchesEx enumera todas las actualizaciones de un

contexto en particular o de todos los contextos. Las actualizaciones ya
aplicadas a productos son enumeradas. Las actualizaciones que se han
registrado pero todava no se han aplicado a los productos son enumeradas.
3.
La funcin MsiDetermineApplicablePatches toma un conjunto consistente

en archivos de actualizacin, archivos XML, blobs XML y un archivo .msi, y
determina qu actualizaciones aplicar al paquete de Windows Installer y en
qu secuencia. La funcin puede tomar en cuenta actualizaciones
reemplazadas u obsoletas. Esta funcin no considera productos o
actualizaciones instaladas en el sistema que no estn especificadas en el
conjunto.

SUS 2.0 (Servicios de actualizacin de software) emplea la infraestructura de
administracin de actualizaciones para detectar y aplicar actualizaciones a los
productos basados en Windows Installer. Esto significa que estos productos pueden
actualizarse de mejor manera con SUS que en versiones anteriores.
Qu amenazas mitiga?
Windows Installer 3.0 y Software Update Services 2.0 facilitan la tarea de mantener
actualizado un ordenador con las ltimas actualizaciones de las aplicaciones basadas
en Windows Installer. Esto impide que el equipo se vea afectado por ataques contra
las distintas vulnerabilidades conocidas.
No es aplicable. Se trata de una funcionalidad nueva incluida en Windows
Installer 3.0.
No es aplicable.
Actualizaciones ms pequeas y fiables

Los autores de instaladores pueden utilizar Windows Installer 3.0 para crear
paquetes de actualizaciones (que tienen la extensin .msp) que utilicen la tecnologa
de compresin delta de Microsoft. Esta compresin utiliza diferencias del archivo
binario en lugar de usar el archivo entero, lo que reduce significativamente la carga
de la actualizacin. En versiones anteriores de Windows Installer, el uso de la
compresin delta origin que el instalador avisara al usuario de los medios de
instalacin original de la aplicacin (por ejemplo, el CD original de la aplicacin), que
a menudo no estaba disponible. Windows Installer 3.0 almacena en cach la versin
bsica de los archivos que son modificados por una actualizacin y recupera la lnea
bsica como objetivo para las futuras actualizaciones de compresin delta. Los
autores de instaladores deben crear actualizaciones que utilicen las versiones bsicas
del producto. Por tanto, los usuarios no deben ser requeridos ms veces para
suministrar los mismos medios utilizados para la instalacin original con el fin de
aplicar las actualizaciones con xito.
Es ms probable que los usuarios mantengan sus aplicaciones actualizadas si los
paquetes de actualizacin son pequeos, fciles de descargar y no requieren por
parte del usuario procedimientos complejos de instalacin.
Qu amenazas mitiga?
Asegurarse de que los servicios y las aplicaciones tienen instaladas las
actualizaciones ms recientes ayuda a prevenir ataques contra las vulnerabilidades
conocidas.
No es aplicable. Se trata de una funcionalidad nueva incluida en Windows Installer 3.0.

Windows XP SP 2 Capitulo 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Windows XP SP 2 Capitulo 1

Cargado por

Copyright:

Formatos disponibles

Introduccin a Windows XP SP2

1. Instalacin de Windows XP SP2

Tabla 1 Requisitos de hardware para Windows XP

Procesador Intel Pentium (o compatible) a

Procesador Intel Pentium II (o compatible) a 300

128 MB (4 GB mximo) de RAM

Disco duro de 2 GB con 650 MB de espacio

2 GB de espacio libre en disco duro

Adaptador de vdeo compatible con VGA o

Adaptador de vdeo SVGA y monitor Plug and Play

Teclado, mouse (ratn) u otro dispositivo

Teclado, mouse (ratn) u otro dispositivo

Nota Windows XP Professional admite sistemas de CPU nica y dual.

Es importante como tarea previa a la instalacin de Windows XP SP2, evaluar el

1. Su ambiente de prueba debe incluir una seccin representativa de los tipos de

Las secciones siguientes proporcionan las instrucciones para la instalacin de SP2.

Ambos tipos de instalaciones requieren credenciales administrativas. Para instalar el

3. En la carpeta, crear una carpeta de distribucin para el service pack.

Protection debe restaurar un archivo corrupto, o cuando se est configurando un

El procedimiento es similar al del scenario 1, usted debe crear una carpeta

2. Introduccin (Nuevas funcionalidades)

En el siguiente cuadro se muestran las mejoras salientes que introduce el Service

Mejoras suministradas por Windows XP Service Pack 2

Proteger los PCs con

Mejorar la experiencia del

Actualizar los PCs con los

a. Proteccin de Red (Windows Firewall, Reduccin de superficie de

Algunos ataques llevados a cabo por programas malintencionados inciden

Una parte importante de cualquier plan de seguridad es mantener actualizados los

Qu hacen los servicios Alerter y Messenger?

Por qu es importante este cambio? Qu amenazas mitiga?

b. Soporte para dispositivos Wireless Bluetooth incluido

Conectar un dispositivo Bluetooth a una computadora.

Crear un escritorio inalmbrico con un teclado y un ratn Bluetooth.

Transferir archivos desde o hacia un dispositivo Bluetooth.

Imprimir en una impresora Bluetooth.

Conectar con un ordenador de la red o a Internet a travs de un telfono

Configurar una conexin IP a Internet mediante un telfono mvil Bluetooth.

Si estn instalados los programas adecuados de Microsoft o de otros fabricantes,

Sincronizar agendas y calendarios con un telfono mvil Bluetooth o una PDA

Leer coordenadas desde un receptor GPS.

PAN (Red de rea personal). Activa conexiones IP sobre Bluetooth.

HCRP (Perfil de sustitucin de copia dura). Activa la impresin.

HID (Dispositivo de interfaz host). Activa teclados, ratones y joysticks

DUN (Red de marcacin). Permite que un telfono mvil Bluetooth

OPP (Perfil push de objeto). Activa la transferencia de archivos.

SPP (Puertos COM virtuales). Activa los programas heredados para

Adems de las anteriores, tambin se incluyen las siguietnes caractersticas:

Suspensin selectiva. Reduce el consumo de energa de los transceptores

Teclados en modo boot. Activa los teclados Bluetooth configurados

Si no hay ningn transceptor Bluetooth en el sistema, no existe cambio alguno en el

La ayuda online dispone de informacin ms completa sobre Bluetooth en Windows XP

Herramientas administrativas mejoradas

Qu hacen las herramientas administrativas de cliente?

Unable to access the computer nombre_ordenador (imposible acceder al

Unable to access the computer nombre_ordenador (imposible acceder al

Failed to open Group Policy object on Computer_Name (fallo al abrir el objeto

Detalles: no se encontr la ruta de red.

No puede encontrarse un objeto (ordenador) con el siguiente nombre:

Computer nombre_ordenador cannot be managed (no puede administrarse el

Se ha producido el error de sistema 53. No se encontr la ruta de red.

Administracin de un ordenador (Computer Management).

10. Administrador de dispositivos (Device Manager).