Diseño de ubicaciones de confianza y valores de los editores de confianza para 2007 Office system
Actualizado: diciembre de 2009
Se aplica a: Office Resource Kit
Última modificación del tema: 2015-03-09
En este artículo:
Planeación de ubicaciones de confianza
Planeación de editores de confianza
La característica de ubicaciones de confianza de 2007 Microsoft Office system permite designar carpetas en los discos duros de los equipos de los usuarios o en un recurso compartido de red como orígenes de archivos de confianza. Cuando se designa una carpeta como un origen de archivos de confianza, cualquier archivo que se guarde en la carpeta se considerará un archivo de confianza. Cuando se abre un archivo de confianza, todo el contenido del archivo se habilita y se activa, y los usuarios no reciben ninguna notificación sobre ningún riesgo posible que pueda contener el archivo, como macros sin firmar, controles ActiveX o vínculos a contenido en Internet.
Además de las ubicaciones de confianza, puede usar las listas Editores de confianza para designar a los editores de contenido en los que confía. Un editor es cualquier programador, empresa de software u organización que ha creado y distribuido una macro, un complemento o un control ActiveX. Un editor de confianza es un editor que se ha agregado a la lista Editores de confianza. Cuando se abre un archivo y éste incluye contenido creado por un editor de confianza, todo el contenido se habilita y activa, y los usuarios no reciben ninguna notificación sobre ningún riesgo potencial que pueda incluir el archivo.
Para planear las ubicaciones y los editores de confianza, use los procedimientos e instrucciones que se recomiendan en las siguientes secciones.
Planeación de las ubicaciones de confianza
2007 Office System proporciona varios valores de configuración que permiten controlar el comportamiento de las ubicaciones de confianza. La configuración de estos valores permite:
Deshabilitar todas las ubicaciones de confianza.
Especificar ubicaciones de confianza de forma global o en cada aplicación.
Permitir que existan ubicaciones de confianza en recursos compartidos remotos.
Impedir que los usuarios creen ubicaciones de confianza.
Para obtener información detallada acerca de cada valor de configuración de las ubicaciones de confianza, vea Directivas y configuración de seguridad de 2007 Office system.
A pesar de que puede configurar las ubicaciones de confianza para que se ajusten a una amplia variedad de escenarios, los más comunes para las ubicaciones de confianza incluyen:
Deshabilitar la característica de las ubicaciones de confianza para impedir que los usuarios creen ubicaciones de confianza y evitar que las aplicaciones reconozcan las ubicaciones de confianza.
Implementar la característica de ubicaciones de confianza con ubicaciones de confianza personalizadas.
Deshabilitación de las ubicaciones de confianza
Para deshabilitar las ubicaciones de confianza, establezca los valores de configuración de las ubicaciones de confianza como se recomienda en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Deshabilitar todas las ubicaciones de confianza |
Seleccione esta opción: Deshabilitado |
De manera predeterminada, las ubicaciones de confianza están habilitadas. Al seleccionar esta opción, se habilitan todas las ubicaciones de confianza, entre las que se incluyen las siguientes:
Al habilitar esta opción, se evita que los usuarios establezcan la configuración de las ubicaciones de confianza en el Centro de confianza. Esta configuración no es global; se debe seleccionar en cada aplicación para Microsoft Office Access 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007, Microsoft Office Visio 2007 y Microsoft Office Word 2007. |
Si deshabilita las ubicaciones de confianza, asegúrese de:
Enviar una notificación a los usuarios para informarles de que no pueden usar la característica de ubicaciones de confianza. Si los usuarios han estado abriendo archivos de ubicaciones de confianza y se han deshabilitado las ubicaciones de confianza, es posible que vean advertencias en la barra de mensajes y deban responder a dichas advertencias para habilitar el contenido activo, como controles ActiveX y macros de Visual Basic para Aplicaciones (VBA).
Anotar la configuración en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Implementación de ubicaciones de confianza
Para implementar ubicaciones de confianza, debe determinar lo siguiente:
Las aplicaciones para las que desea configurar las ubicaciones de confianza.
Las carpetas que desea usar para las ubicaciones de confianza.
La configuración del uso compartido y la seguridad de las carpetas que desea aplicar a las ubicaciones de confianza.
Las restricciones que desea aplicar a las ubicaciones compartidas.
Determinación de las aplicaciones para las que desea configurar ubicaciones de confianza
Puede configurar ubicaciones de confianza para Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 y Office Word 2007. Al determinar las aplicaciones para las que desea configurar ubicaciones de confianza, tenga en cuenta lo siguiente:
Las ubicaciones de confianza afectan a todo el contenido activo de un archivo, incluidos los controles ActiveX, los hipervínculos, los vínculos a orígenes de datos y multimedia, y las macros de VBA.
Cada aplicación proporciona los mismos valores para configurar las ubicaciones de confianza. Esto significa que se pueden personalizar de forma independiente las ubicaciones de confianza para cada aplicación.
Puede deshabilitar las ubicaciones de confianza para una o más aplicaciones e implementar ubicaciones de confianza para otras aplicaciones.
Determinación de las carpetas que desea usar para las ubicaciones de confianza
Si las carpetas de las ubicaciones de confianza predeterminadas no son adecuadas para su organización, puede crear sus propias carpetas y especificarlas como ubicaciones de confianza. Para obtener más información acerca de las ubicaciones de confianza, vea Evaluación de la configuración de seguridad y las opciones de privacidad para 2007 Office system.
Al determinar las carpetas que desea especificar como ubicaciones de confianza, tenga en cuenta lo siguiente:
Puede especificar ubicaciones de confianza en cada aplicación o de forma global.
Una o más aplicaciones pueden compartir una ubicación de confianza.
Para evitar que los usuarios malintencionados agreguen archivos a la ubicación de confianza o modifiquen archivos que se guardan en dicha ubicación, debe asegurar cualquier carpeta que designe como una ubicación de confianza.
No se recomienda especificar recursos compartidos de red como ubicaciones de confianza. De manera predeterminada, sólo se permiten ubicaciones de confianza que se encuentran en el disco duro de los usuarios. Para habilitar ubicaciones de confianza en recursos compartidos de red, debe habilitar la configuración Permitir ubicaciones de confianza que no estén en el equipo.
No se recomienda especificar las carpetas Documentos o Mis documentos completas como una ubicación de confianza. En su lugar, cree una subcarpeta dentro de esas carpetas y especifíquela como una ubicación de confianza.
Además, debe usar las instrucciones de las siguientes secciones si desea realizar las siguientes acciones:
Usar variables de entorno para especificar ubicaciones de confianza.
Especificar carpetas web (es decir, rutas de acceso http://) como ubicaciones de confianza.
Uso de variables de entorno para especificar ubicaciones de confianza
Puede usar variables de entorno para especificar ubicaciones de confianza, pero debe cambiar el tipo de valor que se usa para almacenar ubicaciones de confianza en el Registro para que las variables de entorno funcionen correctamente. Si usa una variable de entorno para especificar una ubicación de confianza y no realiza la modificación del Registro necesaria, la ubicación de confianza aparece en el Centro de confianza, pero no está disponible y aparece como una ruta de acceso relativa que contiene las variables de entorno. Después de cambiar el tipo de valor en el Registro, la ubicación de confianza aparecerá en el Centro de confianza como una ruta de acceso absoluta y estará disponible.
.gif "Important") Importante: |
|---|
| No puede usar variables de entorno cuando especifique ubicaciones de confianza mediante la directiva de grupo. Puede usar variables de entorno para especificar ubicaciones de confianza sólo mediante la Herramienta de personalización de Office (OCT). |
Para usar variables de entorno para especificar ubicaciones de confianza, haga lo siguiente:
Use el Editor del Registro para buscar la ubicación de confianza que se representa mediante una variable de entorno.
Las ubicaciones de confianza que se configuran mediante la herramienta OCT se almacenan en la siguiente ubicación:
HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/nombreDeAplicación/Security/Trusted Locations
Donde nombreDeAplicación puede ser Access, Excel, PowerPoint, Visio o Word.
Las ubicaciones de confianza se almacenan en entradas del Registro denominadas Path y se almacenan como tipos de valor Valor de cadena (REG_SZ). Asegúrese de buscar cada entrada Path que use variables de entorno para especificar una ubicación de confianza.
Cambie el tipo de valor Path.
Las aplicaciones de 2007 Office System no reconocen las variables de entorno que se almacenan como tipos de valor Valor de cadena (REG_SZ). Para que las aplicaciones reconozcan las variables de entorno, debe cambiar el tipo de valor de la entrada Path para que sea un tipo de valor Valor de cadena expandible (REG_EXPAND_SZ). Para hacerlo, siga estos pasos:
[!NOTA] Si edita el Registro de forma incorrecta puede provocar graves daños en el sistema. Antes de realizar cualquier cambio en el Registro, debe realizar una copia de seguridad de cualquier información valiosa que se encuentre en el equipo.
Escriba o copie el valor de la entrada Path. Debe ser una ruta de acceso relativa que contenga una o más variables de entorno.
Borre la entrada Path.
Cree una entrada Pathnueva de tipo Valor de cadena expandible (REG_EXPAND_SZ).
Modifique la entrada Path nueva para que tenga el mismo valor que escribió o copió en el primer paso.
Asegúrese de realizar este cambio para cada entrada Path que use variables de entorno para especificar una ubicación de confianza.
Especificación de carpetas web como ubicaciones de confianza
Puede especificar carpetas web (es decir, rutas de acceso http://) como ubicaciones de confianza; sin embargo, sólo se reconocerán como ubicaciones de confianza las carpetas web compatibles con los protocolos Sistema distribuido de creación y control de versiones web (WebDAV) o llamada a procedimiento remoto de Extensiones de servidor de FrontPage (FPRPC). Siga las instrucciones que se ofrecen a continuación para comprobar si una carpeta web es compatible con los protocolos WebDAV o FPRPC:
Si se abre una aplicación con Internet Explorer, compruebe la lista de archivos de uso más reciente. Si la lista de archivos de uso más reciente indica que el archivo está ubicado en un servidor remoto, en lugar de en la carpeta Archivos temporales de Internet, es probable que la carpeta web sea compatible con WebDAV de alguna forma. Por ejemplo, si hace clic en un documento mientras explora en Internet Explorer y el documento se abre en Office Word 2007, la lista de archivos de uso más reciente debería mostrar que el documento está situado en el servidor remoto y no en la carpeta Archivos temporales de Internet.
Use el cuadro de diálogo Abrir para desplazarse a la carpeta web. Si la ruta de acceso es compatible con WebDAV, debería poder ir a la carpeta web o recibir un mensaje de usuario donde escribir las credenciales. Si la carpeta web no es compatible con WebDAV, no es posible desplazarse a ella y el cuadro de diálogo se cierra.
[!NOTA] Los sitios que se crean con Windows SharePoint Services 3,0 y Microsoft Office SharePoint Server 2007 se pueden designar como ubicaciones de confianza.
Determinación de la configuración del uso compartido y la seguridad de las carpetas
Todas las carpetas que especifique como ubicaciones de confianza se deben compartir y asegurar. Use las siguientes instrucciones para determinar la configuración de uso compartido y seguridad que debe aplicar a cada ubicación de confianza:
Comparta cada carpeta que designe como una ubicación de confianza para que los usuarios puedan obtener acceso a los archivos que se guardan en la ubicación de confianza.
Configure los permisos de uso compartido de forma que sólo los usuarios autorizados puedan obtener acceso a la carpeta compartida. Asegúrese de usar el principio de privilegios mínimos y conceder permisos adecuados a los usuarios. Es decir, conceda permisos de lectura a los usuarios que no necesiten modificar los archivos de confianza, y permisos de control total a los usuarios que deban modificar archivos de confianza.
Aplique permisos de seguridad de carpeta para que sólo los usuarios autorizados puedan leer o modificar los archivos de las ubicaciones de confianza. Asegúrese de usar el principio de privilegios mínimos y conceder permisos adecuados a los usuarios. Es decir, conceda permisos de control total sólo a los usuarios que deban modificar los archivos y permisos más restrictivos a los usuarios que sólo necesiten leer los archivos.
Determinación de las restricciones para las ubicaciones de confianza
Existen varios valores de configuración que puede usar para restringir o controlar el comportamiento de las ubicaciones de confianza. Use las recomendaciones de la siguiente tabla para determinar la forma de establecer esta configuración.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Permitir la mezcla de ubicaciones de usuario y de directiva |
Seleccione esta opción: Deshabilitado |
De manera predeterminada, un equipo puede tener una combinación de ubicaciones de confianza creadas por el usuario, la herramienta OCT y la directiva de grupo. Al seleccionar esta opción, se deshabilitan todas las ubicaciones de confianza que no ha creado la directiva de grupo y se impide que los usuarios creen ubicaciones de confianza nuevas a través de la interfaz gráfica de usuario en el Centro de confianza. Esta configuración es global y se aplica a todas las aplicaciones para las que configura las ubicaciones de confianza. |
Permitir ubicaciones de confianza que no estén en el equipo |
Seleccione esta opción: Deshabilitado |
De manera predeterminada, las ubicaciones de confianza que son recursos compartidos de red están deshabilitadas, pero los usuarios pueden activar la casilla Permitir ubicaciones de confianza que estén en la red en la interfaz gráfica de usuario del Centro de confianza. Al seleccionar esta opción, se deshabilitan las ubicaciones de confianza que son recursos compartidos de red y se impide que los usuarios activen la casilla Permitir ubicaciones de confianza que estén en la red en la interfaz gráfica de usuario del Centro de confianza. Si especifica Deshabilitado y un usuario intenta designar un recurso compartido de red como una ubicación de confianza, un mensaje de advertencia informa al usuario de que la configuración de seguridad actual no permite la creación de ubicaciones de confianza con rutas de acceso remoto o de red. Si un administrador designa un recurso compartido de red como una ubicación de confianza a través de una directiva de grupo o mediante la herramienta OCT, y esta configuración está Deshabilitada, la ubicación de confianza se deshabilita y la aplicación no la reconocerá. Esta configuración no es global; se debe configurar en cada aplicación para Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 y Office Word 2007. |
[!NOTA] También puede usar la opción Quitar todas las ubicaciones de confianza escritas por la Herramienta de personalización de Office durante la instalación para eliminar todas las ubicaciones de confianza que se han creado al configurar la herramienta OCT. Para obtener más información acerca de esta configuración, vea Directivas y configuración de seguridad de 2007 Office system.
Planeación de editores de confianza
2007 Office System almacena certificados para editores de confianza en el almacén de editores de confianza de Internet Explorer. Las versiones anteriores de Office almacenaban la información de certificados de editor de confianza (concretamente, la huella digital del certificado) en un almacén de editores de confianza especial de Office. 2007 Office System sigue leyendo la información de certificados de editor de confianza desde el almacén de editores de confianza de Office, pero no escribe información en este almacén. Así, si ha creado una lista de editores de confianza en una versión anterior de Office y ha actualizado a 2007 Office System, la lista de editores de confianza se sigue reconociendo. Sin embargo, cualquier certificado de editor de confianza que agregue a la lista se almacenará en el almacén de editores de confianza de Internet Explorer. Este comportamiento es el mismo para todas las aplicaciones que usan la lista de editores de confianza, entre las que se incluyen:
Office Access 2007
Office Excel 2007
Microsoft Office InfoPath 2007
Microsoft Office Outlook 2007
Office PowerPoint 2007
Microsoft Office Publisher 2007
Office Visio 2007
Office Word 2007
No puede usar las plantillas administrativas de Office 2007 para agregar certificados a la lista de editores de confianza; sin embargo, puede usar la herramienta OCT. Para ello, debe tener el certificado digital (archivo .cer) del editor de confianza. Si no puede obtener un certificado directamente del editor, puede exportar un certificado de un archivo que haya firmado el editor, como un archivo de biblioteca de vínculos dinámicos (.dll) o un archivo ejecutable (.exe). El siguiente procedimiento muestra cómo hacerlo.
Exportación de un certificado desde un archivo .dll
Haga clic con el botón secundario en el archivo .dll que haya firmado el editor y, a continuación, haga clic en Propiedades.
Haga clic en la ficha Firmas digitales.
En Lista de firmas, haga clic en el certificado y, a continuación, haga clic en Detalles.
En el cuadro de diálogo Detalles de la firma digital, haga clic en Ver certificado.
Haga clic en la ficha Detalles y, a continuación, haga clic en Copiar en archivo.
En la página de bienvenida del Asistente para exportación de certificados, haga clic en Siguiente.
En la página Formato de archivo de exportación, haga clic en DER binario codificado X.509 (.CER) y, a continuación, haga clic en Siguiente.
En la página Archivo que se va a exportar, escriba una ruta de acceso y un nombre para el archivo .cer, haga clic en Siguiente y, a continuación, haga clic en Finalizar.
Como alternativa, puede usar este procedimiento para determinar qué certificados necesita y crearlos después en Microsoft Office Word 2007.
Determinación de los certificados que son necesarios
En un equipo de prueba o en un equipo cliente que se ejecute con la configuración estándar de la organización (incluidos los posibles complementos que necesiten los usuarios), habilite la opción Requerir que los complementos de la aplicación estén firmados por un editor de confianza:
- Haga clic en el botón de Microsoft Office, posteriormente en Opciones de Word, en Centro de confianza, en Configuración del Centro de confianza, en Complementos, en Requerir que los complementos de la aplicación estén firmados por un editor de confianza y, por último, en Aceptar.
Cierre Word y vuelva a iniciarlo. Si están instalados los complementos, la barra de advertencia de seguridad muestra el siguiente mensaje: Los complementos de la aplicación se han deshabilitado.
Deshabilite temporalmente las etiquetas inteligentes:
Haga clic en el botón de Microsoft Office, posteriormente en Opciones de Word y, a continuación, en Aceptar. La barra de advertencia de seguridad muestra el siguiente mensaje: Algún contenido activo se ha deshabilitado.
[!NOTA] Las etiquetas inteligentes se habilitarán de nuevo cuando se cierre y se vuelva a iniciar Word.
En la barra de advertencia de seguridad, haga clic en Opciones.
En la ventana Alertas de seguridad - Varios problemas, instale cada uno de los certificados en la lista de editores de confianza; para ello, realice los pasos siguientes para cada complemento que muestre una firma digital válida:
[!NOTA] Si no deshabilitó las etiquetas inteligentes en el paso anterior, aparecerá una ventana diferente, desde la que no podrá instalar los certificados.
Haga clic en Mostrar detalles de la firma.
En la ventana Detalles de la firma digital, haga clic en Ver certificado.
En la ventana Certificado, haga clic en Instalar certificado.
En el Asistente para importación de certificados, haga clic en Siguiente, en Colocar todos los certificados en el siguiente almacén, en Examinar, en Editores de confianza, en Aceptar, en Siguiente y, por último, en Finalizar.
Prepare los archivos de certificados para su distribución:
En el cuadro Editores de confianza, vea los certificados que ha instalado (para ello, haga clic en el botón de Microsoft Office, en Opciones de Word, en Centro de confianza, en Configuración del Centro de confianza y, por último, en Editores de confianza).
Haga doble clic en cada certificado y, a continuación, realice estos pasos:
En la ventana Certificado, en la ficha Detalles, haga clic en Copiar en archivo.
En el Asistente para exportación de certificados, haga clic en Siguiente; a continuación, haga clic en Siguiente de nuevo para aceptar el formato de archivo predeterminado, escriba un nombre de archivo, seleccione una ubicación para almacenar el archivo y haga clic en Finalizar.
Descargar este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Vea la lista completa de libros disponibles en la página de contenido descargable para el kit de recursos de Office 2007.