Planeación de la configuración de seguridad para controles ActiveX, complementos y macros en 2007 Office system
Actualizado: febrero de 2009
Se aplica a: Office Resource Kit
Última modificación del tema: 2015-03-09
2007 Microsoft Office system incluye varias configuraciones que permiten cambiar el comportamiento de los controles ActiveX, los complementos y las macros de Visual Basic para Aplicaciones (VBA). Para planear los controles ActiveX, los complementos y las macros, use los procedimientos y las instrucciones recomendados en las siguientes secciones:
Planeación de la configuración de seguridad para controles ActiveX
Planeación de la configuración de seguridad para complementos
Planeación de la configuración de seguridad para macros
Planeación de la configuración de seguridad para controles ActiveX
2007 Office System proporciona varias configuraciones de seguridad que permiten controlar el comportamiento de los controles ActiveX y el modo en que se informa a los usuarios acerca de los controles ActiveX que pueden ser no seguros. Estas configuraciones se suelen usar para:
Deshabilitar los controles ActiveX en todos los documentos.
Permitir que todos los controles ActiveX se inicialicen y ejecuten sin notificación.
Modificar el modo en que los controles ActiveX se inicializan en función de si son seguros para la inicialización o no seguros para la inicialización.
Para planear la configuración de seguridad para los controles ActiveX, use los procedimientos y las instrucciones recomendados en las siguientes secciones. Estas instrucciones se basan en el entorno de Cliente de empresa (EC) en lugar de en el entorno de Seguridad especializada: Funcionalidad limitada (SSLF). El entorno de EC representa una organización con necesidades de seguridad típicas. Es adecuado para organizaciones de tamaño mediano y grande que desean equilibrar la seguridad y la funcionalidad. El entorno de SSLF representa una organización menos típica, donde la seguridad es lo más importante. Sólo resulta adecuado para organizaciones de tamaño mediano y grande con estrictos estándares de seguridad, para las que la seguridad es más importante que la funcionalidad de las aplicaciones.
Deshabilitación de controles ActiveX en todos los documentos
Si la arquitectura de seguridad es muy restrictiva y desea minimizar el posible riesgo que implican los controles ActiveX, puede deshabilitar los controles ActiveX. La deshabilitación de los controles ActiveX impide que se inicialicen (es decir, se carguen) todos los controles ActiveX de un archivo al abrirlo. En determinados casos, es posible que aparezca un control ActiveX deshabilitado en un archivo como una x roja o cualquier otro símbolo, aunque el control está deshabilitado y no se realiza ninguna acción si el usuario hace clic en el símbolo. Además, al deshabilitar los controles ActiveX, el usuario no recibe ninguna notificación acerca de la deshabilitación de los controles ActiveX.
Para deshabilitar los controles ActiveX, establezca una de las configuraciones recomendadas en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Deshabilitar todo ActiveX |
No configurada |
De forma predeterminada, se pide a los usuarios que habiliten los controles ActiveX. Al habilitar esta configuración, todos los controles ActiveX se deshabilitan y no se inicializan cuando el usuario abre un archivo que contiene controles ActiveX. Además, al habilitar esta configuración, los usuarios no reciben ninguna notificación acerca de la deshabilitación de los controles ActiveX. Esta configuración se puede establecer en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. Esta configuración se aplica sólo a las aplicaciones de 2007 Office System. Esta configuración no deshabilita los controles ActiveX en los archivos abiertos en versiones anteriores de Office. |
Inicialización de ActiveX no segura |
Seleccionar esta configuración: No solicitar y deshabilitar todos los controles |
De forma predeterminada, la configuración de Inicialización de ActiveX no segura es Solicitar al usuario que utilice datos persistentes. Al seleccionar No solicitar y deshabilitar todos los controles, todos los controles ActiveX se deshabilitan y no se inicializan cuando el usuario abre un archivo que contiene controles ActiveX. Además, los usuarios no reciben ninguna notificación acerca de la deshabilitación de los controles ActiveX. Esta configuración sólo existe en la Herramienta de personalización de Office. Esta configuración se aplica sólo a las aplicaciones de 2007 Office System. Esta configuración no deshabilita los controles ActiveX en los archivos abiertos en versiones anteriores de Office. |
[!NOTA] Los controles ActiveX no se pueden deshabilitar en los archivos guardados en ubicaciones de confianza. Si se abre un archivo en una ubicación de confianza, todo el contenido activo del archivo se inicializa y se permite su ejecución sin notificación incluso aunque se deshabiliten los controles ActiveX.
Si deshabilita los controles ActiveX, debe asegurarse de:
Notificar a los usuarios que los controles ActiveX están deshabilitados y que no se mostrará ninguna notificación al abrir archivos que contienen controles ActiveX deshabilitados.
Probar el efecto que la deshabilitación de los controles ActiveX puede tener en su organización. Dado que muchas soluciones de Office se crean con controles ActiveX, la deshabilitación de los controles ActiveX puede provocar un comportamiento inesperado e impedir que las aplicaciones funcionen correctamente.
Anotar la configuración en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Inicialización y ejecución de todos los controles ActiveX sin notificación
Puede configurar 2007 Office System de modo que todos los controles ActiveX se inicialicen y ejecuten sin notificación. Esto puede ser útil en algunos entornos de pruebas y desarrollo, y en entornos aislados en que los mecanismos de seguridad complementarios, como firewalls, programas de detección de virus y programas de detección de intrusiones, ayudan a garantizar que los archivos no incluyan contenido malintencionado.
.gif "Important") Importante: |
|---|
| No se recomienda permitir la inicialización y ejecución de los controles ActiveX sin incluir una advertencia en un entorno de producción. Si se permite la inicialización y ejecución de los controles ActiveX sin incluir una advertencia, puede aumentar considerablemente el riesgo de ataques y se puede reducir la seguridad de la organización. |
Para permitir la inicialización y ejecución de los controles ActiveX sin notificación, establezca una de las configuraciones recomendadas en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Inicialización de ActiveX no segura |
Seleccionar esta configuración: No solicitar |
De forma predeterminada, la configuración de Inicialización de ActiveX no segura es Solicitar al usuario que utilice datos persistentes. Al seleccionar No solicitar, todos los controles ActiveX se habilitan e inicializan con las restricciones mínimas (es decir, valores persistentes) cuando el usuario abre un archivo que contiene controles ActiveX. Además, el usuario no recibe ninguna notificación en que se indique que los controles ActiveX están habilitados y que los controles ActiveX de inicialización segura no están habilitados en el modo seguro. Esta configuración sólo existe en la Herramienta de personalización de Office. Esta configuración se aplica a 2007 Office System y a las versiones anteriores de Office. |
Inicialización del control de ActiveX |
Seleccionar esta configuración: 2 |
De forma predeterminada, esta configuración tiene un valor de 6. Al cambiar este valor a 2, los controles de inicialización segura e inicialización no segura se inicializan con las restricciones mínimas (es decir, con valores persistentes). Si los valores persistentes no están disponibles, los controles se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro y los usuarios no reciben ninguna notificación acerca de la habilitación de los controles ActiveX. Esta configuración sólo se puede establecer con las plantillas administrativas (archivos .adm) de 2007 Office System. Esta configuración se aplica a 2007 Office System y a las versiones anteriores de Office. |
Al cambiar esta configuración, los controles de inicialización segura e inicialización no segura se inicializan con las restricciones mínimas (es decir, con valores persistentes). Si los valores persistentes no están disponibles, los controles se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro y los usuarios no reciben ninguna notificación acerca de la habilitación de los controles ActiveX. Esta configuración sólo se puede establecer con las plantillas administrativas (archivos .adm) de 2007 Office System. Esta configuración se aplica a 2007 Office System y a las versiones anteriores de Office.
Para ver una lista de todas las configuraciones, vea 2007 Microsoft Office Security Guide (Threats and Countermeasures: Security Settings in the 2007 Office System) (en inglés) (https://technet.microsoft.com/es-es/library/cc500475.aspx) (en inglés).
Si permite la inicialización y ejecución de todos los controles ActiveX sin notificación, debe asegurarse de:
Notificar a los usuarios que los controles ActiveX están habilitados y de que no aparece ninguna notificación cuando abren archivos que contienen controles ActiveX.
Anotar la configuración en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Modificación del modo de inicialización de los controles ActiveX según los parámetros de inicialización segura e inicialización no segura
2007 Office System proporciona varias configuraciones que permiten controlar el modo de inicialización de los controles ActiveX según los parámetros de inicialización segura, inicialización no segura y modo seguro. La inicialización segura, la inicialización no segura y el modo seguro son parámetros que los programadores pueden configurar al crear controles ActiveX. Los controles ActiveX marcados para la inicialización segura usan orígenes de datos seguros para inicializarse. Un origen de datos seguro es un origen de datos de confianza, conocido y que no provoca infracciones de seguridad. Los controles no marcados para la inicialización segura se consideran controles de inicialización no segura.
El modo seguro es otro mecanismo de seguridad que los programadores pueden usar para garantizar la seguridad de los controles ActiveX. Cuando un programador crea un control ActiveX que implementa el modo seguro, el control se puede inicializar de dos formas: en el modo seguro y en el modo no seguro. Si se inicializa un control ActiveX en el modo seguro, se aplican determinadas restricciones al control que limitan su funcionalidad. A la inversa, si se inicializa un control ActiveX en el modo no seguro, no se aplica ninguna restricción a su funcionalidad. Por ejemplo, es posible que un control ActiveX que lea y escriba en los archivos sólo pueda leer los archivos si se inicializa en el modo seguro y que pueda leer y escribir en los archivos si se inicializa en el modo no seguro. Tan sólo los controles ActiveX de inicialización segura se pueden inicializar en el modo seguro. Los controles ActiveX de inicialización no segura siempre se inicializan en el modo no seguro.
De forma predeterminada, los controles ActiveX se inicializan del modo siguiente en 2007 Office System:
Si un archivo contiene un proyecto de VBA, se pide a los usuarios que habiliten o deshabiliten los controles ActiveX del archivo. Si los usuarios optan por habilitar los controles ActiveX, todos los controles de inicialización segura e inicialización no segura se inicializan con las restricciones mínimas (es decir, con valores persistentes). Si los valores persistentes no están disponibles, los controles se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro.
Si el archivo no contiene ningún proyecto de VBA y sólo contiene controles de inicialización segura, estos controles se inicializan con las restricciones mínimas (es decir, con valores persistentes). Si los valores persistentes no están disponibles, los controles se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro.
Si el archivo no contiene ningún proyecto de VBA y contiene controles de inicialización segura e inicialización no segura, se pide al usuario que habilite o deshabilite los controles ActiveX del archivo. Si el usuario opta por habilitar los controles ActiveX, los controles de inicialización segura se inicializan con las restricciones mínimas (es decir, con valores persistentes) y los controles de inicialización no segura se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro.
Si este comportamiento predeterminado no es adecuado para su organización, pero no desea deshabilitar los controles ActiveX, puede mejorar la inicialización de los controles ActiveX si establece que los controles de inicialización no segura se inicialicen con los valores predeterminados en lugar de con las restricciones mínimas si un archivo contiene un proyecto de VBA. Para ello, establezca una de las configuraciones recomendadas en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Comportamiento de inicialización con un proyecto de VBA | Comportamiento de inicialización sin un proyecto de VBA |
|---|---|---|---|
Inicialización de ActiveX no segura |
Seleccionar esta configuración: Solicitar al usuario que utilice valores predeterminados de los controles |
Se pide al usuario que habilite o deshabilite los controles. Si el usuario habilita los controles, los controles de inicialización segura se inicializan con las restricciones mínimas (es decir, con valores persistentes) y los controles de inicialización no segura se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro. Esta configuración sólo existe en la Herramienta de personalización de Office. Esta configuración se aplica a 2007 Office System y a las versiones anteriores de Office. |
Si el archivo contiene sólo controles de inicialización segura, estos controles se inicializan con las restricciones mínimas (es decir, con valores persistentes). Si los valores persistentes no están disponibles, los controles de inicialización segura se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro. No se pide a los usuarios que habiliten los controles. Si el archivo contiene controles de inicialización no segura, se pide al usuario que habilite o deshabilite los controles. Si el usuario habilita los controles, los controles de inicialización segura se inicializan con las restricciones mínimas y los controles de inicialización no segura se inicializan con los valores predeterminados mediante el método InitNew. Los controles de inicialización segura se inicializan en el modo seguro. |
Inicialización del control de ActiveX |
Seleccionar esta configuración: 4 |
Igual que el comportamiento de configuración de inicialización de ActiveX no segura. |
Igual que el comportamiento de configuración de inicialización de ActiveX no segura. |
Puede establecer la configuración de los controles ActiveX para poder usar muchos más escenarios de seguridad. Para obtener más información acerca de la configuración de los controles ActiveX en 2007 Office System, incluidas las descripciones de todas las configuraciones y una comparación de las configuraciones de la Herramienta de personalización de Office, la directiva de grupo y el Centro de confianza, vea Directivas y configuración de seguridad de 2007 Office system. Para obtener más información acerca de la configuración de los controles ActiveX, vea Configuración de las opciones de los controles ActiveX.
Planeación de la configuración de seguridad para complementos
2007 Office System proporciona varias configuraciones que permiten cambiar el comportamiento de los complementos. Los complementos, llamados también extensiones de aplicación, son programas o componentes complementarios que amplían la funcionalidad de las aplicaciones. Los complementos se deben instalar y registrar, y pueden ser:
Complementos del Modelo de objetos componentes (COM).
Etiquetas inteligentes.
Complementos de automatización.
Servidores RealTimeData (RTD).
Complementos de aplicación (por ejemplo, archivos .wll, .xll y .xlam).
Paquetes de expansión XML.
Hojas de estilos XML.
De forma predeterminada, los complementos instalados y registrados se pueden ejecutar sin notificación. No obstante, puede usar la configuración de seguridad para complementos si desea cambiar este comportamiento. En concreto, puede:
Deshabilitar los complementos según la aplicación.
Requerir que los complementos estén firmados por un editor de confianza.
Deshabilitar las notificaciones para los complementos no firmados.
Deshabilitación de complementos según la aplicación
Si la arquitectura de seguridad es muy restrictiva y desea minimizar el posible riesgo que implican los complementos, puede deshabilitarlos. Si deshabilita los complementos, impide que se ejecuten y los usuarios no reciben ninguna notificación acerca de la deshabilitación de los complementos.
Los complementos no se pueden deshabilitar de forma global. Sólo puede deshabilitar los complementos en cada aplicación en el caso de las siguientes aplicaciones:
Microsoft Office Access 2007
Microsoft Office Excel 2007
Microsoft Office PowerPoint 2007
Microsoft Office Publisher 2007
Microsoft Office Visio 2007
Microsoft Office Word 2007
Para deshabilitar los complementos, establezca una de las configuraciones recomendadas en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Deshabilitar todas las extensiones de aplicaciones |
No configurada |
De forma predeterminada, los complementos están habilitados. Al seleccionar esta opción, los complementos se deshabilitan y los usuarios no reciben ninguna notificación acerca de la deshabilitación de los complementos. Esta configuración se puede establecer en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. Debe establecer esta configuración en cada aplicación. |
Opciones de advertencias para complementos de aplicaciones |
Seleccionar esta configuración: Deshabilitar todas las extensiones de aplicaciones |
De forma predeterminada, la configuración de Opciones de advertencias para complementos de aplicaciones es Habilitar todos los complementos de la aplicación instalados. Al seleccionar Deshabilitar todas las extensiones de aplicaciones, se deshabilitan todos los complementos y los usuarios no reciben ninguna notificación acerca de la deshabilitación de los complementos. Esta configuración sólo existe en la Herramienta de personalización de Office. Debe establecer esta configuración en cada aplicación. |
Si deshabilita los complementos, debe asegurarse de:
Notificar a los usuarios que los complementos están deshabilitados.
Anotar la configuración en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Obligación de que los complementos estén firmados por un editor de confianza
Si no desea deshabilitar los complementos, pero desea aumentar la seguridad de los complementos, puede establecer que los complementos estén firmados por un editor de confianza. En este caso, se produce el siguiente comportamiento:
Los complementos de confianza se ejecutan sin notificación. Un complemento de confianza es un complemento que se guarda en una ubicación de confianza o un complemento firmado por un editor de la lista de editores de confianza.
Aunque los complementos no firmados están deshabilitados, se pide a los usuarios que habiliten o deshabiliten los complementos.
Aunque los complementos firmados por un editor no incluido en la lista de editores de confianza están deshabilitados, se pide a los usuarios que habiliten o deshabiliten los complementos.
No se puede establecer de forma global una configuración que requiera la firma de los complementos por un editor de confianza. Debe establecer esta configuración en cada aplicación y sólo para las siguientes aplicaciones:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
Para establecer que un editor de confianza firme los complementos, establezca una de las configuraciones recomendadas en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Requerir que un editor de confianza firme las extensiones de aplicaciones |
No configurada |
De forma predeterminada, los complementos están habilitados. Al seleccionar esta opción, los complementos firmados por un editor incluido en la lista de editores de confianza se ejecutan sin notificación. Aunque los complementos no firmados y los complementos firmados por un editor no incluido en la lista de editores de confianza se deshabilitan, se pide a los usuarios que habiliten o deshabiliten los complementos. Esta configuración se puede establecer en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. Debe establecer esta configuración en cada aplicación. |
Opciones de advertencias para complementos de aplicaciones |
Seleccionar esta configuración: Requerir que un editor de confianza firme las extensiones de aplicaciones |
De forma predeterminada, la configuración de Opciones de advertencias para complementos de aplicaciones es Habilitar todos los complementos de la aplicación instalados. Al seleccionar Requerir que un editor de confianza firme las extensiones de aplicaciones, los complementos firmados por un editor incluido en la lista de editores de confianza se ejecutan sin notificación. Aunque los complementos no firmados y los complementos firmados por un editor no incluido en la lista de editores de confianza se deshabilitan, se pide a los usuarios que habiliten o deshabiliten los complementos. Esta configuración sólo existe en la Herramienta de personalización de Office. Se debe establecer esta configuración en cada aplicación. |
Asegúrese de anotar estas configuraciones en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Deshabilitación de las notificaciones para los complementos no firmados
Incluso aunque establezca la firma de los complementos por un editor de confianza, los usuarios pueden habilitar los complementos no firmados mediante la barra de mensajes. Si no desea que los usuarios habiliten los complementos no firmados, puede deshabilitar las notificaciones para los complementos no firmados. Sólo puede hacer esto en cada aplicación de forma individual y para las siguientes aplicaciones:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
Para ello, establezca una de las configuraciones recomendadas en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Deshabilitar la notificación de la barra de confianza para extensiones de aplicación no firmadas |
No configurada |
De forma predeterminada, los complementos están habilitados. Al seleccionar esta opción, aunque los complementos firmados que no son de confianza se deshabilitan, se pide a los usuarios que habiliten o deshabiliten los complementos. Los complementos no firmados también se deshabilitan, pero no se notifica a los usuarios ni se les pide que habiliten o deshabiliten los complementos no firmados. Esta configuración se debe usar con la configuración Requerir que un editor de confianza firme las extensiones de aplicaciones. Esta configuración se puede establecer en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. Se debe establecer esta configuración en cada aplicación. |
Opciones de advertencias para complementos de aplicaciones |
Requerir que se firmen las extensiones y deshabilitar sin preguntar las extensiones no firmadas |
De forma predeterminada, la configuración de Opciones de advertencias para complementos de aplicaciones es Habilitar todos los complementos de la aplicación instalados. Al seleccionar Requerir que se firmen las extensiones y deshabilitar sin preguntar las extensiones no firmadas, aunque los complementos firmados que no son de confianza se deshabilitan, se pide a los usuarios que habiliten o deshabiliten los complementos. Los complementos no firmados también se deshabilitan, pero no se notifica a los usuarios ni se les pide que habiliten o deshabiliten los complementos no firmados. Esta configuración sólo existe en la Herramienta de personalización de Office. Se debe establecer esta configuración en cada aplicación. |
Si deshabilita las notificaciones para los complementos no firmados, debe asegurarse de:
Notificar a los usuarios que los complementos no firmados se deshabilitan sin preguntar.
Anotar la configuración en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Para obtener más información acerca de la configuración de complementos en 2007 Office System, incluidas las descripciones de las configuraciones y una comparación de las configuraciones de la Herramienta de personalización de Office, la directiva de grupo y el Centro de confianza, vea Directivas y configuración de seguridad de 2007 Office system. Para obtener más información acerca de la configuración de complementos, vea Configuración de las opciones de seguridad para controles ActiveX, complementos y macros en 2007 Office system.
Planeación de la configuración de seguridad para macros
2007 Office System proporciona varias configuraciones de seguridad que permiten controlar el comportamiento de las macros y de VBA. Puede usar estas configuraciones para:
Cambiar la configuración de seguridad predeterminada para las macros. Esto incluye la deshabilitación de las macros, la habilitación de todas las macros y la modificación del modo en que notifica a los usuarios acerca de las macros.
Cambiar el comportamiento de VBA. Esto incluye la deshabilitación de VBA y la concesión a los clientes de automatización de acceso mediante programación a los proyectos de VBA.
Cambiar el comportamiento de las macros en las aplicaciones iniciadas mediante programación con una operación de automatización.
Impedir que se examinen las macros cifradas en busca de virus.
Para planear la configuración de seguridad para las macros, use los procedimientos y las instrucciones recomendados en las siguientes secciones.
Cambio de la configuración de seguridad predeterminada para macros
2007 Office System proporciona varias configuraciones que permiten cambiar el comportamiento predeterminado de las macros. De forma predeterminada, se permite la ejecución sin notificación de las macros de confianza. Esto incluye macros en documentos guardados en una ubicación de confianza y macros que cumplen los criterios siguientes:
La macro está firmada por el programador con una firma digital.
La firma digital es válida.
Esta firma digital está actualizada (no ha expirado).
El certificado asociado a la firma digital fue emitido por una entidad de certificación (CA) acreditada.
El programador que firmó la macro es un editor de confianza.
No se permite la ejecución de macros que no son de confianza hasta que el usuario hace clic en la barra de mensajes y elige habilitar las macros. (Algunas aplicaciones no incluyen una barra de mensajes; en estos casos, las notificaciones se muestran en cuadros de diálogo).
[!NOTA] La configuración de seguridad predeterminada para macros es distinta en Microsoft Office Outlook 2007. Para obtener más información, vea la documentación de seguridad de Office Outlook 2007.
Si la configuración de seguridad predeterminada para macros no satisface las necesidades de su organización, puede hacer lo siguiente:
Deshabilitar las macros que no son de confianza sin notificación.
Deshabilitar las notificaciones para las macros sin firmar y permitir las notificaciones para las macros firmadas.
Deshabilitación de macros que no son de confianza sin notificación
Al deshabilitar las macros que no son de confianza sin notificación, las macros que no son de confianza no se cargan y no se notifica a los usuarios acerca de la deshabilitación de las macros que no son de confianza. Se permite la ejecución sin notificación de las macros de confianza. Esta configuración es útil si la organización tiene un modelo de seguridad restringido y no desea que los usuarios ejecuten macros que no son de confianza.
Para deshabilitar las macros que no son de confianza sin notificación, establezca una de las configuraciones descritas en la siguiente tabla. Estas configuraciones se deben establecer en cada aplicación y sólo para las siguientes aplicaciones:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Configuración de advertencia de la macro de VBA |
Seleccionar esta opción: Habilitado Seleccionar esta configuración: Ninguna advertencia para todas las macros pero deshabilitar todas las macros |
De forma predeterminada, se notifica a los usuarios acerca de la presencia de macros que no son de confianza en un archivo y los usuarios pueden habilitar o deshabilitar las macros que no son de confianza. Al seleccionar Deshabilitar todas las macros de VBA y Ninguna advertencia para todas las macros pero deshabilitar todas las macros, se deshabilitan las macros que no son de confianza, no se notifica a los usuarios acerca de la deshabilitación de las macros que no son de confianza y los usuarios no pueden habilitar dichas macros. Se permite la ejecución sin notificación de las macros de confianza. Esta configuración sólo se puede establecer con las plantillas administrativas (archivos .adm) de 2007 Office System. |
Deshabilitación de notificaciones para macros sin firmar
Al deshabilitar las notificaciones para las macros sin firmar, las macros sin firmar se deshabilitan sin preguntar, pero se notifica a los usuarios acerca de las macros firmadas y pueden habilitar o deshabilitar las macros firmadas. Se permite la ejecución sin notificación de las macros de confianza. Esta configuración es útil si el entorno requiere protección frente a macros sin firmar.
Para deshabilitar las notificaciones para las macros sin firmar, establezca una de las configuraciones descritas en la siguiente tabla. Estas configuraciones se deben establecer en cada aplicación y sólo para las siguientes aplicaciones:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Configuración de advertencia de la macro de VBA |
Seleccionar esta opción: Habilitado Seleccionar esta configuración: Advertencia de la barra de confianza únicamente para macros firmadas digitalmente (se deshabilitarán las macros sin firmar) |
De forma predeterminada, se notifica a los usuarios acerca de la presencia de macros que no son de confianza en un archivo y los usuarios pueden habilitar o deshabilitar las macros que no son de confianza. Al seleccionar Advertencia de la barra de confianza únicamente para macros firmadas digitalmente (se deshabilitarán las macros sin firmar), ocurre lo siguiente:
Esta configuración sólo se puede establecer con las plantillas administrativas (archivos .adm) de 2007 Office System. Al seleccionar Deshabilitar advertencia de la barra de confianza para macros de VBA sin firmar (se deshabilitará el código sin firmar), ocurre lo siguiente:
Esta configuración sólo se puede establecer en la Herramienta de personalización de Office. |
Control del comportamiento de VBA
2007 Office System proporciona dos configuraciones que permiten controlar el comportamiento de VBA. De forma predeterminada, VBA se habilita si está instalado y los clientes de automatización no tienen acceso mediante programación a los proyectos de VBA. Puede cambiar este comportamiento de las siguientes formas:
Puede conceder a los clientes de automatización acceso mediante programación a los proyectos de VBA.
Puede deshabilitar VBA.
Además de estas configuraciones de seguridad de 2007 Office System, Office Visio 2007 proporciona varias configuraciones que permiten controlar el comportamiento de VBA en Office Visio 2007. Para obtener más información, vea Directivas y configuración de seguridad de 2007 Office system.
Concesión a los clientes de automatización acceso mediante programación a proyectos de VBA
Al conceder a los clientes de automatización acceso mediante programación a los proyectos de VBA, los clientes de automatización pueden usar el modelo de objetos de VBA.
Para conceder a los clientes de automatización acceso mediante programación a los proyectos de VBA, establezca la configuración descrita en la siguiente tabla. Esta configuración se debe establecer en cada aplicación y es válida para las siguientes aplicaciones:
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Confiar en el acceso a proyectos de Visual Basic |
Seleccionar esta opción: Deshabilitado |
De forma predeterminada, los clientes de automatización no tienen acceso mediante programación a los proyectos de VBA. Al seleccionar esta opción, los clientes de automatización pueden tener acceso mediante programación al modelo de objetos de VBA. Esta configuración se puede establecer en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. |
| Importante: |
|---|
| Si concede a los clientes de automatización acceso mediante programación a los proyectos de VBA, puede aumentar el riesgo de ataques de programas no autorizados que generan código de replicación automática. |
Deshabilitación de VBA
Al deshabilitar VBA, no se ejecutan las macros ni ningún otro contenido de programación. Esto es útil si tiene un modelo de seguridad restringido y no desea que los usuarios ejecuten las macros o si se ha producido un ataque de seguridad en la organización y desea impedir temporalmente la ejecución de las macros.
Para deshabilitar VBA, establezca la configuración descrita en la siguiente tabla. Se trata de una configuración global para las siguientes aplicaciones:
Office Excel 2007
Office Outlook 2007
Office PowerPoint 2007
Office Publisher 2007
Microsoft Office SharePoint Designer 2007
Office Word 2007
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Deshabilitar VBA para aplicaciones de Office |
No configurada |
De forma predeterminada, VBA se habilita si está instalado. Al seleccionar esta opción, VBA no funciona y los usuarios no pueden ejecutar las macros ni ningún otro contenido de programación. Esta configuración se puede establecer en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. |
Las deshabilitación de VBA impide la ejecución de las macros y otro contenido. Para obtener más información acerca de las consecuencias de la deshabilitación de VBA, vea el siguiente artículo de Microsoft Knowledge Base sobre las consideraciones para deshabilitar VBA en Office (https://go.microsoft.com/fwlink/?linkid=85867\&clcid=0xC0A).
Si deshabilita VBA, debe asegurarse de:
Notificar a los usuarios que VBA se ha deshabilitado.
Anotar la configuración en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Además de estas configuraciones de seguridad de 2007 Office System, Office Visio 2007 proporciona varias configuraciones que permiten cambiar el comportamiento de VBA en Office Visio 2007. Para obtener más información, vea Directivas y configuración de seguridad de 2007 Office system.
Cambio del comportamiento de las macros en aplicaciones iniciadas mediante programación con una operación de automatización
2007 Office System proporciona una configuración única que permite controlar el comportamiento de las macros al ejecutarlas en una aplicación iniciada mediante programación con una operación de automatización. La automatización es una herramienta de programación que permite a los programadores obtener acceso a la funcionalidad de una aplicación desde otra aplicación. Por ejemplo, un programador puede crear una aplicación de administración de proyectos que use características de correo electrónico y características de programación de Office Outlook 2007. De forma predeterminada, si una aplicación usa la automatización para iniciar una aplicación en 2007 Office System, las macros se habilitan y se permite su ejecución sin ninguna comprobación de seguridad. Puede cambiar este comportamiento de dos formas:
Puede deshabilitar las macros en la aplicación iniciada mediante programación. Al hacer esto, los usuarios no reciben ninguna notificación acerca de la deshabilitación de las macros y no se les pide que habiliten o deshabiliten las macros. Esta configuración es útil si la organización tiene un modelo de seguridad restringido y no se permite a los usuarios ejecutar macros.
Puede ejecutar las macros según la configuración de seguridad establecida en la aplicación iniciada mediante programación. Al hacer esto, el comportamiento de las macros se rige por la configuración de seguridad establecida en la aplicación iniciada mediante programación. Por ejemplo, si necesita que todas las macros estén firmadas digitalmente en Office Excel 2007 y una aplicación usa la automatización para iniciar Office Excel 2007, las macros no se ejecutan si no están firmadas digitalmente. Esta configuración es útil si desea que la configuración de seguridad para macros de la organización se extienda a las aplicaciones iniciadas mediante la automatización.
Para cambiar el comportamiento predeterminado de las macros en las aplicaciones iniciadas mediante programación con una operación de automatización, use una de las configuraciones recomendadas en la siguiente tabla. Puede establecer estas configuraciones en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. Esta configuración es global y válida para las siguientes aplicaciones:
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Seguridad de automatización |
Seleccionar esta opción: Habilitado Seleccionar esta configuración: Utilizar nivel de seguridad de la macro de la aplicación |
De forma predeterminada, la configuración de Seguridad de automatización es Macros habilitadas. Al seleccionar Utilizar nivel de seguridad de la macro de la aplicación, las macros se ejecutan según la configuración de seguridad de la aplicación iniciada mediante programación con una operación de automatización. Al seleccionar Deshabilitar macros de forma predeterminada, las macros se deshabilitan en las aplicaciones de 2007 Office System iniciadas mediante la automatización. Los usuarios no reciben ninguna notificación acerca de la deshabilitación de las macros y no se les pide que habiliten las macros. |
Si cambia la configuración de seguridad de la automatización, debe asegurarse de:
Probar de forma exhaustiva todas las aplicaciones para confirmar que el cambio no provoca ningún comportamiento inesperado ni limita la funcionalidad de una aplicación. Algunas aplicaciones usan la automatización para iniciar las aplicaciones en modo silencioso en 2007 Office System.
Anotar la configuración en los documentos de planeación de seguridad y en los documentos de operaciones de seguridad.
Además de estas configuraciones de seguridad de 2007 Office System, Office Publisher 2007 proporciona una configuración que permite configurar la seguridad de la automatización para macros en Office Publisher 2007. Para obtener más información, vea Directivas y configuración de seguridad de 2007 Office system.
Impedir que se examinen las macros cifradas en busca de virus
2007 Office System proporciona varias configuraciones que permiten impedir el examen de las macros cifradas en busca de virus. Esto es útil si el programa de detección de virus no es compatible con la interfaz de programación de aplicaciones (API) antivirus de Microsoft.
De forma predeterminada, las macros se cifran al cifrar y guardar un archivo en los formatos XML abiertos de Office. Si el programa de detección de virus no es compatible con la API antivirus de Microsoft, el programa de detección de virus no puede cifrar las macros. Por consiguiente, las macros cifradas se deshabilitan. Para evitar que el programa antivirus examine las macros cifradas, establezca la configuración recomendada en la siguiente tabla.
| Nombre de la configuración | Configuración recomendada | Descripción |
|---|---|---|
Determinar si debe forzarse la exploración de macros cifradas en libros de formato XML abierto de Microsoft Excel |
Seleccionar esta opción: Deshabilitado |
De forma predeterminada, el programa de detección de virus examina las macros cifradas al abrir un libro cifrado que contiene macros. Al habilitar esta opción, el programa de detección de virus no examina las macros cifradas, lo que significa que las macros cifradas se ejecutan según la configuración de seguridad establecida para macros. Esta configuración se aplica sólo a Office Excel 2007. Puede establecer esta configuración en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. |
Determinar si debe forzarse la exploración de macros cifradas en presentaciones de formato XML abierto de Microsoft PowerPoint |
Seleccionar esta opción: Habilitado |
De forma predeterminada, el programa de detección de virus examina las macros cifradas al abrir una presentación cifrada que contiene macros. Al seleccionar esta opción, el programa de detección de virus no examina las macros cifradas, lo que significa que las macros cifradas se ejecutan según la configuración de seguridad establecida para macros. Esta configuración se aplica sólo a Office PowerPoint 2007. Puede establecer esta configuración en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. |
Determinar si debe forzarse la exploración de macros cifradas en documentos de formato XML abierto de Microsoft Word |
Seleccionar esta opción: Habilitado |
De forma predeterminada, el programa de detección de virus examina las macros cifradas al abrir un documento cifrado que contiene macros. Al seleccionar esta opción, el programa de detección de virus no examina las macros cifradas, lo que significa que las macros cifradas se ejecutan según la configuración de seguridad establecida para macros. Esta configuración se aplica sólo a Office Word 2007. Puede establecer esta configuración en la Herramienta de personalización de Office y con las plantillas administrativas (archivos .adm) de 2007 Office System. |
Si cambia la configuración predeterminada para examinar las macros cifradas, debe asegurarse de:
Anotar la configuración en los documentos de planeación de seguridad.
Anotar la configuración en los documentos de operaciones de seguridad.
Descargar este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Vea la lista completa de libros disponibles en la página de contenido descargable para el kit de recursos de 2007 Office.