• Artículo

Selección de una herramienta de implementación para la configuración de seguridad y las opciones de privacidad de 2007 Office system

Actualizado: febrero de 2009

Se aplica a: Office Resource Kit

 

Última modificación del tema: 2015-03-09

Para crear un plan de seguridad eficaz para 2007 Microsoft Office system, primero debe identificar las herramientas que va a usar para establecer, implementar y administrar la configuración de seguridad en la organización. En algunos casos, una única herramienta es adecuada para establecer, implementar y administrar la configuración. En otros casos, quizás sea necesario el uso de una combinación de herramientas; una herramienta para establecer e implementar una configuración inicial y otra para administrar la configuración de forma continuada. La elección de la herramienta adecuada es un paso fundamental en el proceso de planeación de la seguridad, ya que permite asegurarse de que realmente se ha implementado y aplicado la configuración de seguridad prevista en toda la organización. Asimismo, garantiza que se pueda modificar la configuración de seguridad tras el lanzamiento inicial, lo que permite responder a las amenazas de seguridad repentinas.

Aunque puede usar una amplia gama de herramientas y técnicas para implementar y administrar aplicaciones de escritorio en entornos empresariales, se recomienda usar únicamente la Herramienta de personalización de Office (OCT) y las plantillas administrativas de directiva de grupo (archivos .adm) de 2007 Office System para establecer, implementar y administrar la configuración de seguridad en 2007 Office System. Cada herramienta tiene distintos requisitos y limitaciones, y proporciona distintas características y funcionalidad. La elección de la herramienta adecuada requiere una cuidadosa evaluación de la estructura de implementación y administración existente en la organización, la arquitectura de seguridad y las necesidades de seguridad de la organización. Para determinar cuál es la herramienta apropiada para una organización, use los procedimientos recomendados y las recomendaciones que se proporcionan en las secciones siguientes para evaluar cada herramienta.

Herramienta de personalización de Office

La Herramienta de personalización de Office (OCT) es una herramienta nueva de la interfaz gráfica de usuario que sirve para crear un archivo de configuración (.msp). Este tipo de archivo puede contener una amplia variedad de información, incluidas instrucciones de instalación, información de licencias y opciones de configuración de la aplicación, como puede ser la configuración de seguridad y las opciones de privacidad. Un archivo de configuración se puede usar de las dos maneras siguientes:

  • Junto con el programa de instalación para personalizar el proceso de instalación durante un lanzamiento a gran escala.

  • Junto con Windows Installer 3.1 para actualizar o mantener la configuración durante la fase de operaciones del ciclo de vida del software.

Para usar un archivo de configuración con el que personalizar el proceso de instalación, realice las tareas siguientes:

  1. Use la interfaz gráfica de usuario de la OCT para configurar las opciones de instalación y establecer la configuración de la aplicación.

  2. Guarde la configuración y las opciones en un archivo .msp.

  3. Ejecute el programa de instalación en los equipos cliente mediante los parámetros de línea de comandos para especificar el archivo .msp que desea que use el programa de instalación.

Para usar un archivo de configuración con el que actualizar o mantener las instalaciones existentes, realice las tareas siguientes:

  1. Use la interfaz gráfica de usuario de la OCT para establecer la configuración de la aplicación en un archivo .msp nuevo o existente.

  2. Guarde la nueva configuración de la aplicación en el archivo .msp.

  3. Ejecute Windows Installer en el equipo cliente mediante los parámetros de línea de comandos para especificar el archivo .msp que desea que use Windows Installer.

Para obtener más información acerca del uso de la OCT, vea Herramienta de personalización de Office en 2007 Office system y Personalización de 2007 Office system.

Requisitos y limitaciones

Aunque la OCT es nueva, no requiere ninguna mejora especial de la infraestructura. Por ejemplo, no es necesario modificar el hardware, el software, la topología de red ni la arquitectura de seguridad existentes para usar la OCT. No obstante, la OCT tiene los siguientes requisitos:

  • La OCT se debe usar junto con el programa de instalación de Office. La OCT sólo genera archivos .msp. No aplica la configuración de seguridad a los equipos. Se debe usar el programa de instalación para instalar 2007 Office System y aplicar la configuración de seguridad que se guarda en los archivos .msp.

  • Es necesario usar el programa de instalación que se incluye en 2007 Office System, ya que es el único programa de instalación admitido que puede leer los datos de los archivos .msp generados por la OCT y agregar la configuración de seguridad (y demás valores de configuración) al Registro.

  • Los equipos en los que se ejecuta el programa de instalación y la OCT deben tener instalado Windows Installer 3.1.

  • Para ejecutar la OCT y el programa de instalación de Office, debe ser miembro del grupo Administradores en el equipo local.

A la hora de decidir si usar la OCT para configurar y administrar la configuración de seguridad, recuerde que la OCT tiene las dos limitaciones siguientes:

  • No se puede bloquear ni exigir la aplicación de la configuración de seguridad mediante la OCT. La OCT establece la configuración de la aplicación en las partes del Registro accesibles públicamente, como HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/Office/12.0. Si usa la OCT para establecer o administrar la configuración de seguridad de 2007 Office System, los usuarios pueden modificar la configuración de seguridad que se implemente. Estas opciones de configuración se consideran preferencias del usuario en vez de una configuración administrada ya que los usuarios pueden cambiarlas. Si desea exigir la aplicación de la configuración de seguridad, use la directiva de grupo.

  • Con la OCT, sólo se puede establecer una configuración de bloqueo de formatos de archivo. La configuración de bloqueo de formatos de archivo permite impedir que los usuarios abran o guarden determinados tipos o formatos de archivo. Esta configuración es útil si desea impedir que los usuarios usen formatos de archivo antiguos o si desea mitigar los ataques de día cero.

Escenarios comunes

Se puede usar la OCT y el programa de instalación para establecer, implementar y administrar la configuración de seguridad en muchos entornos de TI. En las siguientes secciones se describen escenarios en los que la OCT y el programa de instalación son especialmente útiles.

Entornos no administrados

La OCT se suele usar en organizaciones que no administran de forma centralizada las aplicaciones de escritorio o no administran de forma remota sus entornos de escritorio. En estos casos, puede usar la OCT y el programa de instalación para establecer, implementar y administrar la configuración de seguridad sin usar una herramienta de administración remota, como Microsoft Systems Management Server 2003 o una herramienta basada en directivas, como la directiva de grupo.

Configuraciones iniciales de seguridad

La OCT se suele usar para establecer las configuraciones iniciales de seguridad, incluso aunque se use la directiva de grupo para bloquear o exigir la aplicación de la configuración de seguridad. Esto permite garantizar que la configuración de seguridad esté definida durante el lanzamiento inicial y antes de que se produzca la primera actualización de directivas. El uso de la OCT para crear una configuración inicial de seguridad también permite que se pueda restablecer la configuración de seguridad en un equipo con sólo volver a aplicar el archivo de configuración inicial.

Entornos parcialmente bloqueados

La OCT es útil en entornos parcialmente bloqueados en los que un subconjunto fundamental de las opciones de configuración de seguridad está bloqueado mediante la directiva de grupo, pero otras opciones de seguridad no están bloqueadas y los usuarios pueden configurarlas. En este escenario, la mayor parte de las opciones de configuración de seguridad se establecen durante la instalación inicial mediante el uso de un archivo de configuración generado por la OCT (archivo .msp), mientras que las opciones de configuración de seguridad críticas se implementan y administran mediante la directiva de grupo una vez completada la instalación inicial.

Plantillas administrativas de directiva de grupo

2007 Office System incluye 15 plantillas administrativas que permiten administrar la configuración de seguridad mediante la directiva de grupo local o basada en dominio. Las plantillas administrativas son archivos de texto Unicode que la directiva de grupo usa para describir la ubicación del Registro en que se almacena la configuración de directivas basada en el Registro. Todas las opciones de configuración de directivas basadas en el Registro aparecen y se configuran en el Editor de objetos de directiva de grupo debajo del nodo Plantillas administrativas. Las plantillas administrativas no aplican una configuración de directivas, sino que permiten ver la configuración de directivas en el Editor de objetos de directiva de grupo. A continuación, los administradores pueden crear objetos de directiva de grupo (GPO) que contengan la configuración de las directivas que deseen usar. Por ejemplo, se puede tener un GPO que contenga diversas opciones de configuración de directivas para administrar controles ActiveX, complementos y macros.

Los valores del Registro que se usan para la configuración de la directiva de grupo se almacenan en las claves del Registro aprobadas para la directiva de grupo. Los usuarios no pueden cambiar ni deshabilitar esta configuración. Las opciones de configuración de directivas de grupo que los administradores pueden administrar totalmente se denominan "directivas verdaderas". La configuración de directivas de grupo verdaderas tiene restricciones de lista de control de acceso para impedir que los usuarios cambien la configuración. Las claves del Registro de directivas de grupo aprobadas son:

Para la configuración de directivas de equipo:

  • HKEY_LOCAL_MACHINE\Software\Policies (la ubicación preferida)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Para la configuración de directiva de usuario:

  • HKEY_CURRENT_USER\Software\Policies (la ubicación preferida)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Para obtener más información acerca de las plantillas administrativas, la directiva de grupo y la OCT, vea Extensión de plantillas administrativas y Herramienta de personalización de Office y directiva de grupo en Introducción a la directiva de grupo (2007 Office system). Para obtener más información acerca del uso de plantillas administrativas para establecer, implementar y administrar la configuración de seguridad, vea Aplicar la configuración mediante la directiva de grupo en 2007 Office system.

Requisitos y limitaciones

Si se va a instalar 2007 Office System en equipos que ejecutan los sistemas operativos Microsoft Windows XP, Microsoft Windows Server 2003 o Windows Vista, se deben cumplir los requisitos siguientes para usar plantillas administrativas.

  • Es necesario tener el servicio de directorio de Active Directory implementado en la organización para establecer, implementar y administrar la configuración de seguridad mediante opciones de configuración de directivas de grupo basadas en dominio.

  • Es necesario ser miembro del grupo Administradores en el equipo local para establecer, implementar y administrar la configuración de seguridad mediante opciones de configuración de directivas de grupo locales.

A la hora de decidir si usar plantillas administrativas para establecer y administrar la configuración de seguridad, recuerde que las plantillas administrativas tienen las siguientes limitaciones:

  • La directiva de grupo no proporciona un mecanismo para revertir la configuración a una configuración inicial. Si se implementan las opciones de configuración inicial con la directiva de grupo y, posteriormente, se realizan cambios en la configuración de la directiva de grupo, se deberán volver a configurar todos los cambios siguientes realizados para revertir a la configuración inicial. Si se deshabilita o elimina el objeto de directiva de grupo que contiene la configuración, todas las opciones de configuración cambiarán a No configurada.

  • No se puede establecer la configuración de los editores de confianza con la directiva de grupo. Sólo con la OCT, se pueden agregar certificados digitales a la lista de editores de confianza.

  • Si la organización es pequeña y en ella aún no se usa Active Directory, la sobrecarga administrativa necesaria para comprender e implementar la directiva de grupo en un entorno de Active Directory podría hacer que implementar la directiva de grupo basada en dominio resultase prohibitiva.

Escenarios comunes

La directiva de grupo se puede usar para establecer, implementar y administrar la configuración de seguridad en muchos entornos de TI. En las siguientes secciones se describen escenarios en los que las plantillas administrativas son especialmente útiles.

Entornos administrados

Las plantillas administrativas son útiles en organizaciones que usan la directiva de grupo para administrar los entornos de escritorio. Esto es cierto tanto si se ha implementado Active Directory y se administra el entorno de escritorio con la directiva de grupo basada en dominio, como si Active Directory no está instalado, pero se administra el entorno de escritorio con la directiva de grupo local.

Entornos bloqueados

Las plantillas administrativas son útiles en entornos bloqueados en los que los usuarios tienen poco control sobre sus configuraciones de escritorio. En este escenario, todas las opciones de configuración de seguridad se implementan y administran mediante la directiva de grupo. La configuración de seguridad establecida durante la instalación inicial se reemplazará por la configuración de la directiva de grupo.

Implementación de la configuración de bloqueo de formatos de archivo

Las plantillas administrativas son la única forma de implementar eficazmente la configuración de bloqueo de formatos de archivo, que permite impedir que los usuarios abran determinados formatos o tipos de archivo. Esta configuración es útil para mitigar los ataques de día cero cuando se conoce el formato o tipo de archivo específico que representa un riesgo para la organización. Estas opciones también resultan de utilidad para evitar que los usuarios usen formatos de archivo antiguos o para exigirles que usen los mismos formatos de archivo.

Elección de una herramienta

En la siguiente tabla, se comparan las características y capacidades de las dos herramientas recomendadas que se pueden usar para establecer las opciones de configuración de seguridad en 2007 Office System. Use la información de la tabla para evaluar las herramientas y determinar cuál es la más adecuada para su organización.

Características y capacidades Plantillas administrativas OCT + programa de instalación

Requiere Active Directory.

Sí (directiva de grupo basada en dominio)

No (directiva de grupo local)

No

Requiere Windows Installer 3.1.

No

Requiere credenciales administrativas en el equipo cliente.

Sí (directiva de grupo local)

No (directiva de grupo basada en dominio)

Se puede usar para bloquear la configuración de seguridad.

No

Se puede usar para administrar la configuración de seguridad después de la instalación inicial.

Se puede usar para establecer las configuraciones de seguridad iniciales.

Sí (no es lo ideal)

Se puede usar para configurar las opciones de bloqueo de formatos de archivo.

Sí (todas las opciones)

Sí (aunque sólo una opción)

Se puede usar para agregar editores a la lista de editores de confianza.

No

Descarga de este libro

Este tema se incluye en los siguientes libros descargables para facilitar su lectura e impresión:

Vea la lista completa de libros disponibles en la sección de información del kit de recursos de Office.