Planeación de la configuración de seguridad para controles ActiveX para Office 2013

 

Se aplica a:Office 365 ProPlus

Última modificación del tema:2016-12-16

Resumen: describe cómo cambiar la configuración para hacer que los controles Microsoft ActiveX sean más seguros en Office 2013 y cómo utilizar el Panel de telemetría de Office 2013 para investigar las advertencias del control ActiveX.

Público: profesionales de TI

Las amenazas de contenido activo son amenazas de seguridad habituales. Los controles ActiveX, los complementos y macros de VBA son riesgos de amenaza habituales. Estas vulnerabilidades a las amenazas pueden sufrir explotación por parte de programadores que escriben código malintencionado o crean programas malintencionados y posteriormente los ejecutan en los equipos de los usuarios. Las amenazas de contenido activo representan un riesgo potencial para organizaciones de cualquier tamaño. En este artículo se describen formas en que Office 2013 puede mejorar la seguridad de los controles ActiveX. La seguridad en complementos y macros de VBA se trata en otros artículos.

Office 2013 proporciona varias opciones de configuración de seguridad que permiten controlar el comportamiento de los controles ActiveX y el modo en que se notifica a los usuarios acerca de los controles ActiveX que podrían no ser seguros. Al configurar estas opciones, podrá realizar las siguientes tareas:

  • Deshabilitación de controles ActiveX

  • Modificar el modo en que los controles ActiveX se inicializan, en función de los parámetros de modo seguro y de los parámetros Seguro para inicialización (SFI) y No seguro para inicialización (UFI).

Para obtener información sobre cómo configurar las opciones de seguridad en la Herramienta de personalización de Office (OCT) y en las plantillas administrativas de Office 2013, consulte Configurar la seguridad con la OCT o la directiva de grupo en Office 2013.

 

Flecha del mapa de ruta para consulta sobre la seguridad de Office.

Este artículo forma parte de Guía de seguridad de Office 2013. Use esta guía como punto de partida para tener acceso a artículos, descargas, pósters y vídeos de utilidad para evaluar la seguridad de Office 2013.

¿Busca información sobre la seguridad de las distintas aplicaciones de Office 2013? La encontrará si busca “seguridad 2013” en Office.com.

En este artículo:

Un control de ActiveX de confianza es cualquier control ActiveX que está firmado por un editor de confianza o contenido en un documento que se abre desde una ubicación de confianza o se considera documento de confianza. De manera predeterminada, los controles ActiveX de confianza se cargan en modo seguro con valores persistentes y no se notifica a los usuarios sobre su carga. Los controles ActiveX en los que no se confía se cargan de otra forma, en función de cómo esté marcado el control ActiveX y de si existe un proyecto de VBA en el archivo que se encuentra junto al control ActiveX. El comportamiento predeterminado de los controles ActiveX que no son de confianza es el siguiente:

  • Si un control ActiveX está marcado como seguro para la inicialización (SFI) y se encuentra en un documento que no contiene un proyecto de VBA, el control ActiveX se carga en modo seguro con valores persistentes. No aparecerá la Barra de mensajes y no se notificará a los usuarios sobre la presencia del control ActiveX. Todos los controles ActiveX del documento deben estar marcados como SFI para que este comportamiento se produzca.

  • Si un control ActiveX está marcado como no seguro para la inicialización (UFI) y está incluido en un documento que no contiene un proyecto de VBA, se notificará a los usuarios en la Barra de mensajes que los controles ActiveX están deshabilitados. Sin embargo, los usuarios pueden hacer clic o puntear en la Barra de mensajes para habilitarlos. Si un usuario habilita los controles ActiveX, todos los controles ActiveX (marcados como SFI y UFI) se cargarán en modo seguro con valores persistentes.

  • Si un control ActiveX marcado como UFI o SFI está incluido en un documento que también contiene un proyecto de VBA, se notificará a los usuarios en la Barra de mensajes que los controles ActiveX están deshabilitados. Sin embargo, los usuarios pueden seleccionar habilitarlos en la Barra de mensajes. Si un usuario habilita los controles ActiveX, todos los controles ActiveX (marcados como SFI y UFI) se cargarán en modo seguro con valores persistentes.

ImportanteImportante:
Si se establece un bit de cierre en el registro para un control ActiveX, el control no se cargará y no se podrá cargar en ninguna circunstancia. Además, no aparecerá la Barra de mensajes y no se notificará a los usuarios sobre la presencia del control ActiveX.

Puede fácilmente obtener cierta visibilidad en la utilización del control ActiveX de su organización revisando los datos en Office 2013Panel de telemetría. Hay un informe integrado denominado "Inventario" que recopila y muestra datos de instancia únicos sobre cada una de las Office soluciones que se supervisan. Esto incluye el uso de controles ActiveX en Office documentos.

El siguiente procedimiento presupone que ya ha implementado y configurado OfficePanel de telemetría. Para obtener información acerca de OfficePanel de telemetría en general, consulte Información general sobre la telemetría de Office. Para obtener más información acerca de cómo implementar Office Telemetría, consulte Implementar el Panel de telemetría.

Para ver el uso del control ActiveX en un informe del Panel de telemetría de Office 2013
  1. Abra Panel de telemetría y conéctese a la base de datos de telemetría.

  2. En el panel de navegación de Panel de telemetría, seleccione Informe personalizado.

  3. Cuando se abre la página del informe personalizado, seleccione Crear informe personalizado.

  4. En la lista Campos de tabla dinámica, sección Inventario, busque y seleccione Tiene ActiveX. Revise si hay advertencias relacionadas con ActiveX. Si desea investigar más, seleccione campos adicionales en la tabla Inventario.

  5. Si lo desea, guarde los datos y cierre el Panel de telemetría.

Office 2013 proporciona una opción de configuración que permite deshabilitar los controles ActiveX. Deshabilitándolos, se impide que se inicialicen (es decir, se carguen) todos los controles ActiveX de un archivo al abrirlo. También se evita que los usuarios agreguen controles ActiveX a un documento. En determinados casos, es posible que aparezca un control ActiveX deshabilitado en un archivo como una x roja o cualquier otro símbolo. Sin embargo, el control está deshabilitado y no se realiza ninguna acción si el usuario hace clic en el símbolo. Cuando deshabilita los controles ActiveX, no se notifica sobre ello a los usuarios.

Las siguientes instrucciones le ayudan a determinar si debe deshabilitar los controles ActiveX o no.

Nombre de la configuración de Directiva de grupo: Deshabilitar todo ActiveX

Descripción: esta opción controla si se deshabilitan los controles ActiveX en Office 2013. Es una configuración global y no se puede configurar según la aplicación.

Impacto: si habilita esta opción, los controles ActiveX no se inicializan y no se notifica a los usuarios que los controles ActiveX están deshabilitados. Además, los usuarios no pueden insertar controles ActiveX en documentos. Dado que los controles ActiveX pueden proporcionar funcionalidad adicional a los documentos, si se deshabilitan se puede reducir la funcionalidad para los usuarios. Debe asegurarse de que los usuarios sean conscientes de que esta opción está habilitada, porque la aplicación no les informará de que los controles ActiveX se han deshabilitado. También es importante determinar si se usan controles ActiveX para proporcionar funcionalidad crítica para la empresa antes de habilitar a esta opción.

Instrucciones: las organizaciones que tienen un entorno de seguridad altamente restrictivo normalmente habilitan esta opción.

NotaNota:
Si habilita esta opción, se deshabilitan los controles ActiveX en los archivos que están guardados en las ubicaciones de confianza.

También puede utilizar el bit de cierre COM de Office, que se incluye en Office 2013, para impedir la ejecución de determinados objetos COM dentro de las aplicaciones de Office 2013. Esto incluye los controles ActiveX. Esta función estaba disponible en 2007 Office System, pero dependía de la configuración del bit de cierre de ActiveX de Internet Explorer. Ahora, en Office 2013, puede utilizar el registro para controlar independientemente qué objetos COM no pueden ejecutarse al usar Office 2013. Si, por ejemplo, se establece el bit de cierre para el mismo control ActiveX tanto en Office como en Internet Explorer, y se origina un conflicto entre ambas opciones, el bit de cierre COM de Office tiene prioridad. Un escenario común donde vería el bit de cierre COM de Office establecido es cuando se aplica una actualización que se incluye en el boletín de seguridad de Microsoft para resolver un determinado problema de seguridad de Office 2013.

AdvertenciaAdvertencia:
No se recomienda quitar el bit de cierre en un objeto COM. Si deshace la acción de cierre, podrían surgir vulnerabilidades de seguridad. El bit de cierre se establece normalmente por un motivo que podría ser crítico, y por ello, se debe tener mucho cuidado al quitar el bit de cierre en un control ActiveX.

Es posible agregar un AlternateCLSID (también conocido como "bit Phoenix") cuando necesite poner en correlación el CLSID de un nuevo control ActiveX. Esto es necesario cuando se ha aplicado un bit de cierre COM de Office al CLSID de un control ActiveX para prevenir una amenaza de seguridad. Office 2013 admite el uso de AlternateCLSID únicamente con objetos COM de controles ActiveX. Para obtener más información sobre el comportamiento del bit de cierre, incluido AlternateCLSID, consulte Cómo impedir que se ejecute un control ActiveX en Internet Explorer .

ImportanteImportante:
No cambie la configuración del registro a menos que sea muy experimentado y comprenda las ramificaciones. Pueden producirse problemas graves si modifica incorrectamente el registro. Para una mayor protección, haga una copia de seguridad del registro antes de cambiarlo. Más adelante, podrá restaurar el registro si se produce un problema.

La ubicación para establecer el bit de cierre COM de Office en el registro es HKLM/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}, donde CLSID es el identificador de clase del objeto COM. Para habilitar el bit de cierre COM de Office, deberá agregar la clave del registro, incluido el CLSID del control ActiveX y agregar el valor 0x00000400 a los marcadores de compatibilidad REG_DWORD.

NotaNota:
El comportamiento del bit de cierre (de Internet Explorer y COM de Office) se puede ver afectado al habilitar la categorización de COM en Office 2013. Para obtener más información, consulte Planear la configuración de la categorización de objetos COM para Office 2013.

Controles que puede considerar colocar en la lista de denegación de Office:

Microsoft HTA Document 6.0 - 3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

htmlfile - 25336920-03F9-11CF-8FD0-00AA00686F13

htmlfile_FullWindowEmbed - 25336921-03F9-11CF-8FD0-00AA00686F13

mhtmlfile - 3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Control del explorador web - 8856F961-340A-11D0-A96B-00C04FD705A2

DHTMLEdit - 2D360200-FFF5-11d1-8d03-00a0c959bc0a

Office 2013 proporciona una opción de configuración que permite controlar el modo de inicialización de los controles ActiveX según los parámetros de SFI, UFI y modo seguro. Los programadores pueden configurar estos parámetros al crear controles ActiveX. Los controles ActiveX marcados como SFI usan orígenes de datos seguros para inicializarse. Un origen de datos seguro es un origen de confianza conocido que no provoca infracciones de seguridad. Los controles que no están marcados como SFI, se consideran UFI.

El modo seguro es otro mecanismo de seguridad que los programadores pueden usar para garantizar la seguridad de los controles ActiveX. Cuando un programador crea un control ActiveX que implementa el modo seguro, el control se puede inicializar de dos formas: en modo seguro o en modo no seguro. Si se inicializa un control ActiveX en modo seguro, se aplican determinadas restricciones al control, que limitan su funcionalidad. A la inversa, si se inicializa un control ActiveX en modo no seguro, no se aplica ninguna restricción a su funcionalidad. Por ejemplo, un control ActiveX que lee y escribe en archivos solo podría leer los archivos si se inicializa en modo seguro y podría leer y escribir en los archivos si se inicializa en modo no seguro. Solo los controles ActiveX que son SFI se pueden inicializar en modo seguro. Los controles ActiveX que son UFI siempre se inicializan en modo no seguro.

Si la inicialización predeterminada para los controles ActiveX no es suficiente para la organización, pero no desea deshabilitar los controles ActiveX, use las siguientes instrucciones para determinar cómo se puede cambiar la forma en que se inicializan los controles ActiveX.

Nombre de la configuración de Directiva de grupo: Inicialización del Control ActiveX

Descripción: esta opción especifica el modo de inicialización de los controles ActiveX para todas las aplicaciones de Office 2013. Es una opción de configuración global y no se puede configurar de forma individual para cada aplicación. Puede seleccionar uno de los seis niveles de seguridad de inicialización posibles para esta opción:

  • Nivel de seguridad 1: independientemente de cómo esté marcado el control, lo carga y usa valores persistentes (si hay alguno). Esta opción evita que se pida confirmación al usuario.

  • Nivel de seguridad 2: si el control está marcado como SFI, lo carga en modo seguro y usa valores persistentes (si hay alguno). Si el control no está marcado como SFI, lo carga en modo no seguro con valores persistentes (si hay alguno) o usa la configuración predeterminada (primera inicialización). Este nivel se parece a la configuración predeterminada, pero a diferencia de ésta, aquél evita que se notifique a los usuarios.

  • Nivel de seguridad 3: si el control está marcado como SFI, carga el control en modo no seguro y usa valores persistentes (si hay alguno). Si no está marcado como SFI, solicita confirmación al usuario e informa de que está marcado como no seguro. Si el usuario elige No al solicitar la confirmación, no carga el control. En caso contrario, carga el control con la configuración predeterminada (primera inicialización).

  • Nivel de seguridad 4 Si el control está marcado como SFI, carga el control en modo seguro y utiliza valores persistentes (si hay alguno). Si no está marcado como SFI, solicita la confirmación al usuario e informa de que está marcado como no seguro. Si el usuario elige No al solicitar la confirmación, no carga el control. En caso contrario, carga el control con la configuración predeterminada (primera inicialización).

  • Nivel de seguridad 5: si el control está marcado como SFI, carga el control en modo no seguro y usa valores persistentes (si hay alguno). Si no está marcado como SFI, solicita confirmación al usuario e informa de que está marcado como no seguro. Si el usuario elige No al solicitar la confirmación, no carga el control. En caso contrario, se carga con valores persistentes.

  • Nivel de seguridad 6 Si el control está marcado como SFI, carga el control en modo seguro y usa valores persistentes (si hay alguno). Si no está marcado como SFI, solicita confirmación al usuario e informa de que está marcado como no seguro. Si el usuario elige No al solicitar la confirmación, no carga el control. En caso contrario, se carga con valores persistentes.

Impacto: si el control no está marcado como SFI, podría afectar negativamente al equipo, o podría significar que los programadores no probaron el control en todas las situaciones y no pueden saber con seguridad si podría poner en peligro el equipo en el futuro. Además, algunos controles ActiveX no respetan la configuración de modo seguro del registro y podrían cargar datos persistentes aunque se haya configurado esta opción. En este caso, los controles ActiveX se inicializan en modo seguro. Si habilita esta opción y selecciona los niveles de seguridad 2, 4 ó 6 solo aumentará la seguridad de los controles ActiveX que están marcados correctamente como SFI. En situaciones que implican código malintencionado o mal diseñado, puede que se marque un control ActiveX incorrectamente como SFI.

Instrucciones: la mayoría de las organizaciones habilitan esta opción y seleccionan el nivel de seguridad 2, que usa los mismos criterios de inicialización que la configuración predeterminada, pero no informa a los usuarios en la Barra de mensajes. Las organizaciones que tienen un entorno de seguridad muy restrictivo suelen deshabilitar esta opción. La configuración predeterminada es Deshabilitado.

Muchas otras configuraciones afectan al comportamiento de los controles ActiveX en las aplicaciones de Office 2013. Si modifica la configuración de los controles ActiveX porque tiene un entorno de seguridad especial, es posible que desee evaluar la siguiente configuración:

Cargar controles en Formularios3   Esta opción determina cómo se inicializan los controles ActiveX en UserForms.

Deshabilitar todas las notificaciones de la barra de confianza para problemas de seguridad: esta opción evita que los usuarios vean las advertencias de la barra de mensajes, incluidas las que son sobre los controles ActiveX no seguros.

NotaNota:
Para obtener la información más reciente sobre la configuración de la directiva, consulte el libro Excel 2013, Office2013GroupPolicyAndOCTSettings_Reference.xls, que se incluye en los archivos de la plantilla administrativa de Office 2013. Para obtener más información, consulte el artículo de Technet sobre los archivos de la plantilla administrativa de Office 2013 (ADMX/ADML) y la Herramienta de personalización de Office.

Mostrar: