Las macros de Internet están bloqueadas de forma predeterminada en Office

Las macros de VBA son una manera común para que los actores malintencionados obtengan acceso a la implementación de malware y ransomware. Por lo tanto, para ayudar a mejorar la seguridad en Office, estamos cambiando el comportamiento predeterminado de las aplicaciones de Office para bloquear macros en archivos de Internet.

Este cambio afecta a la forma en que los usuarios interactúan con archivos de Internet, como los datos adjuntos de correo electrónico que contienen macros. Ahora, cuando los usuarios abren un archivo de este tipo, ven el siguiente mensaje:

Banner de riesgo de seguridad sobre macros bloqueadas con un botón Más información

El botón Más información va a un artículo para usuarios finales y trabajadores de la información que contiene información sobre el riesgo de seguridad de los actores incorrectos mediante macros, prácticas seguras para evitar la suplantación de identidad (phishing) y malware e instrucciones sobre cómo habilitar estas macros (si es necesario).

En algunos casos, los usuarios también ven el mensaje si el archivo procede de una ubicación dentro de la intranet y no se identifica como de confianza. Por ejemplo, si los usuarios acceden a los archivos de un recurso compartido de red mediante la dirección IP del recurso compartido. Para obtener más información, consulte Archivos ubicados centralmente en un recurso compartido de red o un sitio web de confianza.

Importante

Incluso antes de este cambio que estamos introduciendo, las organizaciones podrían usar las macros Bloquear que se ejecuten en archivos de Office desde la directiva de Internet para evitar que los usuarios abran involuntariamente archivos desde Internet que contienen macros. Se recomienda habilitar esta directiva como parte de la línea base de seguridad para Aplicaciones Microsoft 365 para empresas. Si configura la directiva, la organización no se verá afectada por este cambio predeterminado.

Para obtener más información, consulte Uso de directivas para administrar el modo en que Office controla las macros.

Preparación para este cambio

Prepárese para este cambio trabajando con las unidades de negocio de su organización que usan macros en archivos de Office. Estos archivos a menudo se abren desde ubicaciones como recursos compartidos de red de intranet o sitios web de intranet. Quiere identificar esas macros y determinar qué pasos seguir para seguir usando esas macros. Trabaje con proveedores de software independientes (ISV) que proporcionan macros en archivos de Office desde esas ubicaciones. Por ejemplo, para ver si pueden firmar digitalmente su código y puede tratarlos como un publicador de confianza.

Además, revise la siguiente información:

Acción de preparación Más información
Comprender qué versión de cada canal de actualización tiene este cambio Versiones de Office afectadas por este cambio
Vea un gráfico de flujo del proceso que Office realiza para determinar si se deben ejecutar macros en un archivo. Cómo Office determina si se deben ejecutar macros en archivos desde Internet
Más información sobre las directivas que puede usar para controlar la ejecución de macros de VBA Uso de directivas para administrar el modo en que Office controla las macros

Pasos que debe seguir para permitir que las macros de VBA se ejecuten en los archivos en los que confía

La forma en que permita que las macros de VBA se ejecuten en archivos de confianza depende de dónde se encuentren esos archivos o del tipo de archivo.

En la tabla siguiente se enumeran diferentes escenarios comunes y posibles enfoques que se pueden adoptar para desbloquear macros vba y permitir que se ejecuten. No es necesario realizar todos los enfoques posibles para un escenario determinado. En los casos en los que se enumeran varios enfoques, elija el que mejor se adapte a su organización.

Escenario Posibles enfoques que se pueden adoptar
Archivos individuales
• Active la casilla Desbloquear en la pestaña General del cuadro de diálogo Propiedades del archivo.
• Uso del cmdlet Unblock-File en PowerShell

Para obtener más información, vea Quitar la marca de la web de un archivo.
Archivos ubicados centralmente en un recurso compartido de red o un sitio web de confianza Desbloquee el archivo mediante un enfoque que aparece en "Archivos individuales".

Si no hay una casilla Desbloquear y desea confiar en todos los archivos de esa ubicación de red:
• Designar la ubicación como sitio de confianza
• Agregar la ubicación a la zona de intranet local

Para obtener más información, consulte Archivos ubicados centralmente en un recurso compartido de red o un sitio web de confianza.
Archivos almacenados en OneDrive o SharePoint, incluido un sitio usado por un canal de Teams • Hacer que los usuarios abran directamente el archivo mediante la opción Abrir en la aplicación de escritorio
• Si los usuarios descargan el archivo localmente antes de abrirlo, quite Mark of the Web de la copia local del archivo (consulte los enfoques en "Archivos individuales")
• Designar la ubicación como sitio de confianza

Para obtener más información, vea Archivos en OneDrive o SharePoint.
Archivos de plantilla habilitados para macros para Word, PowerPoint y Excel Si el archivo de plantilla se almacena en el dispositivo del usuario:
• Quite Mark of the Web del archivo de plantilla (consulte los enfoques en "Archivos individuales")
• Guardar el archivo de plantilla en una ubicación de confianza

Si el archivo de plantilla se almacena en una ubicación de red:
• Usar una firma digital y confiar en el publicador
• Confiar en el archivo de plantilla (consulte los enfoques en "Archivos ubicados centralmente en un recurso compartido de red o un sitio web de confianza")

Para obtener más información, vea Archivos de plantilla habilitados para macros para Word, PowerPoint y Excel.
Archivos de complemento habilitados para macros para PowerPoint • Quitar la marca de la web del archivo del complemento
• Usar una firma digital y confiar en el publicador
• Guardar el archivo del complemento en una ubicación de confianza

Para obtener más información, vea Archivos de complemento habilitados para macros para PowerPoint y Excel.
Archivos de complemento habilitados para macros para Excel • Quitar la marca de la web del archivo del complemento
• Guardar el archivo del complemento en una ubicación de confianza

Para obtener más información, vea Archivos de complemento habilitados para macros para PowerPoint y Excel.
Macros firmadas por un publicador de confianza [recomendado] Implemente el certificado de firma de código público para el publicador de confianza a los usuarios y evite que los usuarios agreguen publicadores de confianza.
• Quite Mark of the Web del archivo y haga que el usuario agregue el publicador de la macro como editor de confianza.

Para obtener más información, vea Macros firmadas por un publicador de confianza.
Grupos de archivos guardados en carpetas en el dispositivo del usuario Designar la carpeta una ubicación de confianza

Para obtener más información, consulte Ubicaciones de confianza.

Versiones de Office afectadas por este cambio

Este cambio solo afecta a Office en dispositivos que ejecutan Windows y solo afecta a las siguientes aplicaciones: Access, Excel, PowerPoint, Visio y Word.

En la tabla siguiente se muestra cuándo está disponible este cambio en cada canal de actualización.

Canal de actualización Versión Fecha
Canal actual (vista previa) Versión 2203 Comenzó a implementarse el 12 de abril de 2022
Canal actual Versión 2206 Comenzó a implementarse el 27 de julio de 2022
Canal mensual para empresas Versión 2208 11 de octubre de 2022
Canal semestral para empresas (versión preliminar) Versión 2208 11 de octubre de 2022
Canal empresarial semestral Versión 2208 10 de enero de 2023

El cambio no afecta a Office en un Equipo Mac, Office en dispositivos Android o iOS, ni a Office en la Web.

Cómo Office determina si se deben ejecutar macros en archivos desde Internet

El siguiente gráfico de diagrama de flujo muestra cómo Office determina si se deben ejecutar macros en un archivo desde Internet.

Diagrama de flujo que muestra cómo Office determina si se deben ejecutar macros en archivos desde Internet

En los pasos siguientes se explica la información del gráfico de diagrama de flujo, excepto para los archivos de complementos de Excel. Para obtener más información sobre esos archivos, vea Archivos de complemento habilitados para macros para PowerPoint y Excel. Además, si un archivo se encuentra en un recurso compartido de red que no está en la zona intranet local o no es un sitio de confianza, las macros se bloquean en ese archivo.

  1. Un usuario abre un archivo de Office que contiene macros obtenidas de Internet. Por ejemplo, un archivo adjunto de correo electrónico. El archivo tiene Mark of the Web (MOTW).

Nota:

  • Windows agrega la marca de la web a los archivos de una ubicación que no es de confianza, como Internet o zona restringida. Por ejemplo, descargas del explorador o datos adjuntos de correo electrónico. Para obtener más información, vea Marca de la web y las zonas.
  • La marca de la Web solo se aplica a los archivos guardados en un sistema de archivos NTFS, no a los archivos guardados en dispositivos con formato FAT32.
  1. Si el archivo procede de una ubicación de confianza, el archivo se abre con las macros habilitadas. Si el archivo no procede de una ubicación de confianza, la evaluación continúa.

  2. Si las macros tienen una firma digital y el dispositivo tiene el certificado de publicador de confianza correspondiente, el archivo se abre con las macros habilitadas. Si no es así, la evaluación continúa.

  3. Las directivas se comprueban para ver si las macros están permitidas o bloqueadas. Si las directivas están establecidas en No configuradas, la evaluación continúa en el paso 6.

  4. (a) Si la directiva bloquea las macros, las macros se bloquean.
    (b) Si las macros están habilitadas por la directiva, las macros están habilitadas.

  5. Si el usuario abrió previamente el archivo, antes de este cambio en el comportamiento predeterminado y seleccionó Habilitar contenido en la barra de confianza, las macros se habilitan porque el archivo se considera de confianza.

Nota:

  1. Este paso es donde surte efecto el cambio en el comportamiento predeterminado de Office. Con este cambio, las macros de los archivos de Internet se bloquean y los usuarios ven el banner Riesgo de seguridad cuando abren el archivo.

Nota:

Anteriormente, antes de este cambio en el comportamiento predeterminado, la aplicación comprobaría si la directiva de configuración de notificación de macros de VBA estaba habilitada y cómo se configuró.

Si la directiva se estableció en Deshabilitado o No configurado, la aplicación comprobaría la configuración enOpciones> de archivo>Configuración del Centro de confianzadel Centro > deconfianza...>Configuración de macro. El valor predeterminado se establece en "Deshabilitar todas las macros con notificación", lo que permite a los usuarios habilitar el contenido en la barra de confianza.

Instrucciones sobre cómo permitir que las macros de VBA se ejecuten en archivos de confianza

Quitar la marca de la web de un archivo

Para desbloquear macros en un archivo, como una de Internet o un archivo adjunto de correo electrónico, quite la marca de la web en el dispositivo local. Para quitarlo, haga clic con el botón derecho en el archivo, elija Propiedades y, a continuación, active la casilla Desbloquear en la pestaña General .

Cuadro de diálogo de propiedades de archivo que muestra la opción de desbloquear

Nota:

  • En algunos casos, normalmente para los archivos de un recurso compartido de red, es posible que los usuarios no vean la casilla Desbloquear de un archivo en el que se bloquean las macros. Para esos casos, consulte Archivos ubicados centralmente en un recurso compartido de red o un sitio web de confianza.
  • Incluso si la casilla Desbloquear está disponible para un archivo en un recurso compartido de red, la selección de la casilla no tendrá ningún efecto si se considera que el recurso compartido está en la zona de Internet . Para obtener más información, vea Marca de la web y las zonas.

También puede usar el cmdlet Unblock-File en PowerShell para quitar el valor zoneId del archivo. Quitar el valor de ZoneId permite que las macros de VBA se ejecuten de forma predeterminada. El uso del cmdlet hace lo mismo que seleccionar la casilla Desbloquear en la pestaña General del cuadro de diálogo Propiedades del archivo. Para obtener más información sobre el valor de ZoneId, vea Mark of the Web and zones (Marca de la web y las zonas).

Archivos ubicados centralmente en un recurso compartido de red o un sitio web de confianza

Si tiene a los usuarios acceso a archivos desde un sitio web de confianza o un servidor de archivos interno, puede realizar cualquiera de los pasos siguientes para que las macros de esas ubicaciones no se bloqueen.

  • Designar la ubicación como sitio de confianza
  • Si la ubicación de red está en la intranet, agregue la ubicación a la zona intranet local .

Nota:

  • Si agrega algo como un sitio de confianza, también concederá permisos elevados a todo el sitio para escenarios no relacionados con Office.
  • Para el enfoque Zona de intranet local , se recomienda guardar los archivos en una ubicación que ya se considera parte de la zona intranet local , en lugar de agregar nuevas ubicaciones a esa zona.
  • En general, se recomienda usar sitios de confianza, ya que tienen cierta seguridad adicional en comparación con la zona de intranet local .

Por ejemplo, si los usuarios acceden a un recurso compartido de red mediante su dirección IP, las macros de esos archivos se bloquean a menos que el recurso compartido de archivos esté en los sitios de confianza o en la zona intranet local .

Sugerencia

  • Para ver una lista de sitios de confianza o lo que hay en la zona intranet local, vaya a Panel de control>Opciones> de InternetCambie la configuración de seguridad en un dispositivo Windows.
  • Para comprobar si un archivo individual procede de un sitio de confianza o una ubicación de intranet local, consulte Marca de la web y las zonas.

Por ejemplo, puede agregar un servidor de archivos o un recurso compartido de red como un sitio de confianza agregando su FQDN o dirección IP a la lista de sitios de confianza.

Cuadro de diálogo Sitios de confianza

Si desea agregar direcciones URL que comiencen por http:// o recursos compartidos de red, desactive la casilla Requerir comprobación del servidor (https:) para todos los sitios de esta zona .

Importante

Dado que las macros no están bloqueadas en los archivos de estas ubicaciones, debe administrar estas ubicaciones cuidadosamente. Asegúrese de controlar quién puede guardar archivos en estas ubicaciones.

Puede usar directiva de grupo y la directiva "Lista de asignaciones de sitio a zona" para agregar ubicaciones como sitios de confianza o a la zona intranet local para dispositivos Windows de su organización. Esta directiva se encuentra en Componentes de Windows\Internet Explorer\Internet Panel de control\Página seguridad en la consola de administración de directiva de grupo. Está disponible en Configuración del equipo\Directivas\Plantillas administrativas y Configuración de usuario\Directivas\Plantillas administrativas.

Archivos en OneDrive o SharePoint

  • Si un usuario descarga un archivo en OneDrive o SharePoint mediante un explorador web, la configuración de la zona de seguridad de Internet de Windows (Panel de control>Internet Options>Security) determina si el explorador establece Mark of the Web. Por ejemplo, Microsoft Edge establece Mark of the Web en un archivo si procede de la zona de Internet.

  • Si un usuario selecciona Abrir en aplicación de escritorio en un archivo abierto desde el sitio web de OneDrive o desde un sitio de SharePoint (incluido un sitio usado por un canal de Teams), el archivo no tendrá Marca de la Web.

  • Si un usuario tiene el cliente Sincronización de OneDrive en ejecución y el cliente de sincronización descarga un archivo, el archivo no tendrá Mark of the Web.

  • Los archivos que se encuentran en carpetas conocidas de Windows (escritorio, documentos, imágenes, capturas de pantalla y rollo de cámara) y que se sincronizan con OneDrive, no tienen mark of the Web.

  • Si tiene un grupo de usuarios, como el departamento financiero que necesita usar archivos de OneDrive o SharePoint sin que se bloqueen las macros, estas son algunas opciones posibles:

    • Haga que abran el archivo mediante la opción Abrir en la aplicación de escritorio

    • Pídales que descarguen el archivo en una ubicación de confianza.

    • Establezca la asignación de zona de seguridad de Internet de Windows para dominios de OneDrive o SharePoint en Sitios de confianza. Los administradores pueden usar la directiva "Lista de asignaciones de sitio a zona" y configurar la directiva para colocar https://{your-domain-name}.sharepoint.com (para SharePoint) o https://{your-domain-name}-my.sharepoint.com (para OneDrive) en la zona sitios de confianza.

      • Esta directiva se encuentra en Componentes de Windows\Internet Explorer\Internet Panel de control\Página seguridad en la consola de administración de directiva de grupo. Está disponible en Configuración del equipo\Directivas\Plantillas administrativas y Configuración de usuario\Directivas\Plantillas administrativas.

      • Los permisos de SharePoint y el uso compartido de OneDrive no se cambian agregando estas ubicaciones a sitios de confianza. Es importante mantener el control de acceso. Cualquier persona con permisos para agregar archivos a SharePoint podría agregar archivos con contenido activo, como macros. Los usuarios que descargan archivos de dominios de la zona Sitios de confianza omiten el valor predeterminado para bloquear macros.

Archivos de plantilla habilitados para macros para Word, PowerPoint y Excel

Los archivos de plantilla habilitados para macros para Word, PowerPoint y Excel que se descargan de Internet tienen mark of the Web. Por ejemplo, archivos de plantilla con las extensiones siguientes:

  • .dot
  • .dotm
  • .Olla
  • .potm
  • .Xlt
  • .xltm

Cuando el usuario abre el archivo de plantilla habilitado para macros, se impide que el usuario ejecute las macros en el archivo de plantilla. Si el usuario confía en el origen del archivo de plantilla, puede quitar Mark of the Web del archivo de plantilla y, a continuación, volver a abrir el archivo de plantilla en la aplicación de Office.

Si tiene un grupo de usuarios que necesitan usar plantillas habilitadas para macros sin que se bloqueen las macros, puede realizar cualquiera de las siguientes acciones:

  • Use una firma digital y confíe en el publicador.
  • Si no usa firmas digitales, puede guardar el archivo de plantilla en una ubicación de confianza y hacer que los usuarios obtengan el archivo de plantilla de esa ubicación.

Archivos de complemento habilitados para macros para PowerPoint y Excel

Los archivos de complemento habilitados para macros para PowerPoint y Excel que se descargan desde Internet tienen mark of the Web. Por ejemplo, archivos de complemento con las extensiones siguientes:

  • .Ppa
  • .ppam
  • .Xla
  • .xlam

Cuando el usuario intenta instalar el complemento habilitado para macros, mediantecomplementos deopciones> de archivo> o mediante la cinta De desarrollador, el complemento se carga en un estado deshabilitado y el usuario no puede usar el complemento. Si el usuario confía en el origen del archivo del complemento, puede quitar Mark of the Web del archivo del complemento y, a continuación, volver a abrir PowerPoint o Excel para usar el complemento.

Si tiene un grupo de usuarios que necesitan usar archivos de complemento habilitados para macros sin que se bloqueen las macros, puede realizar las siguientes acciones.

Para los archivos de complementos de PowerPoint:

  • Quite Mark of the Web del archivo .ppa o .ppam.
  • Use una firma digital y confíe en el publicador.
  • Guarde el archivo del complemento en una ubicación de confianza para que los usuarios lo recuperen.

Para los archivos de complemento de Excel:

  • Quite Mark of the Web del archivo .xla o .xlam.
  • Guarde el archivo del complemento en una ubicación de confianza para que los usuarios lo recuperen.

Nota:

El uso de una firma digital y la confianza del publicador no funciona para los archivos de complementos de Excel que tienen marca de la web. Este comportamiento no es nuevo para los archivos de complementos de Excel que tienen Mark of the Web. Ha funcionado así desde 2016, como resultado de un esfuerzo anterior de protección de seguridad (relacionado con el Boletín de seguridad de Microsoft MS16-088).

Macros firmadas por un publicador de confianza

Si la macro está firmada y valida el certificado y confía en el origen, puede convertir ese origen en un publicador de confianza. Se recomienda, si es posible, administrar publicadores de confianza para los usuarios. Para obtener más información, vea Editores de confianza para archivos de Office.

Si solo tiene unos pocos usuarios, puede hacer que quiten Mark of the Web del archivo y, a continuación, agreguen el origen de la macro como editor de confianza en sus dispositivos.

Advertencia

  • Todas las macros firmadas válidamente con el mismo certificado se reconocen como procedentes de un publicador de confianza y se ejecutan.
  • Agregar un publicador de confianza podría afectar a escenarios más allá de los relacionados con Office, ya que un publicador de confianza es una configuración de Todo Windows, no solo una configuración específica de Office.

Ubicaciones de confianza.

Al guardar archivos de Internet en una ubicación de confianza en el dispositivo de un usuario, se omite la comprobación de la marca de la Web y se abre con las macros vba habilitadas. Por ejemplo, una aplicación de línea de negocio podría enviar informes con macros de forma periódica. Si los archivos con macros se guardan en una ubicación de confianza, los usuarios no tienen que ir a las propiedades del archivo y seleccionar Desbloquear para permitir que se ejecuten las macros.

Dado que las macros no están bloqueadas en los archivos guardados en una ubicación de confianza, debe administrar las ubicaciones de confianza cuidadosamente y usarlas con moderación. Las ubicaciones de red también se pueden establecer como una ubicación de confianza, pero no se recomienda. Para obtener más información, vea Ubicaciones de confianza para archivos de Office.

Información adicional sobre Mark of the Web

Marca de los documentos web y de confianza

Cuando se descarga un archivo en un dispositivo que ejecuta Windows, Mark of the Web se agrega al archivo, identificando su origen como procedente de Internet. Actualmente, cuando un usuario abre un archivo con Mark of the Web, aparece un banner ADVERTENCIA DE SEGURIDAD , con un botón Habilitar contenido . Si el usuario selecciona Habilitar contenido, el archivo se considera un documento de confianza y las macros pueden ejecutarse. Las macros seguirán ejecutándose incluso después de que se implemente el cambio de comportamiento predeterminado para bloquear macros en archivos de Internet, ya que el archivo todavía se considera un documento de confianza.

Después del cambio de comportamiento predeterminado para bloquear macros en archivos de Internet, los usuarios verán un banner diferente la primera vez que abran un archivo con macros desde Internet. Este banner DE RIESGO DE SEGURIDAD no tiene la opción Habilitar contenido. Pero los usuarios pueden ir al cuadro de diálogo Propiedades del archivo y seleccionar Desbloquear, que quitará La marca de la web del archivo y permitirá que se ejecuten las macros, siempre y cuando no se bloquee ninguna directiva o configuración del Centro de confianza.

Marca de la web y las zonas

De forma predeterminada, Mark of the Web se agrega a los archivos solo desde las zonas de Internet o sitios restringidos .

Sugerencia

Para ver estas zonas en un dispositivo Windows, vaya a Panel de control>Opciones> de internetCambie la configuración de seguridad.

Para ver el valor de ZoneId de un archivo, ejecute el siguiente comando en un símbolo del sistema y reemplace {nombre del archivo} por el nombre de archivo.

notepad {name of file}:Zone.Identifier

Al ejecutar este comando, el Bloc de notas abrirá y mostrará zoneId en la sección [ZoneTransfer].

Esta es una lista de los valores de ZoneId y a qué zona se asignan.

  • 0 = Mi equipo
  • 1 = Intranet local
  • 2 = Sitios de confianza
  • 3 = Internet
  • 4 = Sitios restringidos

Por ejemplo, si ZoneId es 2, las macros vba de ese archivo no se bloquearán de forma predeterminada. Pero si ZoneId es 3, las macros de ese archivo se bloquearán de forma predeterminada.

Puede usar el cmdlet Unblock-File en PowerShell para quitar el valor ZoneId del archivo. Quitar el valor de ZoneId permite que las macros de VBA se ejecuten de forma predeterminada. El uso del cmdlet hace lo mismo que seleccionar la casilla Desbloquear en la pestaña General del cuadro de diálogo Propiedades del archivo.

Uso de directivas para administrar el modo en que Office controla las macros

Puede usar directivas para administrar cómo Office controla las macros. Se recomienda usar las macros Bloquear la ejecución en archivos de Office desde la directiva de Internet . Pero si esa directiva no es adecuada para su organización, la otra opción es la directiva configuración de notificación de macros de VBA .

Para obtener más información sobre cómo implementar estas directivas, consulte Herramientas disponibles para administrar directivas.

Importante

Solo puede usar directivas si usa Aplicaciones Microsoft 365 para empresas. Las directivas no están disponibles para Aplicaciones Microsoft 365 para negocios.

Impedir que las macros se ejecuten en archivos de Office desde Internet

Esta directiva impide que los usuarios abran involuntariamente archivos que contienen macros desde Internet. Cuando se descarga un archivo en un dispositivo que ejecuta Windows o se abre desde una ubicación de recurso compartido de red, Mark of the Web se agrega al archivo que identifica que se originó desde Internet.

Se recomienda habilitar esta directiva como parte de la línea base de seguridad para Aplicaciones Microsoft 365 para empresas. Debe habilitar esta directiva para la mayoría de los usuarios y solo realizar excepciones para determinados usuarios según sea necesario.

Hay una directiva independiente para cada una de las cinco aplicaciones. En la tabla siguiente se muestra dónde se puede encontrar cada directiva en la consola de administración de directiva de grupo en Configuración de usuario\Directivas\Plantillas administrativas:

Aplicación Ubicación de la directiva
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\Opciones de PowerPoint\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

El estado que elija para la directiva determina el nivel de protección que proporciona. En la tabla siguiente se muestra el nivel actual de protección que se obtiene con cada estado, antes de implementar el cambio en el comportamiento predeterminado.

Icono Nivel de protección Estado de la directiva Description
Círculo verde con marca de verificación blanca Protegido [recomendado] Habilitado Los usuarios no pueden ejecutar macros en archivos obtenidos de Internet.

Parte de la línea de base de seguridad recomendada por Microsoft.
Círculo rojo con X blanco No protegido Deshabilitada Respetará la configuración configurada enOpciones>de archivo>Configuración del Centro> deconfianza...>Configuración de macro.
Círculo rojo con X blanco No protegido Not Configured Respetará la configuración configurada enOpciones>de archivo>Configuración del Centro> deconfianza...>Configuración de macro.

Nota:

  • Si establece esta directiva en Deshabilitada, los usuarios verán, de forma predeterminada, una advertencia de seguridad cuando abran un archivo con una macro. Esa advertencia permitirá a los usuarios saber que las macros se han deshabilitado, pero les permitirá ejecutar las macros eligiendo el botón Habilitar contenido .
  • Esta advertencia es la misma advertencia que se han mostrado anteriormente los usuarios, antes de este cambio reciente que estamos implementando para bloquear macros.
  • No se recomienda establecer esta directiva en Deshabilitado permanentemente. Pero en algunos casos, podría ser práctico hacerlo temporalmente a medida que pruebe cómo afecta el nuevo comportamiento de bloqueo de macros a su organización y a medida que desarrolla una solución para permitir el uso seguro de macros.

Después de implementar el cambio en el comportamiento predeterminado, el nivel de protección cambia cuando la directiva se establece en No configurada.

Icono Nivel de protección Estado de la directiva Description
Círculo verde con marca de verificación blanca Protected Not Configured Los usuarios no pueden ejecutar macros en archivos obtenidos de Internet.

Los usuarios ven el banner Riesgo de seguridad con un botón Más información

Configuración de notificación de macros de VBA

Si no usa la directiva "Bloquear la ejecución de macros en archivos de Office desde Internet", puede usar la directiva "Configuración de notificación de macros de VBA" para administrar cómo administra Office las macros.

Esta directiva impide que los usuarios se atraigan para habilitar macros malintencionadas. De forma predeterminada, Office está configurado para bloquear archivos que contienen macros vba y mostrar una barra de confianza con una advertencia de que las macros están presentes y se han deshabilitado. Los usuarios pueden inspeccionar y editar los archivos si procede, pero no pueden usar ninguna funcionalidad deshabilitada hasta que seleccionen Habilitar contenido en la barra de confianza. Si el usuario selecciona Habilitar contenido, el archivo se agrega como un documento de confianza y las macros pueden ejecutarse.

Hay una directiva independiente para cada una de las cinco aplicaciones. En la tabla siguiente se muestra dónde se puede encontrar cada directiva en la consola de administración de directiva de grupo en Configuración de usuario\Directivas\Plantillas administrativas:

Aplicación Ubicación de la directiva
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel [1] Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\Opciones de PowerPoint\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

Nota:

  • [1] Para Excel, la directiva se denomina Configuración de notificación de macros.
  • La directiva "Configuración de notificación de macros de VBA" también está disponible para Project y Publisher.

El estado que elija para la directiva determina el nivel de protección que proporciona. En la tabla siguiente se muestra el nivel de protección que se obtiene con cada estado.

Icono Nivel de protección Estado de la directiva Valor de directiva
Círculo verde con marca de verificación blanca Protegido [recomendado] Habilitado Deshabilite todas excepto las macros firmadas digitalmente (y seleccione "Requerir que las macros estén firmadas por un publicador de confianza")
Círculo verde con marca de verificación blanca Protected Habilitado Deshabilitar todas sin notificación
Círculo naranja con marca de verificación blanca Parcialmente protegido Habilitado Deshabilitar todas con notificación
Círculo naranja con marca de verificación blanca Parcialmente protegido Deshabilitada (El mismo comportamiento que "Deshabilitar todo con notificación")
Círculo rojo con X blanco No protegido Habilitado Habilitar todas las macros (no se recomienda)

Importante

La protección de macros es importante. Para los usuarios que no necesitan macros, desactive todas las macros eligiendo "Deshabilitar todo sin notificación".

Nuestra recomendación de línea de base de seguridad es que debe hacer lo siguiente:

  • Habilite la directiva "Configuración de notificación de macros de VBA".
  • En el caso de los usuarios que necesiten macros, elija "Deshabilitar todas excepto las macros firmadas digitalmente" y, a continuación, seleccione "Requerir que las macros estén firmadas por un publicador de confianza". El certificado debe instalarse como publicador de confianza en los dispositivos de los usuarios.

Si no configura la directiva, los usuarios pueden configurar las opciones de protección de macros enOpciones>de archivo>Configuración del Centrodeconfianza del Centro> de confianza...>Configuración de macro.

En la tabla siguiente se muestran las opciones que los usuarios pueden tomar en Configuración de macros y el nivel de protección que proporciona cada configuración.

Icono Nivel de protección Configuración elegida
Círculo verde con marca de verificación blanca Protected Deshabilitar todas las macros excepto las firmadas digitalmente
Círculo verde con marca de verificación blanca Protected Deshabilitar todas las macros sin notificación
Círculo naranja con marca de verificación blanca Parcialmente protegido Deshabilitar todas las macros con notificación (valor predeterminado)
Círculo rojo con X blanco No protegido Habilitar todas las macros (no recomendado, puede ejecutarse código potencialmente peligroso)

Nota:

En los valores de configuración de directiva y la interfaz de usuario del producto para Excel, la palabra "all" se reemplaza por "VBA". Por ejemplo, "Deshabilitar macros VBA sin notificación".

Herramientas disponibles para administrar directivas

Hay varias herramientas disponibles para configurar e implementar la configuración de directivas para los usuarios de su organización.

Directiva de nube

Puede usar Cloud Policy para configurar e implementar la configuración de directivas en los dispositivos de su organización, incluso si el dispositivo no está unido a un dominio. Cloud Policy es una herramienta basada en web y se encuentra en el centro de administración de Aplicaciones Microsoft 365.

En Cloud Policy, se crea una configuración de directiva, se asigna a un grupo y, a continuación, se seleccionan las directivas que se van a incluir en la configuración de directiva. Para seleccionar una directiva que se va a incluir, puede buscar por el nombre de la directiva. Cloud Policy también muestra qué directivas forman parte de la línea de base de seguridad recomendada por Microsoft. Las directivas disponibles en Cloud Policy son las mismas directivas de configuración de usuario que están disponibles en la consola de administración de directiva de grupo.

Para obtener más información, consulte Información general del servicio de directivas en la nube para Microsoft 365.

centro de administración de Microsoft Intune

En el centro de administración de Microsoft Intune, puede usar el catálogo configuración (versión preliminar) o plantillas administrativas para configurar e implementar la configuración de directivas para los usuarios para los dispositivos que ejecutan Windows 10 o posterior.

Para empezar, vaya a Dispositivos> Perfiles >de configuraciónCrear perfil. En Plataforma, elija Windows 10 y versiones posteriores y, a continuación, elija el tipo de perfil.

Para más información, consulte los siguientes artículos:

Consola de administración de directivas de grupo

Si tiene Windows Server y Servicios de dominio de Active Directory (AD DS) implementados en su organización, puede configurar directivas mediante directiva de grupo. Para usar directiva de grupo, descargue los archivos de plantilla administrativa más actuales (ADMX/ADML) para Office, que incluyen la configuración de directiva para Aplicaciones Microsoft 365 para empresas. Después de copiar los archivos de plantilla administrativa en AD DS, puede usar la consola de administración de directiva de grupo para crear objetos de directiva de grupo (GPO) que incluyan la configuración de directiva para los usuarios y para los dispositivos unidos a un dominio.