Editores de confianza para archivos de Office

Se aplica a:Aplicaciones Microsoft 365, Office LTSC 2021, Office 2019 y Office 2016

Un editor es una persona o empresa que ha publicado software, como una macro, un control ActiveX o un complemento. Antes de decidir que un editor es confiable y puede ser de confianza, debe conocer la identidad del editor y si las credenciales del editor son válidas.

Si Office le avisa sobre código potencialmente inseguro en un archivo, puede ver más información sobre el código y el editor antes de decidir si confía en el código o en el editor. Si recibe una advertencia que indica que no hay ninguna firma presente o que la firma no es válida, no debe habilitar el contenido ni confiar en el editor a menos que esté seguro de que el código procede de una fuente de confianza. Normalmente, un mensaje que indica que la firma no es válida significa que el código se manipuló después de que el autor lo firmara.

Si una macro usada en un archivo de Office está firmada y ha validado el certificado y confía en el origen, puede convertir esa fuente en un editor de confianza. Le recomendamos, si es posible, que administre editores de confianza para los usuarios.

Nota

Si su organización desarrolla y distribuye macros en archivos de Office, ya sea a usuarios internos o clientes externos, los desarrolladores de macros deben firmar su código VBA como procedimiento recomendado. El código normalmente se firma con un certificado digital de una entidad de certificación comercial (CA) antes de que se distribuyan las macros.

Para ser un editor de confianza, el certificado de firma de código público que se usa para firmar la macro debe agregarse al almacén de certificados de editores de confianza en el dispositivo.

Advertencia

• Todas las macros firmadas válidamente con el mismo certificado se reconocen como procedentes de un editor de confianza y se ejecutan.
• Agregar un editor de confianza podría afectar a escenarios más allá de los relacionados con Office, ya que un editor de confianza es una configuración de Todo Windows, no solo una configuración específica de Office.

Usar directiva de grupo para administrar editores de confianza

Puede usar directiva de grupo para distribuir a los dispositivos de su organización el certificado de firma de código público que se usa para firmar la macro. Para distribuir el certificado, puede realizar los pasos siguientes en la herramienta Administración de directiva de grupo:

1. Vaya Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública, haga clic con el botón derecho en Editores de confianza y, después, elija Importar.
2. Ejecute el Asistente para la importación de certificados e importe el archivo de certificado adecuado al almacén de certificados de editores de confianza.

Para los usuarios que solo deben ejecutar macros de VBA firmadas por un editor de confianza, debe establecer la directiva de configuración de notificaciones de macros de VBA en Habilitado y realizar los pasos siguientes en Opciones:

• Seleccione Deshabilitar todo excepto las macros firmadas digitalmente en la lista desplegable.
• Seleccione la casilla Requerir que las macros estén firmadas por un editor de confianza .

Nota

Si elige esta configuración para Excel, se bloquearán las macros de Excel 4.0.

Si desea proporcionar más restricciones, en Opciones puede seleccionar la casilla Bloquear certificados de editores de confianza que solo están instalados en el almacén de certificados del usuario actual . Esta configuración impide que los usuarios agreguen manualmente un editor de confianza en su dispositivo, a menos que tengan permisos de administrador en el dispositivo.

Usar un programa de línea de comandos para distribuir un certificado para un editor de confianza

Si no puede o no usa directiva de grupo en su organización, también puede distribuir el certificado de firma de código público mediante el comando certutil en un script o de forma manual en un dispositivo. Puede usar el parámetro -addstore para agregar el certificado de firma de código al almacén trustedPublisher en el dispositivo.

Hacer que un usuario agregue manualmente un editor de confianza

Si solo tiene unos pocos usuarios que necesitan configurar un editor de confianza, puede hacerlo manualmente en cada dispositivo. Los usuarios solo tienen que hacerlo una vez para cada editor.

Los usuarios pueden seguir estas instrucciones para agregar la fuente de un editor de confianza. Si el archivo tiene Marca de la Web, los usuarios primero deben quitar Marca de la Web del archivo para poder agregar el origen como editor de confianza. Para obtener más información, revise la información de este artículo.