Los mensajes de inicio de sesión de autenticación básica están bloqueados de forma predeterminada en Aplicaciones de Microsoft 365
Nota:
La información de este artículo está relacionada con las publicaciones del Centro de mensajes MC454810, MC499030 y MC649046, que se publicaron en el Centro de administración de Microsoft 365.
Las aplicaciones como Word y Excel permiten a los usuarios usar la autenticación básica para conectarse a los recursos de los servidores web mediante el envío de nombres de usuario y contraseñas con cada solicitud. Estas credenciales a menudo se almacenan en los servidores, lo que facilita a los atacantes capturarlas y reutilizarlas en otros puntos de conexión o servicios.
La autenticación básica es un estándar del sector obsoleto y no admite características de seguridad más sólidas, como la autenticación multifactor. Las amenazas que plantea solo han aumentado y hay alternativas de autenticación de usuario mejores y más eficaces. Por ejemplo, la autenticación moderna, que admite la autenticación multifactor, las tarjetas inteligentes y la autenticación basada en certificados.
Por lo tanto, para ayudar a mejorar la seguridad en aplicaciones de Microsoft 365, vamos a cambiar su comportamiento predeterminado para bloquear los mensajes de inicio de sesión de la autenticación básica.
Con este cambio, si los usuarios intentan abrir archivos en servidores que solo usan la autenticación básica, no verán ninguna solicitud de inicio de sesión de autenticación básica. En su lugar, ven un mensaje que indica que el archivo se ha bloqueado porque usa un método de inicio de sesión que podría no ser seguro. El mensaje incluye un vínculo que lleva a los usuarios a un artículo que contiene información sobre los riesgos de seguridad de la autenticación básica.
Nota:
- Los recursos compartidos de archivos hospedados en Windows no se ven afectados por este cambio porque el método de autenticación usado es NTLM.
- SharePoint Online, OneDrive y SharePoint Server local (configurado para la autenticación moderna) no se ven afectados por este cambio.
- Este cambio afecta a SharePoint Server local configurado para la autenticación básica.
Versiones de aplicaciones de Microsoft 365 afectadas por este cambio
Este cambio afecta a las siguientes aplicaciones solo en dispositivos que ejecutan Windows:
- Acceso
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
Nota:
- Este cambio no afecta a que Outlook se conecte a Exchange Server local mediante la autenticación básica.
- Este cambio no afecta a que Outlook se conecte a Exchange Online mediante la autenticación básica. Hay un esfuerzo independiente para dejar de usar la autenticación básica con Exchange Online. Para obtener más información, consulte Desuso de la autenticación básica en Exchange Online.
Como parte del lanzamiento, los usuarios reciben inicialmente un mensaje de advertencia si intentan acceder a un archivo mediante la autenticación básica. Después de ese período de advertencia, se bloqueará al usuario para que no abra el archivo y verá un mensaje que le indica que el origen usa un método de inicio de sesión que podría no ser seguro.
En la tabla siguiente se muestra la versión de cada canal de actualización en la que se implementan los cambios de advertencia y bloqueo. La información en cursiva está sujeta a cambios.
| Canal de actualización | Versión de advertencia | Bloqueo de la versión |
|---|---|---|
| Canal actual (vista previa) | Versión 2303 |
Versión 2311 (noviembre de 2023) |
| Canal actual | Versión 2304 |
Versión 2311 (Diciembre de 2023) |
| Canal mensual para empresas | Versión 2304 |
Versión 2311 (9 de enero de 2024) |
| Canal semestral para empresas (versión preliminar) | Versión 2308 |
Versión 2402 (12 de marzo de 2024) |
| Canal empresarial semestral |
Versión 2308 (9 de enero de 2024) |
Versión 2402 (9 de julio de 2024) |
Nota:
- Este cambio también afectará a las versiones comerciales de Office 2021, Office 2019 y Office 2016. Están en la misma programación que el canal actual.
- Este cambio no afectará a las versiones con licencia por volumen de Office, como Office LTSC Professional Plus 2021 u Office Standard 2019.
Cómo las aplicaciones de Microsoft 365 determinan si se deben mostrar mensajes de autenticación básicos
El siguiente gráfico de diagrama de flujo muestra cómo Aplicaciones de Microsoft 365 determina si se debe abrir un archivo si el servidor usa la autenticación básica.
En los pasos siguientes se explica la información del gráfico de diagrama de flujo.
Un usuario intenta abrir un archivo almacenado en un servidor web.
Si el servidor usa la autenticación de proxy de autenticación básica, Aplicaciones de Microsoft 365 evalúa el estado de la directiva Permitir mensajes de autenticación básica desde servidores proxy de red .
- Si la directiva está establecida en Habilitado, se pedirá al usuario que proporcione un nombre de usuario y una contraseña para abrir el archivo.
- De lo contrario, el usuario no ve un mensaje de inicio de sesión y el archivo no se abre. En su lugar, el usuario ve un mensaje que indica que el archivo se ha bloqueado porque usa un método de inicio de sesión que podría no ser seguro.
Si el servidor no usa la autenticación básica, se abre el archivo. Si el servidor usa la autenticación básica, Aplicaciones de Microsoft 365 comprueba si existe una directiva para permitir solicitudes de autenticación básica.
Si el servidor se autentica directamente con la autenticación básica, Aplicaciones de Microsoft 365 evalúa el estado de la directiva Permitir que los hosts especificados muestren mensajes de autenticación básica a las aplicaciones de Office .
- Si la directiva se establece en Habilitado y se especifica el servidor, se pedirá al usuario que proporcione un nombre de usuario y una contraseña para abrir el archivo.
- De lo contrario, el usuario no ve un mensaje de inicio de sesión y el archivo no se abre. En su lugar, el usuario ve un mensaje que indica que el archivo se ha bloqueado porque usa un método de inicio de sesión que podría no ser seguro.
Uso de directivas para administrar solicitudes de autenticación básica
Si necesita proporcionar solicitudes de autenticación básica para determinados hosts o servidores proxy de red, puede configurar las siguientes directivas:
- Permitir que los hosts especificados muestren solicitudes de autenticación básica a las aplicaciones de Office
- Permitir solicitudes de autenticación básica desde servidores proxy de red
Importante
- No se recomienda permitir solicitudes de autenticación básica para determinados hosts o servidores proxy de red, ya que el uso de la autenticación básica no es seguro.
- Pero puede usar estas directivas si necesita proporcionar estos mensajes temporalmente mientras mueve esos servidores a métodos de autenticación más seguros.
Estas directivas se pueden encontrar en la Consola de administración de directivas de grupo en Configuración de usuario\Directivas\Plantillas administrativas\Microsoft Office 2016\Configuración de seguridad.
Nota:
- Para usar estas directivas, descargue al menos la versión 5359.1000 de los archivos de plantilla administrativa de directiva de grupo (ADMX/ADML) para aplicaciones de Microsoft 365 desde el Centro de descarga de Microsoft. Esa versión fue publicada el 11 de agosto de 2022.
- También puede implementar estas directivas mediante cloud policy. Para obtener más información, consulte Información general del servicio de directivas en la nube para Microsoft 365.
Permitir que los hosts especificados muestren solicitudes de autenticación básica a las aplicaciones de Office
Esta directiva le permite especificar qué hosts pueden mostrar mensajes de inicio de sesión de autenticación básica a aplicaciones como Word y Excel.
En la tabla siguiente se muestra el nivel de protección que se obtiene con cada estado de la directiva.
| Icono | Nivel de protección | Estado de la directiva | Descripción |
|---|---|---|---|
|
Protected | Habilitado (no se especifica ningún host) |
Se impide que los usuarios abran archivos ubicados en servidores web que usan la autenticación básica. |
|
Parcialmente protegido | Habilitado (hosts especificados) |
Las solicitudes de autenticación básica solo se permiten desde los hosts especificados.
Si especifica varios hosts, sepárelos por un punto y coma. |
|
|
Protected | Deshabilitada | Se impide que los usuarios abran archivos ubicados en servidores web que usan la autenticación básica. |
|
|
Protegido [recomendado] |
Not Configured | Se impide que los usuarios abran archivos ubicados en servidores web que usan la autenticación básica. |
Permitir solicitudes de autenticación básica desde servidores proxy de red
Esta directiva controla si los servidores proxy de red pueden mostrar mensajes de autenticación básicos.
En la tabla siguiente se muestra el nivel de protección que se obtiene con cada estado de la directiva.
| Icono | Nivel de protección | Estado de la directiva | Descripción |
|---|---|---|---|
|
|
Protected | Deshabilitada | Los servidores proxy de red no muestran solicitudes de autenticación básica. |
|
No protegido | Habilitado | Los servidores proxy de red muestran mensajes de autenticación básicos. |
|
|
Protegido [recomendado] | Not Configured | Los servidores proxy de red no muestran solicitudes de autenticación básica. |