Compartir a través de


Editores de confianza para archivos de Office

Se aplica a lasversiones con licencia por volumen del canal de servicio a largo plazo de Office (LTSC) 2024, Office LTSC 2021, Office 2019 y Office 2016 (incluidos Project y Visio)

Un publicador es una persona o una empresa que publica software, como una macro, un control ActiveX o un complemento. Antes de decidir confiar en un publicador, asegúrese de saber quién es el publicador y si sus credenciales son válidas.

Si Office le advierte sobre código potencialmente no seguro en un archivo, puede ver más información sobre el código y el publicador antes de decidir si desea confiar en el código o en el publicador. Si ve una advertencia sobre una firma que falta o no es válida, no habilite el contenido ni confíe en el publicador a menos que esté seguro de que el código procede de un origen confiable. Normalmente, un mensaje que indica que la firma no es válida significa que el código se alteró después de que el autor la firmara.

Si una macro de un archivo de Office está firmada y valida el certificado y confía en el origen, puede marcar el origen como un publicador de confianza. Si es posible, administre publicadores de confianza de forma centralizada para reducir las solicitudes del usuario y garantizar la seguridad de las macros.

Nota:

Si su organización crea y comparte macros en archivos de Office(ya sea con usuarios internos o clientes externos), los desarrolladores de macros deben firmar su código de Visual Basic para Aplicaciones (VBA) como procedimiento recomendado. Normalmente, el código se firma con un certificado digital de una entidad de certificación comercial (CA) antes de que se distribuyan las macros.

Para ser un publicador de confianza, el certificado de firma de código público que se usa para firmar la macro debe agregarse al almacén de certificados editores de confianza en el dispositivo.

Advertencia

  • Todas las macros firmadas válidamente con el mismo certificado se reconocen como procedentes de un publicador de confianza y se ejecutan.
  • Agregar un publicador de confianza afecta a algo más que a Office. Dado que es una configuración de Todo Windows, se puede aplicar a otros escenarios más allá de Office.

Uso de directiva de grupo para administrar publicadores de confianza

Puede usar directiva de grupo para distribuir a los dispositivos de la organización el certificado de firma de código público que se usa para firmar la macro. Para distribuir el certificado, puede realizar los pasos siguientes en la herramienta de administración de directiva de grupo:

  1. Vaya Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública, haga clic con el botón derecho en Publicadores de confianza y, a continuación, elija Importar.
  2. Ejecute el Asistente para importación de certificados e importe el archivo de certificado adecuado en el almacén de certificados editores de confianza.

Para los usuarios que solo deben ejecutar macros vba firmadas por un publicador de confianza, debe establecer la directiva Configuración de notificación de macros de VBA en Habilitado y realizar los pasos siguientes en Opciones:

  • Seleccione Deshabilitar todo excepto las macros firmadas digitalmente en la lista desplegable.
  • Active la casilla Requerir que las macros estén firmadas por un publicador de confianza .

Nota:

Si elige esta configuración para Excel, se bloquean las macros de Excel 4.0.

Si desea proporcionar más restricciones, en Opciones , puede seleccionar la casilla Bloquear certificados de publicadores de confianza que solo están instalados en el almacén de certificados de usuario actual . Esa configuración impide que los usuarios agreguen manualmente un publicador de confianza en su dispositivo, a menos que tengan permisos de administrador en su dispositivo.

Uso de un programa de línea de comandos para distribuir un certificado para un publicador de confianza

Si su organización no usa directiva de grupo, puede distribuir el certificado de firma de código público manualmente o mediante el comando certutil en un script. Puede usar el parámetro -addstore para agregar el certificado de firma de código al almacén TrustedPublisher en el dispositivo.

Hacer que un usuario agregue manualmente un publicador de confianza

Si solo tiene algunos usuarios que necesitan configurar un publicador de confianza, puede hacerlo manualmente en cada dispositivo. Los usuarios solo necesitan hacerlo una vez para cada publicador.

Los usuarios pueden seguir estas instrucciones para agregar el origen como publicador de confianza. Si el archivo tiene Mark of the Web, los usuarios primero deben quitar Mark of the Web del archivo para poder agregar el origen como un publicador de confianza. Para obtener más información, revise la información de este artículo.