Compartir a través de

Editores de confianza para archivos de Office

  • Artículo

Se aplica a:Aplicaciones de Microsoft 365, Office LTSC 2021, Office 2019 y Office 2016

Un publicador es una persona o una empresa que ha publicado software, como una macro, un control ActiveX o un complemento. Antes de decidir que un publicador es confiable y puede ser de confianza, debe conocer la identidad del publicador y si las credenciales del publicador son válidas.

Si Office le advierte sobre código potencialmente no seguro en un archivo, puede ver más información sobre el código y el publicador antes de decidir si desea confiar en el código o en el publicador. Si recibe una advertencia de que no hay ninguna firma presente o de que la firma no es válida, no debe habilitar el contenido ni confiar en el publicador a menos que esté seguro de que el código procede de un origen confiable. Normalmente, un mensaje que indica que la firma no es válida significa que el código se alteró después de que el autor la firmara.

Si una macro usada en un archivo de Office está firmada y ha validado el certificado y confía en el origen, puede convertir ese origen en un publicador de confianza. Se recomienda, si es posible, administrar publicadores de confianza para los usuarios.

Nota:

Si su organización desarrolla y distribuye macros en archivos de Office, ya sea a usuarios internos o clientes externos, los desarrolladores de macros deben firmar, como procedimiento recomendado, su código VBA. Normalmente, el código se firma con un certificado digital de una entidad de certificación comercial (CA) antes de que se distribuyan las macros.

Para ser un publicador de confianza, el certificado de firma de código público que se usa para firmar la macro debe agregarse al almacén de certificados editores de confianza en el dispositivo.

Advertencia

  • Todas las macros firmadas válidamente con el mismo certificado se reconocen como procedentes de un publicador de confianza y se ejecutan.
  • Agregar un publicador de confianza podría afectar a escenarios más allá de los relacionados con Office, ya que un publicador de confianza es una configuración de Todo Windows, no solo una configuración específica de Office.

Uso de la directiva de grupo para administrar publicadores de confianza

Puede usar la directiva de grupo para distribuir a los dispositivos de la organización el certificado de firma de código público que se usa para firmar la macro. Para distribuir el certificado, puede realizar los pasos siguientes en la herramienta de administración de directivas de grupo:

  1. Vaya Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública, haga clic con el botón derecho en Publicadores de confianza y, a continuación, elija Importar.
  2. Ejecute el Asistente para importación de certificados e importe el archivo de certificado adecuado en el almacén de certificados editores de confianza.

Para los usuarios que solo deben ejecutar macros vba firmadas por un publicador de confianza, debe establecer la directiva Configuración de notificación de macros de VBA en Habilitado y realizar los pasos siguientes en Opciones:

  • Seleccione Deshabilitar todo excepto las macros firmadas digitalmente en la lista desplegable.
  • Active la casilla Requerir que las macros estén firmadas por un publicador de confianza .

Nota:

Si elige esta configuración para Excel, se bloquearán las macros de Excel 4.0.

Si desea proporcionar más restricciones, en Opciones , puede seleccionar la casilla Bloquear certificados de publicadores de confianza que solo están instalados en el almacén de certificados de usuario actual . Esa configuración impide que los usuarios agreguen manualmente un publicador de confianza en su dispositivo, a menos que tengan permisos de administrador en su dispositivo.

Uso de un programa de línea de comandos para distribuir un certificado para un publicador de confianza

Si no puede usar o no usar la directiva de grupo de su organización, también puede distribuir el certificado de firma de código público mediante el comando certutil en un script o manualmente en un dispositivo. Puede usar el parámetro -addstore para agregar el certificado de firma de código al almacén TrustedPublisher en el dispositivo.

Hacer que un usuario agregue manualmente un publicador de confianza

Si solo tiene algunos usuarios que necesitan configurar un publicador de confianza, puede hacerlo manualmente en cada dispositivo. Los usuarios solo necesitan hacerlo una vez para cada publicador.

Los usuarios pueden seguir estas instrucciones para agregar el origen a un publicador de confianza. Si el archivo tiene Mark of the Web, los usuarios primero deben quitar Mark of the Web del archivo para poder agregar el origen como un publicador de confianza. Para obtener más información, revise la información de este artículo.