Introducción a la configuración de la protección y seguridad para Outlook 2013
Se aplica a: Office 365 ProPlus, Outlook 2013
Última modificación del tema: 2016-12-16
Resumen: obtenga información sobre la configuración de seguridad de Outlook 2013.
Público: profesionales de TI
Un administrador puede personalizar muchas de las características relacionadas con la seguridad de Outlook 2013. Así, se puede establecer el modo en que se aplica la configuración de seguridad, el tipo de controles ActiveX que se pueden ejecutar, la seguridad de formularios personalizados y la configuración de seguridad programática. De igual modo, se puede personalizar la configuración de seguridad de Outlook 2013 relativa a datos adjuntos, Information Rights Management, correo electrónico no deseado y cifrado, temas que se tratan en otros artículos recogidos en la sección Opciones adicionales más adelante en este artículo.
.gif "Importante") Importante: |
|---|
| En este artículo se proporciona contenido para administradores que configuran los valores de Outlook para sus organizaciones. ¿Necesita ayuda con la configuración de seguridad de Outlook en el escritorio? Quizás le interesen estos artículos, con los que le será más fácil aportar seguridad a Outlook en el escritorio. |
En este artículo:
Introducción
Especificación de la aplicación de la configuración de seguridad en Outlook
Forma en que las configuraciones de administrador y usuario interactúan en Outlook 2013
Uso de los complementos COM de Outlook
Personalización de la seguridad de ActiveX y formularios personalizados en Outlook 2010
Personalización de la configuración mediante programación en Outlook 2013
Personalización de configuraciones de Simple MAPI
Opciones adicionales
Introducción
Normalmente, Outlook está configurado con niveles de seguridad altos. Estos niveles de seguridad altos pueden tener como consecuencia ciertas limitaciones en las funciones de Outlook (por ejemplo, restricciones de los tipos de archivos de datos adjuntos de los mensajes de correo electrónico). Probablemente tenga que bajar el nivel de la configuración de seguridad predeterminada de su organización. Ahora bien, tenga en cuenta que, si reduce la configuración de seguridad predeterminada, aumentará el riesgo de ejecución o de propagación de virus. Lea la documentación y tome precauciones antes de modificar estas opciones.
Antes de empezar a definir la configuración de seguridad de Outlook 2013 con la directiva de grupo o la plantilla de seguridad de Outlook, debe configurar el modo de seguridad de Outlook en la directiva de grupo. Si no lo hace, Outlook Security Mode Outlook 2013 usará la configuración de seguridad predeterminada pasará por alto cualquier opción de seguridad de Outlook 2013 que haya establecido.
Para más información sobre cómo descargar la plantilla administrativa de Outlook 2013 y sobre otras plantillas administrativas de Office 2013, vea Archivos de plantilla administrativa de la directiva de grupo (ADMX/ADML) y archivos de la Herramienta de personalización de Office (OCT) de Office 2013. Para más información sobre la directiva de grupo, vea Introducción a la directiva de grupo para Office 2013 y Exigir una configuración usando la directiva de grupo en Office 2010.
Especificación de la aplicación de la configuración de seguridad en Outlook
Al igual que en Office Outlook 2007 y en Outlook 2010, puede configurar las opciones de seguridad relativas a Outlook 2013 con la directiva de grupo (opción recomendada) o cambiar la configuración de seguridad con la plantilla de seguridad de Outlook y publicar la configuración en un formulario en una carpeta de nivel superior en las carpetas públicas de Exchange Server. A menos que disponga de Office Outlook 2003 o de una versión anterior en su entorno, lo más aconsejable es usar la directiva de grupo para establecer la configuración de seguridad. Para usar cualquiera de estas opciones, habilite la opción Modo de seguridad de Outlook en la directiva de grupo y especifique un valor de directiva de seguridad de Outlook. Si no habilita esta opción, se aplicará la configuración de seguridad predeterminada en el producto. La opción Modo de seguridad de Outlook se encuentra en la plantilla de directiva de grupo de Outlook 2013 (Outlk15.admx), en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2013\Seguridad\Configuración del formulario de seguridad. Cuando la opción Modo de seguridad de Outlook se habilita, dispondrá de las cuatro opciones de directiva de seguridad de Outlook descritas en la siguiente tabla.
Opciones de la directiva de seguridad de Outlook
| Opción de modo de seguridad de Outlook | Descripción |
|---|---|
Seguridad predeterminada de Outlook |
Outlook pasa por alto cualquier configuración relacionada con la seguridad establecida en la directiva de grupo o cuando se usa la plantilla de seguridad de Outlook. Se trata de la configuración predeterminada. |
Directiva de grupo de seguridad de Outlook |
Outlook usa la configuración de seguridad de la directiva de grupo (recomendado). |
Formulario de seguridad de la carpeta pública "Configuración de seguridad de Outlook" |
Outlook usa la configuración del formulario de seguridad publicado en la carpeta pública designada. |
Formulario de seguridad de la carpeta pública "Configuración de seguridad de Outlook 10" |
Outlook usa la configuración del formulario de seguridad publicado en la carpeta pública designada. |
Personalización de la configuración de seguridad mediante la directiva de grupo
Cuando use la directiva de grupo para establecer la configuración de seguridad de Outlook 2013, tenga en cuenta los siguientes aspectos:
La configuración de la plantilla de seguridad de Outlook se debe migrar manualmente a la directiva de grupo. Si ha usado la plantilla de seguridad de Outlook anteriormente para administrar la configuración de seguridad, pero ahora decide usar la directiva de grupo para aplicar dicha configuración en Outlook 2013, migre manualmente la configuración que estableció en su momento a la configuración de directiva de grupo correspondiente para Outlook 2013.
La configuración personalizada con la directiva de grupo puede no estar activa inmediatamente. Puede configurar la directiva de grupo para que se actualice automáticamente (en segundo plano) en los equipos de los usuarios cuando estos inicien sesión y con la frecuencia que desee especificar. Para asegurarse de que la configuración de directiva de grupo esté activa de forma inmediata, los usuarios deberán cerrar sesión y volver a iniciarla.
Outlook solo comprueba la configuración de seguridad al iniciarse. En caso de que la configuración de seguridad se actualice mientras Outlook se ejecuta, la nueva configuración no se usará hasta que el usuario cierre y reinicie Outlook.
No se aplica ninguna configuración personalizada en el modo de solo Administrador de información personal (PIM). En el modo PIM, Outlook usa la configuración de seguridad predeterminada. En este modo, no es necesaria ni se usa ninguna configuración de administrador.
Entornos especiales
Cuando use la directiva de grupo para establecer la configuración de seguridad de Outlook 2013, tenga en cuenta si en su entorno se producen uno o varios de los escenarios que figuran en la siguiente tabla.
Escenarios de entornos especiales
| Escenario | Problema |
|---|---|
Usuarios que obtienen acceso a sus buzones a través de un servidor de Exchange hospedado |
Si los usuarios tienen acceso a sus buzones a través de un Exchange Server hospedado, use la plantilla de seguridad de Outlook para establecer la configuración de seguridad, o bien use la configuración de seguridad predeterminada de Outlook. En entornos hospedados, los usuarios tienen acceso a sus buzones de forma remota. Por ejemplo, pueden tener acceso a sus buzones remotamente a través de una conexión de red privada virtual (VPN) o con Outlook en cualquier lugar (RPC sobre HTTP). Dado que la directiva de grupo se implementa con Active Directory y en este escenario el equipo local del usuario no es miembro del dominio, no se puede aplicar la configuración de seguridad de la directiva de grupo. Además, si se usa la plantilla de seguridad de Outlook para establecer la configuración de seguridad, los usuarios reciben las actualizaciones de configuración de seguridad automáticamente. Los usuarios no pueden recibir actualizaciones de configuración de seguridad de directiva de grupo a menos que su PC pertenezca al dominio de Active Directory. |
Usuarios con derechos administrativos en sus equipos |
Las limitaciones en la configuración de la directiva de grupo no se aplican si los usuarios inician sesión con credenciales administrativas. Los usuarios que disfrutan de este tipo de derechos también pueden cambiar la configuración de seguridad de Outlook en sus equipos, así como eliminar o alterar las restricciones que se hayan establecido. Esto sucede no solo con la configuración de seguridad de Outlook, sino también con la configuración de la directiva de grupo. Si bien esto puede suponer un problema cuando una organización trata de estandarizar la configuración de todos los usuarios, existen factores que ayudan a combatirlo:
|
Usuarios que tienen acceso a buzones de Exchange mediante Outlook Web App |
Outlook y Outlook Web App no usan el mismo modelo de seguridad. Outlook Web App tiene una configuración de seguridad distinta que se almacena en el equipo de Exchange Server. Para obtener más información, vea Información de seguridad de Outlook Web App. |
Forma en que las configuraciones de administrador y usuario interactúan en Outlook 2013
La configuración de seguridad que el usuario define en Outlook 2013 funciona como si formara parte de la configuración de la directiva de grupo que define como administrador. Si existe un conflicto entre ambas, aquella que tenga mayor nivel de seguridad invalidará a la de nivel de seguridad más bajo.
Así, si usa la configuración de seguridad de datos adjuntos de la directiva de grupo Agregar extensiones de archivo al bloque como nivel 1para crear una lista de las extensiones de nombre de archivo de nivel 1 que se van a bloquear, dicha lista invalida la lista predeterminada que se proporciona con Outlook 2013. También invalida la configuración de los usuarios para las extensiones de nombre de archivo de nivel 1 que se van a bloquear. Los usuarios solo podrán eliminar las extensiones de nombre de archivo de la lista predeterminada que se proporciona con Outlook 2013. Los usuarios no pueden eliminar los tipos de archivo que agrega a la lista Agregar extensiones de archivo al bloque como nivel 1. Por ejemplo, si se quieren eliminar las extensiones de nombre de archivo .exe y .reg del grupo de nivel 1, pero se usa la configuración de directiva de grupo Agregar extensiones de archivo al bloque como nivel 1 para agregar .exe como tipo de archivo de nivel 1, solo se puede eliminar el archivo .reg del grupo de nivel 1 que está en Outlook.
Uso de los complementos COM de Outlook
Un complemento COM debe estar codificado para que pueda usar del modelo de confianza de Outlook y ejecutarse sin que aparezcan mensajes de advertencia en Outlook 2013. Es posible que los usuarios sigan viendo advertencias cuando tienen acceso a las características de Outlook que usan el complemento, como cuando sincronizan un dispositivo de mano con Outlook 2013 en los equipos de escritorio.
No obstante, existen menos probabilidades de que los usuarios reciban advertencias en Outlook 2013 que en Office Outlook 2003 o en versiones anteriores. La protección del modelo de objetos (OM), que impide que los virus no usen la Libreta de direcciones de Outlook para propagarse, se actualiza en Office Outlook 2007, Outlook 2010 y Outlook 2013. Outlook 2013 busca software antivirus actualizado que ayuda a saber cuándo debe aparecer una advertencia de acceso a la Libreta de direcciones, además de otras advertencias de seguridad de Outlook.
La protección OM no se puede cambiar con el formulario de seguridad de Outlook o la directiva de grupo. Ahora bien, si usa la configuración de seguridad predeterminada de Outlook 2013, todos los complementos COM que haya instalados en Outlook 2013 serán de confianza de forma predeterminada. Si personaliza la configuración de seguridad con la directiva de grupo, puede indicar los complementos COM que son de confianza y que se pueden ejecutar sorteando los bloqueos del modelo de objetos de Outlook.
No obstante, tenga en cuenta que en Outlook 2013, dos configuraciones nuevas, Lista de complementos administrados y Bloquear todos los complementos no administrados, permiten crear una lista de complementos habilitados siempre o bloqueados siempre. Estas configuraciones invalidan la configuración del centro de confianza. Si un complemento está en la lista Bloquear todos los complementos no administrados y se agregó también a Configurar complementos de confianza, se bloqueará el complemento. Las configuraciones Lista de complementos administrados y Bloquear todos los complementos no administrados se encuentran en la plantilla de directiva de grupo de Outlook en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2013\Miscellaneous.
Para confiar en un complemento COM, incluya el nombre de archivo del complemento en cuestión en una opción de configuración de la directiva de grupo con un valor hash calculado para el archivo. Por lo tanto, para especificar un complemento como de confianza para Outlook, instale un programa que calcule el valor hash. Para más información sobre cómo llevar esto a cabo, vea Administración de complementos de confianza para Outlook 2010.
Si aplica una configuración de seguridad de Outlook personalizada con el formulario de seguridad de Microsoft Exchange Server publicado en una carpeta pública de Exchange Server, podrá conocer cómo confiar en los complementos COM. Vaya a la sección Pestaña Código de confianza del artículo del kit de recursos de Microsoft Office 2003, en Configuración de la plantilla de seguridad de Outlook.
Si el usuario sigue recibiendo avisos de seguridad después de incluir los complementos en la lista de complementos de confianza, póngase en contacto con el desarrollador de complementos COM para solucionar el problema. Para obtener más información sobre la codificación de complementos de confianza, vea Notas de seguridad importantes para los desarrolladores de complementos COM de Microsoft Outlook.
Personalización de la seguridad de ActiveX y los formularios personalizados en Outlook 2013
Puede especificar la configuración de seguridad de ActiveX y los formularios personalizados para los usuarios de Outlook 2013. La configuración de seguridad de los formularios personalizados incluye opciones para cambiar el modo en que Outlook 2013 limita los scripts, los controles personalizados y las acciones personalizadas.
Personalización del modo en que los controles ActiveX se comportan en los formularios de uso único
Cuando Outlook recibe un mensaje que contiene una definición de formulario, dicho elemento constituye un formulario de uso único. A fin de evitar que se ejecuten scripts y controles no deseados en los formularios de uso único, Outlook no carga controles ActiveX en este tipo de formularios de manera predeterminada.
Puede bloquear la configuración para personalizar los controles ActiveX con la plantilla de la directiva de grupo de Outlook 2013 (Outlk15.adm). Otra posibilidad consiste en establecer la configuración predeterminada con la Herramienta de personalización de Office (OCT), en cuyo caso los usuarios pueden cambiar la configuración. En la directiva de grupo, use la opción Permitir formularios de uso único de ActiveX en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2013\Seguridad. En la OCT, la opción Permitir formularios de uso único de ActiveX se encuentra en la ubicación correspondiente en la página Modificar configuración del usuario. Para más información sobre la OCT, vea Referencia de la herramienta de personalización de Office (OCT) para Office 2013.
Cuando habilita la configuración Permitir formularios de uso único de ActiveX, dispone de tres opciones, que se describen en la siguiente tabla.
Opciones de configuración de Permitir formularios de uso único de Active X
| Opción | Descripción |
|---|---|
Permitir todos los controles ActiveX |
Permite que se ejecuten todos los controles ActiveX, sin ningún tipo de restricción. |
Permitir sólo controles seguros |
Permite que se ejecuten solo los controles de ActiveX seguros. Un control ActiveX es seguro si está firmado con Authenticode y quien lo firma figura en la lista de editores de confianza. |
Cargar sólo controles de Outlook |
Outlook carga exclusivamente los controles enumerados a continuación, que son los únicos que se pueden usar en los formularios de uso único.
|
Si no configura ninguna de estas opciones, el comportamiento predeterminado será cargar solo los controles de Outlook.
Personalización de la configuración de seguridad de formularios personalizados
Puede bloquear las opciones para configurar la seguridad de los formularios personalizados con la plantilla de la directiva de grupo de Outlook 2013 (Outlk15.adm). En la directiva de grupo, las opciones se encuentran en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2013\Seguridad\Configuración del formulario de seguridad\Seguridad de formulario personalizada.
En la siguiente tabla se incluyen las opciones que se pueden configurar en relación con los scripts, controles personalizados y acciones personalizadas.
Scripts, controles personalizados y configuración de acciones personalizadas
| Nombre de la configuración | Ruta de acceso y nombre del valor en el Registro | Descripción |
|---|---|---|
Permitir scripts en formularios de uso único de Outlook |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!enableoneoffformscripts |
Los scripts se ejecutan en los formularios en los que el script y el diseño se encuentran en el mismo mensaje. Si los usuarios reciben un formulario de uso único que contiene un script, se les preguntará si desean ejecutarlo. |
Establecer la solicitud de ejecución de acciones personalizadas del modelo de objetos de Outlook |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomcustomaction |
Establece lo que sucede cuando un programa intenta ejecutar una acción personalizada usando el modelo de objetos de Outlook. Una acción personalizada se puede crear para responder a un mensaje y sortear las protecciones de envío mediante programación. Seleccione una de las siguientes:
|
Personalización de la configuración mediante programación en Outlook 2013
En tanto que administrador de Outlook 2013, puede establecer una configuración de seguridad mediante programación para administrar las restricciones del modelo de objetos de Outlook. El modelo de objetos de Outlook permite usar la programación para manipular los datos contenidos en las carpetas de Outlook.
Nota
La plantilla de seguridad de Exchange Server incluye opciones relativas a Objetos para colaboración de datos (CDO). No obstante, no se admite el uso de CDO con Outlook 2013.
Puede usar la directiva de grupo para establecer la configuración de seguridad de programación para el modelo de objetos de Outlook. En la directiva de grupo, cargue la plantilla de Outlook 2013 (Outlk15.admx). La configuración de directiva de grupo se encuentra en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2013\Seguridad\Configuración del formulario de seguridad\Seguridad programática. Esta configuración no se puede establecer mediante la Herramienta de personalización de Office.
A continuación se describen las opciones de directiva de grupo relativas a la configuración mediante programación. Puede elegir una de las siguientes opciones para cada elemento:
Preguntar al usuario Los usuarios reciben un mensaje con el que pueden permitir o denegar la operación. En algunos mensajes, los usuarios podrán permitir o denegar la operación sin avisos durante un máximo de 10 minutos.
Aprobar automáticamente Outlook concede automáticamente el acceso mediante programación a las solicitudes desde cualquier programa. Esta opción puede conllevar una vulnerabilidad considerable, por lo que no se recomienda su uso.
Denegar automáticamente Outlook rechaza automáticamente las solicitudes de acceso mediante programación desde cualquier programa. El usuario no recibe ningún aviso.
Pedir confirmación del usuario en función de la seguridad del equipo Outlook se basa en la opción de la sección "Acceso mediante programación" del Centro de confianza. Se trata del comportamiento predeterminado.
En la siguiente tabla se muestran las opciones que se pueden establecer en relación con la configuración de la seguridad de programación para el modelo de objetos de Outlook.
Configuración de la seguridad de programación
| Nombre de la configuración | Ruta de acceso del Registro y nombre del valor | Descripción |
|---|---|---|
Configurar el texto del modelo de objetos de Outlook al obtener acceso a una libreta de direcciones |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressbookaccess |
Establece lo que sucede cuando un programa intenta obtener acceso a una libreta de direcciones con el modelo de objetos de Outlook. |
Configurar el texto del modelo de objetos de Outlook al obtener acceso a la propiedad Formula de un objeto UserProperty |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomformulaaccess |
Establece lo que sucede cuando un usuario agrega un campo personalizado de combinación o fórmula a un formulario personalizado y lo vincula a un campo de Información de dirección. Procediendo así, el código se puede usar para recuperar indirectamente el valor del campo de Información de dirección, para lo cual se obtiene la propiedad Value del campo. |
Configurar el texto del modelo de objetos de Outlook al ejecutar Guardar como |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsaveas |
Establece lo que sucede cuando un programa intenta usar el comando Guardar como mediante programación para guardar un elemento. Cuando un elemento se guarda, un programa malicioso podría buscar direcciones de correo electrónico en el archivo. |
Configurar el texto del modelo de objetos de Outlook al leer la información de la dirección |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressinformationaccess |
Establece lo que sucede cuando un programa intenta obtener acceso a un campo de destinatario como Hasta usando el modelo de objetos de Outlook. |
Configurar el texto del modelo de objetos de Outlook al responder a convocatorias de reunión y solicitudes de tarea |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoommeetingtaskrequestresponse |
Establece lo que sucede cuando un programa intenta enviar un correo mediante programación con el método Responder en las solicitudes de tarea y convocatorias de reunión. Este método es parecido al método Enviar de los mensajes de correo. |
Configurar el texto del modelo de objetos de Outlook al enviar correo |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsend |
Establece lo que sucede cuando un programa intenta enviar un correo mediante programación con el modelo de objetos de Outlook. |
Personalización de configuraciones de Simple MAPI
Use la directiva de grupo para establecer la configuración de Simple MAPI para el modelo de objetos de Outlook. En la directiva de grupo, cargue la plantilla de Outlook 2013 (Outlk15.adm). La configuración de directiva de grupo se encuentra en Configuración de usuario\Plantillas administrativas\Microsoft Outlook 2013\Seguridad\Configuración del formulario de seguridad\Seguridad de programación. Esta configuración no se puede establecer con la Herramienta de personalización de Office.
Configuraciones de Simple MAPI
| Nombre de la configuración | Ruta de acceso del Registro y nombre del valor | Descripción |
|---|---|---|
Configurar mensaje de envío mediante Simple MAPI |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapisend |
Permite especificar qué sucede cuando un programa trata de enviar correo mediante programación a través de Simple MAPI. |
Configurar mensaje de resolución de nombres de Simple MAPI |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapinameresolve |
Permite especificar qué sucede cuando un programa trata de obtener acceso a la Libreta de direcciones a través de Simple MAPI. |
Configurar mensaje de apertura de mensaje de Simple MAPI |
Ruta de acceso en el Registro de la directiva de grupo: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapiopenmessage |
Permite especificar qué sucede cuando un programa trata de obtener acceso a un campo de destinatario (como el campo “Para”) a través de Simple MAPI. |
Opciones adicionales
En la siguiente tabla se muestran artículos que tratan otras opciones de configuración de seguridad no incluidas en este artículo.
Artículos de seguridad adicionales
| Característica | Recursos relacionados |
|---|---|
Controles ActiveX |
Planeación de la configuración de seguridad para controles ActiveX para Office 2013 |
Datos adjuntos |
|
Criptografía |
Planeación de la criptografía de mensajes de correo electrónico en Outlook 2010 |
Firmas digitales |
|
Correo electrónico no deseado |
Planeación de la limitación de correo electrónico no deseado en Outlook 2010 |
Information Rights Management |
|
Vista protegida |
Planear la configuración de la vista protegida en Office 2013 |