Compartir a través de


Línea base de seguridad para aplicaciones de Microsoft 365 para empresas

La línea base de seguridad para Aplicaciones de Microsoft 365 para empresas se publica dos veces al año, normalmente en junio y diciembre. La versión más reciente es la versión 2306, publicada el 29 de junio de 2023.

Para obtener la línea de base de seguridad para Aplicaciones de Microsoft 365 para empresas, descargue security compliance toolkit.

Nota:

Esta línea de base de seguridad es para Aplicaciones de Microsoft 365 para empresas. Algunas de las directivas pueden ser aplicables a otras versiones de Office, como Office LTSC 2021, Office 2019 u Office 2016. Pero tendrá que determinar qué directivas son aplicables para esas versiones.

Introducción a las líneas base de seguridad

Una línea base de seguridad es una configuración recomendada por Microsoft para que los clientes empresariales se implementen en su organización. Están diseñados para actuar como punto de partida para que los administradores de TI evalúen y equilibren las ventajas de seguridad con las necesidades de productividad de sus usuarios y se ajusten en consecuencia. Esta configuración se basa en los comentarios de los equipos de ingeniería de seguridad de Microsoft, los grupos de productos, los asociados y los clientes.

Las líneas base de seguridad están disponibles para los siguientes productos de Microsoft:

  • Windows 11, Windows 10 y Windows Server 2022
  • Aplicaciones de Microsoft 365 para empresas
  • Microsoft Edge

Para obtener una lista de las líneas base de seguridad más actuales, consulte esta matriz de versiones.

Introducción al kit de herramientas de cumplimiento de seguridad

Security Compliance Toolkit es un conjunto de herramientas que permite a los administradores de seguridad empresariales descargar, analizar, probar, editar y almacenar líneas base de configuración de seguridad recomendadas por Microsoft para los productos de Microsoft.

Con el kit de herramientas, los administradores pueden comparar sus GPO actuales con líneas base de GPO recomendadas por Microsoft u otras líneas base, editarlas, almacenarlas en formato de archivo de copia de seguridad de GPO y aplicarlas ampliamente a través de Active Directory o individualmente a través de la directiva local.

Para obtener más información, consulte Microsoft Security Compliance Toolkit 1.0.

Contenido de la línea de base de seguridad para aplicaciones de Microsoft 365 para empresas

La descarga de la línea de base de seguridad para Aplicaciones de Microsoft 365 para empresas incluye documentación, informes de GP, GPO, scripts y la plantilla administrativa "Guía de seguridad de MS". En las secciones siguientes se proporciona información adicional sobre algunas de estas áreas.

Objetos de directiva de grupo (GPO)

La descarga de la línea de base de seguridad para Aplicaciones de Microsoft 365 para empresas incluye varios objetos de directiva de grupo (GPO) preconfigurados.

La mayoría de las organizaciones pueden implementar, sin problemas, la configuración recomendada que se incluye en el equipo y los GPO de usuario .

Sin embargo, hay algunas configuraciones que provocarán problemas operativos para algunas organizaciones. Hemos dividido grupos relacionados de esta configuración en sus propios GPO para facilitar a las organizaciones agregar o quitar estas restricciones como un conjunto. Dicha configuración se incluye en los cuatro GPO independientes siguientes:

  • Bloque DDE: usuario, que es un GPO de configuración de usuario que bloquea el uso de DDE para buscar procesos de servidor DDE existentes o iniciar otros nuevos.

  • Bloque de archivos heredado: usuario, que es un GPO de configuración de usuario que impide que las aplicaciones de Office abran o guarden formatos de archivo heredados.

  • Bloque JScript heredado: equipo, que es un GPO de configuración de equipo que deshabilita la ejecución de JScript heredada para sitios web en la zona de Internet y la zona de sitios restringidos.

  • Requerir firma de macro: usuario, que es un GPO de configuración de usuario que deshabilita macros sin firmar en cada una de las aplicaciones de Office.

El script de directiva local, denominado Baseline-LocalInstall.ps1, ofrece opciones de línea de comandos para controlar si estos GPO están instalados.

Plantilla administrativa "Guía de seguridad de MS"

La descarga de la línea de base de seguridad para Aplicaciones de Microsoft 365 para empresas incluye la plantilla administrativa "Guía de seguridad de MS". Los archivos ADMX/ADML de SecGuide incluyen dos configuraciones de interés para los administradores de Office:

  • Bloquear la activación flash en documentos de Office
  • Restricción de la ejecución de JScript heredada para Office

La opción "Bloquear activación flash en documentos de Office" solo está disponible en la plantilla administrativa "Guía de seguridad de MS". La configuración "Restringir la ejecución heredada de JScript para Office" también está disponible como GPO en la descarga de línea base de seguridad, como se indicó en la sección anterior.

Esta configuración aparece en Configuración del equipo\Directivas\Plantillas administrativas\Guía de seguridad de MS en la Consola de administración de directivas de grupo.

Documentación que enumera las directivas disponibles y las recomendaciones de línea de base de seguridad

La descarga de la línea de base de seguridad para Aplicaciones de Microsoft 365 para empresas incluye un archivo de Excel, que enumera las directivas de configuración de equipo y configuración de usuario disponibles. El archivo también incluye la configuración disponible en la plantilla administrativa "Guía de seguridad de MS".

Puede filtrar la columna Área en Línea base de seguridad para ver las directivas que forman parte de la línea base de seguridad. También puede ver cómo se configura la configuración en la línea base de seguridad para cada una de esas directivas.

También puede filtrar la columna Categoría de área para buscar agrupaciones de directivas relacionadas. Por ejemplo, puede filtrar por FileBlock o por Macros.

Además, hay codificación de color en la columna MSFT Office 365 Baseline para indicar qué directivas están cubiertas por los cuatro GPO independientes mencionados anteriormente. Para ver la leyenda que explica los colores, vea la hoja Información del archivo de Excel.

El archivo de Excel incluye las siguientes columnas.

Nombre de columna Descripción del contenido
Ruta de acceso de directiva Ubicación de la directiva en la consola de administración de directivas de grupo.
Nombre de la configuración de directiva El nombre de la directiva.
Línea base de MSFT Office 365 El estado o el valor recomendados de línea base de seguridad en los que se debe establecer la directiva.
Área Área de la directiva.

Se recomiendan directivas con "Línea base de seguridad".

Nota: Las directivas con "Seguridad" no se incluyen en las recomendaciones de línea base de seguridad. Son directivas de seguridad más restrictivas.
Categoría de área Categoría de tecnología que controla la directiva.
Información del registro Ubicación en el registro donde se almacena el estado de la directiva.
Texto de ayuda Descripción de la directiva.

Puede encontrar información adicional sobre estas directivas en el archivo de Excel que se incluye con la descarga de los archivos de plantilla administrativa de directiva de grupo (ADMX/ADML) para Office.