Compartir a través de


Seguridad del complemento para reuniones de Teams al usar el cliente de Outlook

El complemento para reuniones de Teams (o TMA) se usa para programar reuniones en Teams desde el cliente de escritorio de Outlook en Windows.

Las coordenadas TMA entre los servicios de Outlook y Teams, por lo que es importante mantener la seguridad de TMA. Tomar medidas de seguridad ayuda a reducir el riesgo de ataques de ciberseguridad.

Estas son las formas de proteger el complemento para reuniones de Teams que se explica en este artículo:

  1. (Recomendado) Use el Centro de confianza de Microsoft Outlook para evitar que Outlook cargue TMA cuando los DLL de TMA no están firmados con un certificado de un editor de confianza.
    1. Use directivas de grupo para el dominio y actualice el certificado raíz y el editor de confianza, especialmente porque evita que se pida a los usuarios que confíen en el editor.
  2. AppLocker también se puede usar para detener la carga de dll de editores que no son de confianza.

Directivas de grupo del Centro de confianza de Microsoft Outlook

Puede usar las directivas de grupo del Centro de confianza para la administración de complementos:

  • Para asegurarse de que solo se cargan los complementos de confianza de la organización
  • Para evitar que se carguen complementos de ubicaciones no especificadas

Esta práctica ayuda a proteger contra el malware que compromete el registro COM a cargar desde otra ubicación con DLL plantados.

Estos son los pasos:

  1. Proteger Outlook de complementos que no son seguros
    1. Vaya al Centro de confianza de Outlook. https://www.microsoft.com/en-us/trust-center
    2. Cuando llegue, seleccione Centro de confianza de opciones de > archivos>.
    3. Seleccione Centro de confianza de Microsoft Outlook.
    4. En Centro de confianza de Microsoft Outlook, en el menú de la izquierda, seleccione Configuración del Centro de confianza.
    5. En Configuración de macros, selecciona Notificaciones de macros firmadas digitalmente, todas las demás macros deshabilitadas.
    6. Los administradores deben seleccionar Aplicar la configuración de seguridad de macros a los complementos instalados en este caso.
    7. Seleccione el botón Aceptar para realizar estos cambios, salga del centro de confianza y, después, vuelva a seleccionar Aceptar para cerrar las opciones.

Las opciones se conservarán a partir de ahí.

Ahora, fuera del Centro de confianza de Outlook:

  1. Reinicie Outlook en el cliente.

  2. Cuando Outlook se vuelve a abrir, la aplicación le pide permiso para cargar cada complemento, deshabilitando automáticamente cualquier complemento que no esté firmado.

    1. La imagen siguiente es la apariencia de la experiencia de usuario de TMA: Aviso de seguridad de Outlook y cómo funcionan Confiar en todos los documentos de este editor y Habilitar complemento de aplicaciones.
    2. Los usuarios finales ven un Aviso de seguridad de Microsoft Outlook que puede leer que Microsoft Office ha identificado un posible problema de seguridad que aparece Microsoft.Teams.AddinLoader.dll. Las opciones son:
      1. Confíe en todos los documentos de este Editor.
        1. Al seleccionar esta opción se confía en el editor del certificado y no se volverá a pedir al usuario hasta que cambie el certificado.
      2. 2. Habilite el complemento de la aplicación.
        1. Esta opción solo se habilita caso por caso, por lo que este complemento se habilita para esta única vez y el usuario se le volverá a preguntar.
      3. 3. Deshabilite el complemento de la aplicación.
        1. Deshabilita el complemento.
    3. Siga los pasos para configurar directiva de grupo para confiar automáticamente en una entidad de certificación raíz específica.
      1. Abra la consola de administración de directiva de grupo en el controlador de dominio (DC).
      2. Cree un nuevo objeto de directiva de grupo (GPO) o edite un GPO existente que desee usar para configurar la configuración.
      3. A continuación, vaya a Directivas de configuración > del > equipo Directivas de configuración de > seguridad de Windows Directivas > de clave pública.
      4. Haz clic con el botón derecho en Entidades de certificación raíz de confianza y selecciona Importar.
      5. Vaya al archivo certificado raíz Microsoft Root Certificate Authority 2010 para el editor de certificados en el que desea confiar e importarlo.
      6. Vincule el GPO a la unidad organizativa adecuada para aplicar la configuración a los equipos que desea usar la directiva. Para obtener más información sobre este proceso, consulta: Implementar la directiva de Applocker en producción
    4. A continuación, siga los pasos para configurar directiva de grupo para que confíen automáticamente en el editor.
      1. Abra la consola de administración de directiva de grupo en el controlador de dominio.
      2. Cree un GPO nuevo o edite un GPO existente que desee usar para configurar la configuración.
      3. Vaya a Directivas de configuración > del > equipo Directivas de configuración de seguridad de > Windows Directivas > de clave pública.
      4. Haga clic con el botón derecho en Editores de confianza y seleccione Importar.
      5. Busca el archivo de Certificado hoja de Microsoft Corporation del editor del certificado en el que quieres confiar e impórtalo.
      6. Vincule el GPO a la unidad organizativa adecuada para aplicar la configuración a los equipos que elija.
  3. Administración de complementos mediante directivas de grupo

    1. Descargue archivos de la plantilla administrativa (ADMX/ADML) para Aplicaciones Microsoft 365 para empresas/Office LTSC 2021/Office 2019/Office 2016 y la Herramienta de personalización de Office para Office 2016.
    2. Agregue los archivos de plantilla ADMX/ADML a la administración de directiva de grupo:
      1. En Plantillas > administrativas de configuración > de usuario, Centro de confianza de seguridad > de Microsoft Outlook (número de versión). >
        1. Aplicar la configuración de seguridad de macros a macros, complementos y acciones adicionales: esta configuración de directiva controla si Outlook también aplica la configuración de seguridad de macros a los complementos COM instalados y a acciones adicionales.
          1. Establezca esta opción en: Habilitado
        2. Configuración de seguridad para macros: esta configuración de directiva controla el nivel de seguridad de las macros en Outlook.
          1. Establezca esta opción en: Advertencia para firmado, deshabilitar sin firmar.
            1. Esta opción corresponde a la opción Notificaciones de macros firmadas digitalmente, todas las demás macros deshabilitadas en el Centro de confianza. Si un complemento está firmado digitalmente por un editor de confianza, este puede ejecutarse firmado por un editor de confianza.
      2. Directivas de grupo adicionales sobre complementos.
        1. En Plantillas > administrativas de configuración de > usuario de Microsoft Outlook 2016 > Seguridad
          1. Configurar el nivel de confianza del complemento: todos los complementos COM de confianza instalados pueden ser de confianza. La configuración de Exchange para los complementos sigue invalidando si está presente y esta opción está seleccionada.
        2. En Plantillas > administrativas de configuración > de usuario de Microsoft Outlook 2016 > Varios
          1. Bloquear todos los complementos no administrados: esta configuración de directiva bloquea todos los complementos que no se administran mediante la configuración de directiva "Lista de complementos administrados".
          2. Lista de complementos administrados: esta configuración de directiva le permite especificar qué complementos están siempre habilitados, siempre deshabilitados (bloqueados) o configurables por el usuario. Para bloquear complementos que no se administran con esta configuración de directiva, también debe configurar la configuración de directiva "Bloquear todos los complementos no administrados".
        3. En Plantillas > administrativas de configuración > de usuario de Microsoft Outlook 2016 > configuración > de formulario de seguridad > seguridad mediante programación Complementos de confianza de seguridad > mediante programación
          1. Configurar complementos de confianza: esta configuración de directiva se usa para especificar una lista de complementos de confianza que se pueden ejecutar sin estar restringidos por las medidas de seguridad de Outlook.

Applocker

Las directivas de control de aplicaciones de AppLocker te ayudan a controlar qué aplicaciones y archivos pueden ejecutar los usuarios. Estos tipos de archivo incluyen archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (DLL), aplicaciones empaquetadas e instaladores de aplicaciones empaquetados.

Vamos a centrarnos en el uso de AppLocker para evitar que se carguen los ARCHIVOS DLL que no están firmados por un editor de confianza.

Usa AppLocker para detener la carga de dll sin firmar.

Para usar Applocker para detener la carga de los ARCHIVOS DLL sin firmar, tiene que crear una nueva regla de DLL en su local o directiva de grupo.

Nota

Los requisitos previos para esta sección son Windows 10 Enterprise y, Educación o Windows Server 2012 o posterior.

Para configurar AppLocker en Windows 10 o Windows 11 para un ARCHIVO DLL específico, siga estos pasos:

  1. Abra el editor de directivas.
    1. Equipo local
      1. Abre el editor de directivas de seguridad local. Escriba secpol.msc en el cuadro de diálogo Ejecutar o en la barra de búsqueda del menú Inicio y, después, presione Entrar.
    2. directiva de grupo
      1. Editar una directiva de AppLocker mediante directivas de grupo | Microsoft Learn
  2. En el editor de directivas de seguridad local, ve a Directivas > de control de aplicaciones Reglas de DLL de AppLocker > .
    1. Si usas una edición compatible de Windows y sigues sin ver las reglas de DLL, es posible que AppLocker no esté habilitado o configurado en el sistema. En este caso, puedes seguir estos pasos para habilitar AppLocker:
      1. Abre el editor de directivas de seguridad local. Escriba secpol.msc en el cuadro de diálogo Ejecutar o en la barra de búsqueda del menú Inicio y, después, presione Entrar.
      2. En el Editor de directivas de seguridad local, ve a Directivas > de control de aplicaciones appLocker.
      3. Haz clic con el botón derecho en AppLocker y selecciona Propiedades.
      4. En Propiedades de AppLocker, en la pestaña Obligatoriedad:
        1. Seleccione Configurado junto a Configurar la aplicación de reglas.
        2. Configure directivas adicionales, como colecciones de reglas, como modo de solo auditoría.
        3. Una vez comprobado, se puede actualizar a Exigir
        4. Seleccione Aceptar para guardar los cambios.
        5. Asegúrese de que el servicio Application Identity se está ejecutando.
  3. Crear una nueva regla de DLL
    1. Desde el editor de directivas de seguridad local
      1. Haga clic con el botón derecho en Reglas de DLL y seleccione Crear nueva regla.
      2. En el Asistente para crear reglas de DLL, seleccione Usar un archivo existente y busque el archivo DLL para el que desea crear una regla.
      3. Seleccione el tipo de regla que desea crear (por ejemplo, para permitir o denegar) y configure las demás condiciones de regla necesarias.
      4. Complete el asistente y guarde la nueva regla.
    2. O desde PowerShell:
      1. Los cmdlets de PowerShell necesarios para crear una nueva regla de DLL se pueden canalizar en bloque.
  4. Administración de complementos a través de directivas de grupo de AppLocker
    1. Get-ChildItem : obtiene el objeto del archivo
    2. Get-AppLockerFileInformation : obtiene la información de archivo necesaria para crear reglas de AppLocker desde una lista de archivos o un registro de eventos
    3. New-AppLockerPolicy : crea una nueva directiva de AppLocker a partir de una lista de información de archivos y otras opciones de creación de reglas.
      1. RuleType debe publicarse y esto exige la firma de código.
      2. El usuario puede ser un usuario o grupo individual, todos los ejemplos usan Todos.
      3. AllowWindows indica que la directiva de AppLocker permite todos los componentes locales de Windows.
    4. Para crear la regla de DLL por archivo
      1. La ubicación del archivo TMA depende del tipo de instalación
        1. Por instalación de usuario
          1. Ubicación de instalación: %localappdata%\Microsoft\TeamsMeetingAddin
        2. Por instalación de equipo
          1. Ubicación de instalación: C:\Archivos de programa(x86)\TeamsMeetingAddin
      2. Get-ChildItem <TMAFileLocation>\Microsoft.Teams.AddinLoader.dll | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File .\TMA.xml
      3. Establezca la directiva:
        1. Máquinas locales i.Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge
        2. directiva de grupo i. Set-AppLockerPolicy -XMLPolicy .\TMA.xm -LDAP "<LDAP Info for Group Policy>"
      4. Los pasos 1 y 2 deben completarse para cada DLL en directorios x64 y x86 para TMA.
    5. Cree todas las reglas de DLL a la vez:
      1. Get-AppLockerFileInformation -Directory .\Microsoft\TeamsMeetingAddin\1.0.23089.2 -Recurse | New-AppLockerPolicy -Verbose -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File .\TMA.xml'
      2. Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge3. La información LDAP es necesaria para realizar actualizaciones de directiva de grupo.

Cosas importantes que debes saber:

  1. Se supone que si AppLocker está activado en un entorno, el departamento de TI está familiarizado con AppLocker. Son conscientes de que está diseñado para usar un modelo Permitir y todo lo que no esté permitido se bloqueará.
  2. Las reglas hash se proporcionan para las reservaciones cuando se produce un error en la regla de Publisher. Las reglas hash deben actualizarse cada vez que se actualice TMA.
  3. El comando de PowerShell para agregar directivas de AppLocker se configurará para que coincida solo con la versión exacta de la DLL que se agrega > , vaya a Permitir propiedades para la regla de Publisher y cambie las opciones de Versiones de archivo para el ámbito a Y por encima de la versión enumerada.
  4. Para que AppLocker acepte una gama más amplia de versiones de DLL para reglas de Publisher, vaya a Las propiedades de permitir para la regla de Publisher y cambie la lista desplegable de La versión del archivo a Y encima (de Exactamente). Haz que AppLocker acepte una gama más amplia de versiones de DLL para las reglas del editor.
  5. Una vez habilitada si la directiva de AppLocker bloquea el complemento, no se mostrará y se inspeccionarán los complementos COM: una vez habilitado, si la directiva de AppLocker bloquea el complemento, no se mostrará, y la inspección de complementos COM mostrará el complemento como no disponible.

Más información

Habilitar o deshabilitar macros en archivos de Microsoft 365: Soporte técnico de Microsoft AppLocker (Windows) | Microsoft Learn