Compartir a través de

Comportamiento de la seguridad del modelo de objetos de Outlook

  • Artículo

El modelo de objetos de Outlook incluye puntos de entrada para acceder a datos de Outlook, guardar datos en ubicaciones especificadas y enviar correos electrónicos. Estos puntos de entrada están disponibles para desarrolladores de aplicaciones legítimos y malintencionados por igual. Las versiones de Outlook 98 y Outlook 2000 se aplican con Outlook Email Security Update y todas las versiones posteriores a partir de Outlook 2000 SP2 usan Object Model Guard para ayudar a proteger a los usuarios.

Object Model Guard advierte a los usuarios y solicita confirmación a los usuarios cuando las aplicaciones que no son de confianza intentan usar el modelo de objetos para obtener información de dirección de correo electrónico, almacenar datos fuera de Outlook, ejecutar determinadas acciones y enviar mensajes de correo electrónico. Aunque la Protección del modelo de objetos logra identificar y proteger estos puntos de entrada, existen dos problemas principales que hacen que la Protección del modelo de objetos sea bastante poco práctica:

  • Las circunstancias predeterminadas en las que las aplicaciones invocan la Protección del modelo de objetos en versiones anteriores de Outlook pueden dar lugar a una solicitud de seguridad excesiva para aplicaciones legítimas.

  • Las limitaciones de COM y Windows en la identificación de la aplicación específica que invoca la Protección del modelo de objetos han dificultado a los usuarios responder a las indicaciones de seguridad con certeza.

Para obtener más información sobre las distintas solicitudes de seguridad de Object Model Guard, vea Advertencias de seguridad del modelo de objetos de Outlook. Para obtener más información sobre los puntos de entrada del modelo de objetos protegidos, vea Propiedades y métodos protegidos.

Comportamiento de seguridad predeterminado

Las versiones de Outlook anteriores a Outlook 2007 se han basado en Object Model Guard para proteger los datos de la libreta de direcciones de Outlook y evitar que las aplicaciones que no son de confianza envíen correo electrónico. Aunque Outlook sigue usando Object Model Guard para proporcionar una protección similar, ha definido nuevas circunstancias predeterminadas cuando la Protección del modelo de objetos genera advertencias, lo que reduce las advertencias de seguridad excesivas en las condiciones adecuadas y, al mismo tiempo, mantiene un grado razonable de seguridad para los clientes de Outlook.

complementos de In-Process

Los complementos de Outlook en proceso se ejecutan en el proceso del programa host de Outlook. Los complementos COM en proceso en Outlook son de confianza de forma predeterminada. Estos complementos COM están registrados en la lista de aplicaciones de confianza por el administrador del equipo cliente y deben usar el objeto Application que se pasa al evento OnConnection del complemento. Tenga en cuenta que si crea un nuevo objeto Application mediante el método CreateObject , ese objeto y cualquiera de sus objetos subordinados, propiedades y métodos no son de confianza.

Para obtener más información sobre el evento OnConnection , consulte la documentación de IDTExtensibility2 en MSDN.

Complementos entre procesos

De forma predeterminada, Outlook se basa en la existencia y el estado de un software antivirus adecuado en el equipo cliente para confiar en las aplicaciones entre procesos: si Outlook detecta que el software antivirus se ejecuta con un estado aceptable, Outlook deshabilitará las advertencias de seguridad para el usuario final.

Todos los autores de llamadas y complementos COM entre procesos se ejecutarán sin advertencias de seguridad si se mantienen todas las condiciones siguientes:

  • El equipo cliente ejecuta Windows XP Service Pack 2 (SP2), Windows Vista o una versión posterior de Windows y Seguridad de Windows Center (WSC) indica que el software antivirus del equipo está en un estado de mantenimiento "Correcto".

  • El software antivirus instalado en el equipo cliente está diseñado para Windows XP SP2, Windows Vista o versiones posteriores.

  • Outlook se configura en el equipo cliente de una de las siguientes maneras:

    • Usa la configuración de seguridad predeterminada de Outlook (es decir, no directiva de grupo configurar)

    • Usa la configuración de seguridad definida por directiva de grupo, pero no tiene aplicada la directiva de acceso mediante programación.

    • Usa la configuración de seguridad definida por directiva de grupo que está establecida para advertir cuando el software antivirus está inactivo o obsoleto.

Para obtener más información, vea el artículo "Cambios de seguridad de código en Microsoft Office Outlook 2007" en MSDN.

Opciones de seguridad

Windows directiva de grupo

Los administradores pueden usar el Centro de confianza en Outlook para cambiar el comportamiento predeterminado. Para acceder al Centro de confianza, seleccione Herramientas y, a continuación, Centro de confianza. En el Centro de confianza, haga clic en Acceso mediante programación. El cuadro de diálogo Seguridad de acceso mediante programación proporciona opciones distintas del comportamiento predeterminado.

Las tres opciones del cuadro de diálogo Seguridad de acceso mediante programación son:

  • Advertirme sobre la actividad sospechosa cuando mi software antivirus está inactivo o obsoleto (recomendado) Esta configuración es la predeterminada e implementa el comportamiento descrito anteriormente. Esta es la configuración recomendada para todos los usuarios.

  • Siempre advertirme sobre actividades sospechosas Esta configuración revertirá Outlook para que se comporte como Outlook 2003, donde los autores de llamadas COM entre procesos y los complementos que no son de confianza invocarán advertencias de seguridad.

  • Nunca me advierta sobre actividades sospechosas (no se recomienda) Esta configuración nunca mostrará advertencias de seguridad y la Protección del modelo de objetos se deshabilitará. Esta configuración solo debe usarse en entornos controlados en los que el riesgo de que se ejecute código malintencionado en el equipo es bajo.

Esta configuración solo está disponible si el usuario actual es un administrador en el equipo. Los usuarios que no son administradores pueden ver la configuración actual, pero no podrán cambiarla. La configuración de acceso mediante programación también se puede controlar a través de directiva de grupo. Para obtener más información sobre cómo configurar la configuración de Outlook con directiva de grupo, vea el sitio web del Kit de recursos de Office.

Formulario de seguridad en la carpeta pública de Exchange

Los administradores pueden configurar Outlook para buscar el formulario de seguridad de Outlook en una carpeta pública. En este caso, Outlook no aprovechará el estado del software antivirus y, de forma predeterminada, solo confiará en los complementos enumerados en el formulario de seguridad. Solo habrá tres comportamientos de solicitud: preguntar al usuario, nunca preguntar y permitir automáticamente, y nunca preguntar y denegar automáticamente.

Para aprovechar el nuevo comportamiento de seguridad de código en función del estado del software antivirus, los administradores deben usar la configuración de seguridad predeterminada de Outlook o configurar Outlook para usar directiva de grupo configuración para invalidar este comportamiento.

Soporte técnico y comentarios

¿Tiene preguntas o comentarios sobre VBA para Office o esta documentación? Vea Soporte técnico y comentarios sobre VBA para Office para obtener ayuda sobre las formas en las que puede recibir soporte técnico y enviar comentarios.