CCN-STIC-585 RC AnexoB

USO OFICIAL
Guía de Seguridad de las TIC

CCN-STIC 585
IMPLEMENTACIÓN DE SEGURIDAD EN
MICROSOFT OFFICE 2016 SOBRE MICROSOFT
WINDOWS 10 ANEXO B – REDES CLASIFICADAS
FEBRERO 2019
USO OFICIAL
USO OFICIAL
CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0
Edita:
CENTRO CRIPTOLOGICO NACIONAL
2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrónico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2019.02.15 12:42:39 +01'00'
 Centro Criptológico Nacional, 2019
NIPO: 083-19-119-2
Fecha de Edición: febrero de 2019
Sidertia Solutions S.L. ha participado en la realización y modificación del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del
mismo mediante alquiler o préstamo públicos.
Centro Criptológico Nacional USO OFICIAL ii

USO OFICIAL
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos de
la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y agresiones, y
donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de derecho, la
prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones públicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), encomienda al
Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de
la información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez que
confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional
(CCN) en su artículo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia
de riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las TIC,
orientadas a la formación de personal experto, a la aplicación de políticas y procedimientos de seguridad,
y al empleo de tecnologías de seguridad adecuadas.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica (ENS, en adelante), al que se refiere el apartado segundo del artículo 156 de la
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece la política de seguridad en la
utilización de medios electrónicos que permita una protección adecuada de la información.
Precisamente el Real Decreto 3/2010 de 8 de Enero, actualizado por el Real Decreto 951/2015, de 23 de
octubre, fija los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las tecnologías de
la información y las comunicaciones (STIC) por parte de CCN para facilitar un mejor cumplimiento de
dichos requisitos mínimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos
del Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para que
el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad
a los sistemas de las TIC bajo su responsabilidad.
febrero de 2019
Félix Sanz Roldán

Secretario de Estado
Director del Centro Criptológico Nacional
Centro Criptológico Nacional USO OFICIAL iii

USO OFICIAL
ANEXOS
ANEXO B. CONFIGURACIÓN SEGURA DE OFFICE 2016 EN REDES CLASIFICADAS .................6

PRODUCTOS Y COMPONENTES DEL PROCESO DE INSTALACIÓN DE MICROSOFT OFFICE 2016 .. 7
1.1. CARACTERÍSTICAS COMPARTIDAS DE MS OFFICE ................................................................... 7
1.2. HERRAMIENTAS DE OFFICE ...................................................................................................... 9
1.3. MS ACCESS 2016 .................................................................................................................... 10
1.4. MS EXCEL 2016....................................................................................................................... 10
1.5. MS SKYPE EMPRESARIAL ........................................................................................................ 12
1.6. MS ONEDRIVE PARA LA EMPRESA 2016 ................................................................................ 12
1.7. MS ONENOTE 2016 ................................................................................................................ 12
1.8. MS OUTLOOK 2016 ................................................................................................................ 13
1.9. MS POWERPOINT 2016 .......................................................................................................... 14
1.10. MS PUBLISHER 2016 ......................................................................................................... 14
1.11. MS VISIO 2016 VIEWER ..................................................................................................... 14
1.12. MS WORD 2016 ................................................................................................................ 14
PLANIFICACIÓN DE LA SEGURIDAD EN MS OFFICE 2016 ............................................................ 15
2.1. CONFIGURACIÓN DE BLOQUEO DE TIPO DE FORMATO DE ARCHIVO EN MICROSOFT OFFICE
2016 ....................................................................................................................................... 15
2.1.1. CONFIGURACIÓN DE MS WORD 2016............................................................................ 16
2.1.2. CONFIGURACIÓN DE MS EXCEL 2016............................................................................. 24
2.1.3. CONFIGURACIÓN DE MS POWERPOINT 2016 ................................................................ 35
2.2. CONFIGURACIÓN DE SEGURIDAD EN MS OUTLOOK 2016 .................................................... 40
2.2.1. SEGURIDAD DE LOS COMPLEMENTOS COM EN MS OUTLOOK 2016 ............................ 41
2.2.2. SEGURIDAD DE ACTIVEX Y FORMULARIOS PERSONALIZADOS EN MICROSOFT OUTLOOK
2016................................................................................................................................ 41
2.2.3. CONFIGURACIÓN DE LA SEGURIDAD DE LOS DATOS ADJUNTOS EN MICROSOFT
OUTLOOK 2016............................................................................................................... 43
2.2.4. CONFIGURACIÓN DE LA SEGURIDAD PARA LIMITAR EL IMPACTO DEL CORREO
ELECTRÓNICO NO DESEADO EN MS OUTLOOK 2016 ..................................................... 46
2.2.5. CRIPTOGRAFÍA DE CORREO ELECTRÓNICO EN MS OUTLOOK 2016 .............................. 49
ANEXO B.1. IMPLEMENTACIÓN SEGURA DE MICROSOFT OFFICE 2016 CON LICENCIA POR
VOLUMEN EN UN CLIENTE WINDOWS MIEMBRO DE UN DOMINIO ............... 55
ANEXO B.1.1. PASO A PASO DE IMPLEMENTACIÓN SEGURA ............................................ 55
PREPARACIÓN DEL DIRECTORIO ACTIVO .................................................................................... 55
PREPARACIÓN DEL CLIENTE PARA LA INSTALACIÓN DE MS OFFICE 2016 PROFESSIONAL PLUS EN
UN EQUIPO DEL DOMINIO .......................................................................................................... 70
Centro Criptológico Nacional USO OFICIAL iv

USO OFICIAL
INSTALACIÓN DE LA SUITE MS OFFICE 2016 PROFESSIONAL PLUS EN UN EQUIPO WINDOWS

PERTENCIENTE A UN DOMINIO................................................................................................... 74
PRIMER ARRANQUE DE UNA DE LAS APLICACIONES DE LA SUITE OFFICE 2016 PROFESSIONAL
PLUS ............................................................................................................................................ 80
ANEXO B.1.2. LISTA DE COMPROBACIÓN DE SEGURIDAD DE MS OFFICE 2016
IMPLEMENTADO EN CLIENTE MIEMBRO DE UN DOMINIO ......................... 85
ANEXO B.2. GUÍA PASO A PASO INSTALACIÓN DE MS OFFICE 2016 CON LICENCIA POR
VOLUMEN EN UN CLIENTE INDEPENDIENTE .................................................. 117
ANEXO B.2.1. PASO A PASO DE IMPLEMENTACIÓN SEGURA .......................................... 117
PREPARACIÓN DEL EQUIPO CLIENTE INDEPENDIENTE ............................................................. 117
INSTALACIÓN DE LA SUITE MS OFFICE 2016 PROFESSIONAL PLUS EN UN WINDOWS
INDEPENDIENTE ........................................................................................................................ 122
PRIMER ARRANQUE DE UNA DE LAS APLICACIONES DE LA SUITE OFFICE 2016 PROFESSIONAL
PLUS .......................................................................................................................................... 131
IMPLEMENTADO EN CLIENTE INDEPENDIENTE ......................................... 135
ANEXO B.3. ACTIVACIÓN DE MS OFFICE 2016 ................................................................... 161
ANEXO B.4. PERSONALIZACIÓN DE LAS INSTALACIONES BASADAS EN MICROSOFT
WINDOWS INSTALLER..................................................................................... 168
HERRAMIENTA DE PERSONALIZACIÓN DE OFFICE .................................................................... 168
PERSONALIZACIÓN DE LA INSTALACIÓN DE OFFICE POR MEDIO DEL FICHERO CONFIG.XML . 175
ANEXO B.5. TAREAS ADICIONALES DE CONFIGURACIÓN DE LA SEGURIDAD DE MS OFFICE
2016 ................................................................................................................ 177
ANEXO B.5.1. AGREGAR UBICACIONES DE CONFIANZA ................................................... 177
ANEXO B.5.2. AGREGAR UBICACIONES INSEGURAS......................................................... 180
ANEXO B.5.3. ESPECIFICAR SERVIDORES DE MARCA DE TIEMPO .................................... 183
ANEXO B.5.4. AGREGAR EXTENSIONES DE NIVEL 2 EN OUTLOOK 2016 .......................... 185
ANEXO B.5.5. AGREGAR COMPLEMENTOS DE CONFIANZA EN OUTLOOK 2016 ............. 188
ANEXO B.5.6. LIMPIEZA DE METADATOS DE DOCUMENTOS ........................................... 195
ANEXO B.5.7. PROTECCIÓN DE FICHERO CON CONTRASEÑA .......................................... 198
ANEXO B.5.8. AGREGAR FIRMA DIGITAL .......................................................................... 200
FIRMA INVISIBLE DE UN DOCUMENTO DE WORD .................................................................... 201
FIRMA VISIBLE DE UN DOCUMENTO DE WORD........................................................................ 204
CREAR UN ID DIGITAL PROPIO .................................................................................................. 208
Centro Criptológico Nacional USO OFICIAL v

USO OFICIAL
ANEXO B. CONFIGURACIÓN SEGURA DE OFFICE 2016 EN REDES

CLASIFICADAS
Nota: Si no lo ha hecho ya, acuda a los puntos principales de esta guía establecidos en el documento
principal de la guía. En estos puntos se indican el objeto, alcance y otra información que se debe tener en
consideración como paso previo a la aplicación de este anexo.
Este anexo detalla las características y configuraciones específicas que van a ser aplicadas sobre Microsoft Office
2016 en un entorno aislado, es decir, no conectado a una red no segura, como es Internet.
Nota: Todas las referencias indicadas en este anexo hacen referencia a la guía codificada como “CCN-STIC-
585” correspondiente con el ANEXO B enfocado a redes clasificadas.
El presente anexo se ha diseñado para ayudar a los operadores a implementar las distintas configuraciones de
seguridad aplicables a la instalación de Microsoft Office 2016 en clientes Windows 10 en entornos de dominio o
independientes.
Nota: Recuerde que antes de instalar Office 2016, será necesario aplicar las guías de seguridad codificadas
como CCN-STIC-599A18 (para clientes Windows 10 miembro de dominio) y CCN-STIC-599B18 (para
clientes Windows 10 independiente).
A continuación, se describe, paso a paso, como realizar la instalación y configuración de seguridad del producto.
Esta guía incorpora todos los ficheros y scripts necesarios para realizar la configuración segura de los equipos.
De manera adicional, en la carpeta que alberga todos los ficheros, existe un directorio que almacena un informe
en formato HTML con cada objeto de directiva de grupo (GPO) que se aplica.
Se debe tener en cuenta que el paquete ofimático MS Office 2016 permite la instalación de diferentes
aplicaciones: MS Word 2016, MS Excel 2016, MS PowerPoint 2016 o MS Access 2016, entre otras. Instale, a través
del procedimiento que se especifica a continuación, solo aquellas aplicaciones que sean necesarias para las
funcionalidades requeridas por los usuarios. Un mayor número de aplicaciones implica una mayor necesidad de
procesamiento y fundamentalmente de mantenimiento. Reducir el número de aplicaciones instaladas en un sistema
minimiza la exposición, la superficie expuesta al ataque y las tareas de mantenimiento.
Centro Criptológico Nacional USO OFICIAL 6

USO OFICIAL
PRODUCTOS Y COMPONENTES DEL PROCESO DE INSTALACIÓN DE

MICROSOFT OFFICE 2016
La instalación de MS Office 2016 implica la implementación de diferentes productos y componentes. Será
necesario conocer de antemano cuáles son las características de cada uno de ellos para adecuar la instalación en
función de las necesidades de los usuarios.
Es importante tener en cuenta que la instalación de más productos y componentes aumenta la superficie de
ataques y los tiempos de coste de administración y despliegue de actualizaciones. Deberán instalarse,
exclusivamente, aquellos productos y componentes necesarios para las funcionalidades que deba desempeñar el
usuario.
En el caso de que un componente necesario no se haya instalado en el proceso inicial de instalación podrá
realizarse, a posteriori, ejecutando nuevamente el instalador de Microsoft Office 2016.
Nota: En el caso de utilizar una versión “Retail/OEM” de Office, en el proceso de instalación no habrá
posibilidad de elegir qué características instalar. Es un paquete único (suite) que instala todos los
componentes de forma automática. Tras la instalación completa tampoco es posible la modificación y/o
eliminación de dichos componentes, es por esto que durante esta guía se utiliza una versión de Office
2016 de licenciamiento por volumen.
1.1. CARACTERÍSTICAS COMPARTIDAS DE MS OFFICE

Las características compartidas de MS Office definen aquellos componentes que son comunes a todos los
productos que pueden instalarse con MS Office 2016, tales como: paquetes de idiomas, fuentes o servicios de
conectividad internacional.
A continuación, se detallan aquellos componentes que pueden activarse o no durante el proceso de instalación:
Componente Descripción Recomendado

Certificado digital para Permite emitir certificados digitales que posibilitará el Sí.
proyectos de VBA firmar un proyecto de Visual Basic para aplicaciones. La
firma digital de los proyectos VBA permitirá evitar
advertencia de seguridad en la ejecución de proyectos
VBA que hayan sido generados legítimamente por la
organización.
Control de descargas Este control de tipo ActiveX permite descargar imágenes No.
de Microsoft Office prediseñadas y plantillas para MS Office desde el sitio
web de Office.com. La apertura de las mismas se realizará
automáticamente desde los programas asociados.
Convertidores y filtros Herramientas de conversión de textos, fórmulas y gráficos Sí.
desde otros tipos de ficheros. Como versiones anteriores
de MS Office, de WordPerfect y otras plataformas.
Fuentes Agrega diversos tipos de fuentes de texto y TrueType para No.
su uso en los diferentes tipos de documentos y soportes
de las aplicaciones MS Office 2016.
Herramientas de Incorpora los archivos para la corrección de texto en Sí. Seleccione solamente
corrección diferentes idiomas. aquellos idiomas que se
requieran en su
organización.
Servicios de Instala el cliente enriquecido proporcionando diferentes Solo en aquellos
conectividad elementos de interfaz de usuario para conexión con entornos de integración
empresarial formularios de Windows, extensión de diseños y control con versiones de MS
de acciones en direcciones URL. Amplía las capacidades SharePoint 2007 o
del usuario de MS SharePoint. La integración con clientes superior.

USO OFICIAL

de Office solo está disponible en la versión MS Office
2016 Professional Plus.
Soporte internacional Incorpora la posibilidad de ver caracteres japoneses y No.
todos los caracteres en formato Unicode 2.1.
Temas de Microsoft Instala el conjunto de elementos para el diseño Sí.
Office coordinado de textos y objetos en las aplicaciones de MS
Office 2016. Incluye colores, rellenos y efectos, entre
otros.
Temas web Instala el conjunto de elementos coordinados para el Solo si va a diseñarse o
diseño de páginas web, incluyendo para ello estilos web, editarse contenido de
imágenes, viñetas, líneas, títulos y textos. tipo web.
Visual Basic para Implementa el motor VBA para la creación, edición y No.
Aplicaciones edición de macros de VBA en las aplicaciones de MS
Office 2016.
Características compartidas de Office, dentro de la ventana de opciones de instalación de Microsoft Office 2016
Professional Plus, marcadas según las recomendaciones de esta guía. No tiene por qué coincidir exactamente con su
elección final.

USO OFICIAL
1.2. HERRAMIENTAS DE OFFICE

Las herramientas de Office 2016 incorporan aplicaciones y archivos auxiliares que son utilizados por las
diferentes aplicaciones de la suite MS Office 2016. Entre los componentes pueden encontrarse las herramientas de
edición de ecuaciones, MS Graph, compatibilidad con programación .NET o el sistema de reconocimiento óptico de
caracteres.
En la siguiente tabla se indican las recomendaciones o explicaciones que le permitirán implementar un sistema
orientado a la seguridad:

Comparar, Herramientas para comparar, diagnosticar y gestionar Solo si entre las
Diagnósticos y Gestión inventarios en libros Excel y bases de datos de Access. funciones del usuario se
de inventarios necesita la gestión de
inventarios para el
control de stock de
productos.
Compatibilidad con Herramienta para la publicación de documentos y Solo en aquellos
MS SharePoint colaboración para SharePoint o extensiones de servidor entornos de integración
Foundation de FrontPage. Instala también el módulo para la gestión MS SharePoint o en la
de listas de Office para SharePoint. gestión de sitios web con
MS FrontPage.
Compatibilidad con Este componente permite la ejecución e interoperabilidad Sí.
programación de .NET que le habilita para programar acciones con .NET
para acciones Framework 2.0 o superior.
Compatibilidad con Este componente permite la integración de aplicaciones Sí.
programación de .NET para los formularios Windows Form, desarrollados con
para MS Form 2.0 programación .NET Framework 2.0 o superior.
Complemento de Proporciona los mecanismos para el reconocimiento Solo si se van a instalar
acciones inteligente de tipos de datos en Excel y Word, así como las aplicaciones MS
acciones para trabajar con ellos. Incluye acciones para: Word 2016 o MS Excel
contacto de mensajería instantánea, conversor de 2016.
medidas, fecha, información bibliográfica y nombre.
Editor de ecuaciones Permite la inserción y reconocimiento de símbolos No.
matemáticos y ecuaciones en los diferentes documentos
generados por las aplicaciones de MS Office 2016.
Herramienta de Establece diferentes parámetros de idioma para todos los No.
configuración de programas de MS Office 2016.
idioma
Microsoft Graph Permite la creación, modificación e inclusión de gráficos No.
basados en datos en MS Word, MS PowerPoint y MS
Access.
Microsoft Query Proporciona los mecanismos y herramientas para la Solo si se van a realizar
conexión directa a bases de datos, de tal forma que los conexión a base de
datos puedan ser analizados y tratados en MS Excel. datos, siendo tratada la
información en MS Excel.
Reconocimiento Permite hacer uso de la herramienta de OCR para extraer No.
óptico de caracteres texto de diferentes ficheros de imágenes de forma
(OCR) automatizada.
Telemetría de Office Habilita la opción para poder recopilar y supervisar los No. A no ser que se vaya
datos de telemetría de Office en el equipo local con las a implementar el sistema
herramientas de telemetría de Office. centralizado de
telemetría.

USO OFICIAL
Herramientas de Office, dentro de la ventana de opciones de instalación de Microsoft Office 2016 Professional Plus,
marcadas según las recomendaciones de esta guía. No tiene por qué coincidir exactamente con su elección final.
1.3. MS ACCESS 2016

MS Access 2016 representa la solución de base de datos que se incorpora con MS Office 2016. Access incluye
herramientas de formulario, informe, consulta, etc.

Acceso a Servicios de Este componente permite acceso para vincular orígenes Solo en aquellos
conectividad de datos de servicios de conectividad empresarial, tales entornos de integración
empresarial como sistemas de CRM, ERP, bases de datos y SharePoint MS SharePoint o de
Server. necesidad de vinculación
de datos externos.
Asistentes adicionales Instala los expertos que realizarán preguntas sobre Sí.
elementos avanzados para la creación de bases de datos.
Compatibilidad con Instala los ensamblados de interoperabilidad que permite Sí.
programación de .NET programar MS Access con .NET Framework 2.0 o
posterior.
Obtener acceso a Permite el acceso para vincularse con dependencias del Solo en aquellos
dependencias del Servicio de conectividad empresarial entornos de integración
Servicio de MS SharePoint o de
conectividad necesidad de vinculación
empresarial de datos externos.
Plantillas de Access Son aplicaciones que se utilizan para realizar el Sí.
seguimiento, almacenar y confeccionar informes sobre
datos. Puede almacenarse los datos en archivos .accdb o
en las listas de un sitio web de SharePoint
1.4. MS EXCEL 2016

MS Excel 2016 representa la solución de hoja de cálculo que se incorpora con MS Office 2016.

USO OFICIAL

Archivos de ejemplo Este componente instala elementos de ayuda para la No.
generación de ejemplos de casos de uso y ficheros de
hojas de cálculo para sacar el máximo partido a la
aplicación.
Compatibilidad con Instala los ensamblados de interoperabilidad que permite Sí.
programación .NET programar MS Excel con .NET Framework 2.0 o posterior.
Complementos Instala las herramientas y utilidades para la resolución de Sí, excepto PowerMap.
problemas. Incluye los elementos para el análisis de datos
estadísticos y de ingeniería, conversión y formato para el
euro y la herramienta para la optimización de ecuaciones.
Microsoft Excel, dentro de la ventana de opciones de instalación de Microsoft Office 2016 Professional Plus, marcadas
según las recomendaciones de esta guía. No tiene por qué coincidir exactamente con su elección final.

USO OFICIAL
1.5. MS SKYPE EMPRESARIAL

Microsoft Skype Empresarial es el servicio de mensajería instantánea que incorpora la suite Office desde la
versión Office 2016 en la edición Professional Plus.
Skype no dispone de opciones de instalación en la versión y edición objeto de este documento.
No instale este producto si no es requerido expresamente en su empresa.

No existe implementación en las guías CCN-STIC serie 500 para este producto.
Nota: Para evitar la conexión accidental, en esta guía se ha deshabilitado la posibilidad de ejecutar Skype
desde las directivas de grupo que se instalan durante la guía paso a paso.
1.6. MS ONEDRIVE PARA LA EMPRESA 2016

Microsoft OneDrive para la empresa 2016 permite la sincronización de documentos de SharePoint con el equipo
del cliente y trabajar con el contenido como si estuviera conectado.
No instale este producto si no es requerido expresamente en su empresa.
OneDrive no dispone de opciones de instalación en la versión y edición objeto de este documento.
1.7. MS ONENOTE 2016

MS OneNote 2016 es la solución para organizar notas en torno a libros. Las notas admiten todo tipo de contenido,
desde texto plano hasta imágenes, hipervínculos, tablas, dibujos, sonido y vídeos.

Compatibilidad con Instala los ensamblados de interoperabilidad que permite Solo en entornos
programación .NET programar MS OneNote con .NET Framework 2.0 o necesarios de
posterior. programación de .NET.
Complementos Enviar Funcionalidad para poder enviar contenido desde otras No.
a OneNote aplicaciones como Internet Explorer o MS Outlook.
Fuentes para escritura Fuentes de letras que permite simular la escritura de No.
a mano texto como si se realizara a mano.

USO OFICIAL
1.8. MS OUTLOOK 2016

MS Outlook 2016 es la solución para el tratamiento y almacenamiento de correos electrónicos, gestión de
calendarios, agenda y otras funciones de organización ofimática.

Compatibilidad con Instala los ensamblados de Solo en entornos necesarios de
programación .NET interoperabilidad que permite programación de .NET.
programar MS OneNote con .NET
Framework 2.0 o posterior.
Complementos de Instalación de complementos de Márquese para la instalación
Outlook funcionalidad de Outlook. El Complementos de Outlook pero deben
complemento tiene como opciones la desmarcarse las dos subopciones:
instalación del complemento de complemento de recomendación de
recomendación de colegas de colegas y Outlook Social Connector. Véase
SharePoint Server y el Outlook Social la imagen, a continuación de la presente
Connector. tabla, para ver la configuración de la
instalación.
Componentes de Agrega los componentes de conexión Sí.
mensajería de Outlook con MS Exchange Server, servicio de
Directorio Activo de Microsoft,
carpetas personales y las libretas de
direcciones.
Diseño de fondos de Permite crear fondos para los correos Sí.
Outlook electrónicos.
Importadores y Complementos que permite exportar Sí.
exportadores correos y ficheros desde otros
formatos como versiones previas de
Outlook, ficheros .pst, ficheros .ost o
Lotus entre otros.
Plantillas de Outlook Complemento que permite generar No.
correos, citas y calendarios a partir de
ejemplos.
Soporte para Visual Herramienta de depuración para No.
Basic Scripting Visual Basic Scripting Edition. Se utiliza
para automatizar formularios
personalizados de Outlook.
Apartado Microsoft Outlook, dentro de la ventana de opciones de instalación de Microsoft Office 2016 Professional Plus,
marcado según las recomendaciones de esta guía. No tiene por qué coincidir exactamente con su elección final.

USO OFICIAL
1.9. MS POWERPOINT 2016

MS PowerPoint 2016, es la solución para el diseño y proyección de presentaciones.
En la siguiente tabla, se indican las recomendaciones o explicaciones que le permitirán implementar un sistema

programar MS OneNote con .NET
Complemento de Complemento que permite revisar No. Solo se recomienda su instalación en
Organization Chart para objetos OLE de MS Organization Chart entornos donde sea necesaria la
programas de Microsoft creado con versiones anteriores de compatibilidad.
Office este programa.
Efectos de sonido de Permite hacer uso de sonidos junto a Sí.
animación los efectos de animación
preestablecidos por MS PowerPoint
2016.
1.10. MS PUBLISHER 2016

MS Publisher 2016, es la solución para la maquetación de publicaciones impresas o digitales en diversos
formatos. Presenta orientación al apartado visual, frente a los procesadores de texto convencionales orientados al
contenido.

programar MS Publisher con .NET
1.11. MS VISIO 2016 VIEWER

MS Visio 2016 Viewer es el visor de ficheros generados con la aplicación MS Visio. Con este elemento se podrán
abrir los ficheros, pero no editarlos ni generarlos.
El producto MS Visio 2016 debe ser adquirido con licencia independiente de la que se tenga de MS Office 2016
e instalarlo adicionalmente, aunque no por ello se deja de considerar parte de la suite.
Visio Viewer no dispone de opciones de instalación en la versión y edición objeto de este documento.
1.12. MS WORD 2016

MS Word 2016 es la solución de procesamiento de texto que incorpora MS Office 2016.

USO OFICIAL

Archivos de formato Incorpora completos para la aplicación Sí.
rápido de formatos a documentos generados
con MS Word.
Bordes decorativos de Proporciona diferentes bordes de Sí.
página páginas que pueden utilizase para la
mejora de presentación de los
documentos.
programar MS Word con .NET
PLANIFICACIÓN DE LA SEGURIDAD EN MS OFFICE 2016

Tal y como se detalla en el documento principal de esta guía, planificar la seguridad consiste en definir los
modelos, mecanismos y medios que garantizarán un uso seguro de las aplicaciones y del tratamiento de los datos.
Las configuraciones siguientes son incrementales a las explicadas en dicho documento y aplican a un entorno de
redes clasificadas que vaya a implementar las configuraciones del presente anexo.
2.1. CONFIGURACIÓN DE BLOQUEO DE TIPO DE FORMATO DE ARCHIVO EN

MICROSOFT OFFICE 2016
MS Office 2016 presenta la característica de poder bloquear tipos específicos de archivos para MS Word, MS
Excel y MS PowerPoint. Adicionalmente, puede definirse cómo los usuarios abren o guardan los archivos
bloqueados.

USO OFICIAL
Hay que tener presente que la configuración de bloqueo de apertura no se aplica a los ficheros que se abren
desde ubicaciones de confianza y además es específica de cada aplicación. Por ejemplo, puede evitarse que un
usuario de MS Word abra archivos tipo “.dot” (plantillas de Word), pero no impedir mediante esta característica que
este tipo de archivos se puedan abrir con MS Publisher haciendo uso del conversor para leer archivos de tipo “.dot”.
La opción “Establecer comportamiento predeterminado de bloqueo de archivos” especifica si lo archivos

bloqueados pueden o no abrirse y de qué manera se realiza. Por ejemplo, si se muestran en modo Vista protegida y
pudiendo o no editarse.
2.1.1. CONFIGURACIÓN DE MS WORD 2016

Los valores de configuración de bloqueo de archivos para MS Word 2016 se definen a través de la siguiente tabla:
Extensión de Si la opción se
Nombre de la opción Opciones disponibles si la función es
formato de deshabilita o no se
de configuración habilitada
archivo configura
Los usuarios
No se abren los
pueden definir Los archivos bloqueados no se abren.
Establecer el archivos bloqueados
los formatos de Los archivos bloqueados se abren en la
comportamiento de (los usuarios no
archivo Vista protegida y no se pueden editar.
bloqueo de archivos podrán abrir los
bloqueados en Los archivos bloqueados se abren en la
predeterminado archivos
el Centro de Vista protegida y se pueden editar.
bloqueados).
confianza.
No bloquear: no se bloqueará el tipo de
archivo.
Guardar bloqueado: se bloqueará el
guardado del tipo de archivo.
Abrir o guardar bloqueado; usar directiva
abierta: se bloqueará la apertura y el
guardado del tipo de archivo. El archivo se
abrirá en función de la configuración de
directiva configurada en la clave
“Comportamiento de bloqueo de archivos
predeterminado”.
Archivos de texto de No se bloqueará el
*.odt Bloquear: se bloqueará la apertura y el
OpenDocument tipo de archivo.
guardado del tipo de archivo, y no se abrirá
el archivo.
Abrir en Vista protegida se bloqueará la
apertura y el guardado del tipo de archivo, y
no se habilitará la opción de editar el tipo
de archivo.
Permitir editar y abrir en la Vista
protegida: se bloquearán las operaciones
para abrir y guardar el tipo de archivo, y se
habilitará la opción de editar el tipo de
archivo.

USO OFICIAL
archivo configura
archivo.
Archivos de texto sin No se bloqueará el
*.txt abierta: se bloqueará la apertura y el
formato tipo de archivo.
predeterminado”.
archivo.
predeterminado”.
No se bloqueará el
Archivos RTF *.rtf Bloquear: se bloqueará la apertura y el
tipo de archivo.
el archivo.
de archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
Todos los
formatos de
Convertidores de predeterminado”.
archivo que se No se bloqueará el
Office Open XML Bloquear: se bloqueará la apertura y el
abran con un tipo de archivo.
para Word guardado del tipo de archivo, y no se abrirá
convertidor
el archivo.
OOXML
de archivo.
archivo.
archivo.
Todos los “Comportamiento de bloqueo de archivos
Convertidores formatos de predeterminado”.
No se bloqueará el
heredados para archivo que se Bloquear: se bloqueará la apertura y el
tipo de archivo.
Word abran con un guardado del tipo de archivo, y no se abrirá
convertidor el archivo.
de archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
Documentos de predeterminado”.
No se bloqueará el
Word 2003 y XML sin *.xml Bloquear: se bloqueará la apertura y el
tipo de archivo.
formato guardado del tipo de archivo, y no se abrirá
el archivo.
de archivo.
archivo.
archivo.
*.htm
predeterminado”.
*.html No se bloqueará el
Páginas web Bloquear: se bloqueará la apertura y el
*.mht tipo de archivo.
*.mhtml
el archivo.
de archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
predeterminado”.
Plantillas y
Bloquear: se bloqueará la apertura y el
documentos binarios *.doc No se bloqueará el
de Word 2 y *.dot tipo de archivo.
el archivo.
anteriores
de archivo.
archivo.
archivo.
predeterminado”.
Plantillas y Bloquear: se bloqueará la apertura y el
*.doc No se bloqueará el
documentos binarios guardado del tipo de archivo, y no se abrirá
*.dot tipo de archivo.
de Word 2000 el archivo.
de archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
predeterminado”.
de archivo.
archivo.
archivo.
Plantillas y
predeterminado”.
documentos binarios *.doc No se bloqueará el
de Word 2007, y *.dot tipo de archivo.
posteriores
el archivo.
de archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
predeterminado”.
de Word 6.0 el archivo.
de archivo.
archivo.
archivo.
predeterminado”.
de archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
predeterminado”.
de archivo.
archivo.
archivo.
predeterminado”.
de Word XP el archivo.
de archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
*.docx
*.dotx
Plantillas y *.docm
predeterminado”.
documentos de *.dotm No se bloqueará el
Word 2007, y *.xml (archivos tipo de archivo.
posteriores Open XML
el archivo.
planos de
Word)
de archivo.
archivo.
2.1.2. CONFIGURACIÓN DE MS EXCEL 2016

Los valores de configuración de bloqueo de archivos para MS Excel 2016 se definen a través de la siguiente tabla:
archivo configura
Los usuarios
No se abren los
Establecer archivos
los formatos de Los archivos bloqueados se abren en la Vista
comportamiento bloqueados (los
archivo protegida y no se pueden editar.
predeterminado de usuarios no podrán
bloqueados en Los archivos bloqueados se abren en la Vista
bloqueo de archivos abrir los archivos
el Centro de protegida y se pueden editar.
bloqueados)
confianza.
archivo.
Archivos de abierta: se bloqueará la apertura y el
No se bloqueará el
complemento de *.xll (.dll) guardado del tipo de archivo. El archivo se
tipo de archivo
Excel abrirá en función de la configuración de
predeterminado”.

USO OFICIAL
archivo configura
archivo.
Archivos de
complemento de No se bloqueará el
*.xlam abierta: se bloqueará la apertura y el
Excel 2007 y tipo de archivo
posteriores
predeterminado”.
archivo.
*.xls
*.xla
Archivos de Abrir o guardar bloqueado; usar directiva
*.xlt No se bloqueará el
complemento de abierta: se bloqueará la apertura y el
*.xlm tipo de archivo
Excel 97-2003 guardado del tipo de archivo. El archivo se
*.xlw
*.xlb
predeterminado”.
archivo.
*.xls “Comportamiento de bloqueo de archivos
Archivos de *.xla predeterminado”.
complementos y *.xlt Bloquear: se bloqueará la apertura y el No se bloqueará el
hojas de macros de *.xlm guardado del tipo de archivo, y no se abrirá el tipo de archivo
Excel 2 *.xlw archivo.
*.xlb Abrir en Vista protegida se bloqueará la
no se habilitará la opción de editar el tipo de
archivo.
Permitir editar y abrir en la Vista protegida:
se bloquearán las operaciones para abrir y
guardar el tipo de archivo, y se habilitará la
opción de editar el tipo de archivo.

USO OFICIAL
archivo configura
archivo.
archivo.
archivo.
archivo.
archivo.
Archivos de conexión abierta: se bloqueará la apertura y el
No se bloqueará el
de datos de *.odc guardado del tipo de archivo. El archivo se
tipo de archivo
Microsoft Office abrirá en función de la configuración de
predeterminado”.

USO OFICIAL
archivo configura
archivo.
*.iqy “Comportamiento de bloqueo de archivos
Archivos de consulta *.dqy predeterminado”. No se bloqueará el
de Microsoft Office *.oqy Bloquear: se bloqueará la apertura y el tipo de archivo
*.rqy guardado del tipo de archivo, y no se abrirá el
archivo.
archivo.
archivo.
Archivos de cubo sin No se bloqueará el
*.cub guardado del tipo de archivo. El archivo se
conexión tipo de archivo
predeterminado”.
archivo.
Archivos de dBase No se bloqueará el
*.dbf guardado del tipo de archivo. El archivo se
III/IV tipo de archivo
predeterminado”.

USO OFICIAL
archivo configura
archivo.
Archivos de hoja de
predeterminado”. No se bloqueará el
cálculo de *.ods
Bloquear: se bloqueará la apertura y el tipo de archivo
OpenDocument
guardado del tipo de archivo, y no se abrirá el
archivo.
archivo.
archivo.
*.txt Abrir o guardar bloqueado; usar directiva
No se bloqueará el
Archivos de texto *.csv abierta: se bloqueará la apertura y el
tipo de archivo
*.prn guardado del tipo de archivo. El archivo se
predeterminado”.
archivo.
*.dif No se bloqueará el
Archivos Dif y Sylk abierta: se bloqueará la apertura y el
*.slk tipo de archivo
predeterminado”.

USO OFICIAL
archivo configura
archivo.
No se bloqueará el
Archivos XML *.xml abierta: se bloqueará la apertura y el
tipo de archivo
predeterminado”.
archivo.
Todos los directiva configurada en la clave
formatos de “Comportamiento de bloqueo de archivos
Convertidores de
archivo que se predeterminado”. No se bloqueará el
Microsoft Office
abran con un Bloquear: se bloqueará la apertura y el tipo de archivo
Open XML para Excel
convertidor guardado del tipo de archivo, y no se abrirá el
OOXML archivo.
archivo.
archivo.
Todos los
predeterminado”.
formatos de
Convertidores Bloquear: se bloqueará la apertura y el No se bloqueará el
archivo que se
heredados para Excel guardado del tipo de archivo, y no se abrirá el tipo de archivo
abran con un
archivo.
convertidor
archivo.

USO OFICIAL
archivo configura
archivo.
*.xla predeterminado”.
Hojas de cálculo de *.xlt Bloquear: se bloqueará la apertura y el No se bloqueará el
Excel 2 *.xlm guardado del tipo de archivo, y no se abrirá el tipo de archivo
*.xlw archivo.
archivo.
archivo.
*.xlw archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
*.xlw archivo.
archivo.
archivo.
Libros binarios de
Excel 2007, y *.xlsb
posteriores
archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
*.xlt Bloquear: se bloqueará la apertura y el No se bloqueará el
Libros de Excel 4
*.xlm guardado del tipo de archivo, y no se abrirá el tipo de archivo
*.xlw archivo.
archivo.
archivo.
*.xls directiva configurada en la clave
*.xla “Comportamiento de bloqueo de archivos
*.xlt predeterminado”. No se bloqueará el
Libros de Excel 95
*.xlm Bloquear: se bloqueará la apertura y el tipo de archivo
*.xlw guardado del tipo de archivo, y no se abrirá el
*.xlb archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
Libros y plantillas de
*.xlsx predeterminado”. No se bloqueará el
Excel 2007 y
*.xltx Bloquear: se bloqueará la apertura y el tipo de archivo
posteriores
archivo.
archivo.
archivo.
Libros y plantillas de *.xlt Bloquear: se bloqueará la apertura y el No se bloqueará el
Excel 95-97 *.xlm guardado del tipo de archivo, y no se abrirá el tipo de archivo
*.xlw archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
*.xls directiva configurada en la clave
*.xla “Comportamiento de bloqueo de archivos
Libros y plantillas de *.xlt predeterminado”. No se bloqueará el
Excel 97-2003 *.xlm Bloquear: se bloqueará la apertura y el tipo de archivo
*.xlw guardado del tipo de archivo, y no se abrirá el
*.xlb archivo.
archivo.
archivo.
Libros y plantillas “Comportamiento de bloqueo de archivos
habilitados para *.xlsm predeterminado”. No se bloqueará el
macros de Excel 2007 *.xltm Bloquear: se bloqueará la apertura y el tipo de archivo
y posteriores guardado del tipo de archivo, y no se abrirá el
archivo.
archivo.
*.udl
archivo.
*.dsn
*.mdb
Otros archivos de *.mde No se bloqueará el
origen de datos *.accdb tipo de archivo
*.accde
*.dbc
*.uxdc
predeterminado”.

USO OFICIAL
archivo configura
archivo.
*.mht directiva configurada en la clave
*.mhtml “Comportamiento de bloqueo de archivos
Páginas web y hojas
*.htm predeterminado”. No se bloqueará el
de cálculo XML de
*.html Bloquear: se bloqueará la apertura y el tipo de archivo
Excel 2003
*.xml guardado del tipo de archivo, y no se abrirá el
*.xlmss archivo.
archivo.
2.1.3. CONFIGURACIÓN DE MS POWERPOINT 2016

Los valores de configuración de bloqueo de archivos para MS PowerPoint 2016 se definen a través de la siguiente
tabla:
archivo configura
Los usuarios
No se abren los
Establecer archivos
los formatos de Los archivos bloqueados se abren en la Vista
comportamiento bloqueados (los
archivo protegida y no se pueden editar.
predeterminado de usuarios no podrán
bloqueados en Los archivos bloqueados se abren en la Vista
bloqueo de archivos abrir los archivos
el Centro de protegida y se pueden editar.
bloqueados).
confianza.

USO OFICIAL
archivo configura
archivo.
Archivos de
Archivos beta de predeterminado”. No se bloqueará el
presentación de
PowerPoint Bloquear: se bloqueará la apertura y el tipo de archivo
versiones beta
archivo.
archivo.
archivo.
*.rtf Guardar bloqueado: se bloqueará el
*.txt guardado del tipo de archivo.
*.doc Abrir o guardar bloqueado; usar directiva
Archivos de No se bloqueará el
*.wpd abierta: se bloqueará la apertura y el
esquemas tipo de archivo
*.docx guardado del tipo de archivo. El archivo se
*.docm abrirá en función de la configuración de
*.wps directiva configurada en la clave
predeterminado”.

USO OFICIAL
archivo configura
archivo.
Archivos de
presentación de *.odp
OpenDocument
archivo.
archivo.
archivo.
Archivos de
Convertidores beta predeterminado”. No se bloqueará el
presentación de
de PowerPoint Bloquear: se bloqueará la apertura y el tipo de archivo
versiones beta
archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
Todos los directiva configurada en la clave
Convertidores de formatos de “Comportamiento de bloqueo de archivos
Microsoft Office archivo que se predeterminado”. No se bloqueará el
Open XML para abran con un Bloquear: se bloqueará la apertura y el tipo de archivo.
PowerPoint convertidor guardado del tipo de archivo, y no se abrirá el
OOXML archivo.
archivo.
archivo.
Archivos de
Convertidores presentación de
heredados para versiones
PowerPoint anteriores a
PowerPoint 97
archivo.
archivo.
*.jpg
*.png No bloquear: no se bloqueará el tipo de
*.tif archivo. No se bloqueará el
Filtros gráficos
*.bmp Guardar bloqueado: se bloqueará el tipo de archivo.
*.wmf guardado del tipo de archivo.
*.emf

USO OFICIAL
archivo configura
archivo.
*.mht “Comportamiento de bloqueo de archivos
*.mhtml predeterminado”. No se bloqueará el
Páginas web
*.htm Bloquear: se bloqueará la apertura y el tipo de archivo.
*.html guardado del tipo de archivo, y no se abrirá el
archivo.
archivo.
archivo.
Presentaciones de *.ppt “Comportamiento de bloqueo de archivos
PowerPoint 97-2003, *.pot predeterminado”. No se bloqueará el
plantillas y archivos *.pps Bloquear: se bloqueará la apertura y el tipo de archivo.
de complementos *.ppa guardado del tipo de archivo, y no se abrirá el
archivo.
archivo.

USO OFICIAL
archivo configura
archivo.
*.pptx
Presentaciones, directiva configurada en la clave
*.pptm
plantillas, temas y “Comportamiento de bloqueo de archivos
*.potx
archivos de predeterminado”. No se bloqueará el
*.ppsx
complementos de Bloquear: se bloqueará la apertura y el tipo de archivo.
*.ppam
PowerPoint 2007 y guardado del tipo de archivo, y no se abrirá el
*.thmx
versiones posteriores archivo.
*.xml
archivo.
2.2. CONFIGURACIÓN DE SEGURIDAD EN MS OUTLOOK 2016

Téngase en cuenta que Outlook no es un producto presente en todos los paquetes de Office 2016.
Debido a la especificidad de las funciones de la aplicación, MS Outlook 2016 presenta características de seguridad
diferentes del resto de los programas de la suite. De forma predeterminada, estas características presentan niveles
de seguridad altos, pero pueden ser personalizadas muchas de sus opciones.
Para que la configuración de MS Outlook 2016 pueda establecerse a través de las políticas de seguridad, será
necesario habilitar el modo de seguridad de Outlook para usar la directiva de grupo de seguridad de Outlook.
El utilizar la directiva de grupo para establecer las medidas de seguridad es muy recomendable.
Cuando se hace uso de la directiva de grupo para establecer la configuración de seguridad deben tenerse en
cuenta los siguientes aspectos:
a) La configuración de la plantilla de seguridad de Outlook se debe migrar manualmente a la directiva de grupo.

Si se ha hecho uso de la plantilla de seguridad de Outlook anteriormente para administrar la configuración
de seguridad, pero se decide posteriormente usar la directiva de grupo para aplicar dicha configuración en
Outlook 2016, deberá migrarse manualmente la configuración que se estableció en su momento a la
configuración de directiva de grupo correspondiente.
b) La configuración personalizada mediante la directiva de grupo puede no estar activa inmediatamente. Debe
configurarse la directiva de grupo para que se actualice y para que se aplique automáticamente (en segundo
plano) en los equipos de los usuarios cuando estos inicien sesión y con la frecuencia que desee especificarse.
Para hacer que la configuración de directiva de grupo esté activa de forma inmediata, los usuarios deberán
cerrar sesión y volver a iniciarla. Outlook solo comprueba la configuración de seguridad al iniciarse. En caso
de que la configuración de seguridad se actualice mientras Outlook está en ejecución, la nueva configuración
no se usará hasta que el usuario cierre y reinicie Outlook.

USO OFICIAL
c) No se aplica ninguna configuración personalizada en el modo de solo Administrador de información personal

(PIM, por Personal Information Manager). En el modo PIM, Outlook usa la configuración de seguridad
predeterminada. En este modo, no es necesaria ni se usa ninguna configuración de administrador.
2.2.1. SEGURIDAD DE LOS COMPLEMENTOS COM EN MS OUTLOOK 2016

Un complemento COM debe estar codificado para que pueda usar el modelo de confianza de Outlook y
ejecutarse sin que se muestren mensajes de advertencias. A través de las políticas de grupo pueden indicarse los
complementos
El modelo de objetos de Outlook 2016 impedirá que los virus accedan a la libreta de direcciones para evitar su
propagación. La protección del modelo de objetos no se puede cambiar ni con el formulario de seguridad ni con las
directivas de grupo.
En Outlook 2016 existen dos configuraciones: Lista de complementos administrados y Bloquear todos los
complementos no administrados. Permiten crear una lista de complementos habilitados siempre o bloqueados
siempre. Estas configuraciones invalidan la configuración del centro de confianza. Si un complemento está en la lista
Bloquear todos los complementos no administrados y se agregó también a Configurar complementos de confianza,
se bloqueará el complemento.
Las configuraciones Lista de complementos administrados y Bloquear todos los complementos no administrados
se encuentran en la plantilla de directiva de grupo de Outlook en “Configuración de usuario\Plantillas
administrativas\Microsoft Outlook 2016\Varios”.
Para confiar en un complemento COM, debe incluirse el nombre de archivo del complemento a través de la
configuración de la directiva e grupo con un valor hash obtenido para el archivo. El cálculo del valor hash se debe
realizar con una aplicación externa, por lo que deberá realizarse de forma externa. Se puede hacer uso de una
herramienta generada expresamente por Microsoft para este fin: “OutlookSecHashGen.EXE” herramienta
generador de seguridad para generar códigos hash de MS Outlook 2007.
http://go.microsoft.com/fwlink/p/?linkid=75742
Para mejorar la seguridad de los objetos COM es indispensable que los desarrolladores tengan en cuenta las
recomendaciones de Microsoft para la generación del código.
2.2.2. SEGURIDAD DE ACTIVEX Y FORMULARIOS PERSONALIZADOS EN MICROSOFT

OUTLOOK 2016
Cuando MS Outlook 2016 recibe un correo conteniendo un formulario, tiene la consideración de formulario de
uso único. De forma predeterminada evita que se ejecuten scripts y controles ActiveX.
Se puede cambiar el comportamiento mediante la configuración predeterminada, permitiendo formularios de
uso único de ActiveX. Se ofrecen tres opciones:
Opción Descripción
Permitir todos los controles ActiveX Permite que se ejecuten todos los controles ActiveX, sin ningún
tipo de restricción.
Permitir solo controles seguros Permite que se ejecuten solo los controles de ActiveX seguros.
Un control ActiveX es seguro si está firmado con Authenticode y
quien lo firma figura en la lista de editores de confianza.
Cargar solo controles de Outlook Outlook carga exclusivamente los controles enumerados a
continuación, que son los únicos que se pueden usar en los
formularios de uso único.
– Controles de fm20.dll.
Control de formato enriquecido de Microsoft Office Outlook.

USO OFICIAL
– Control de destinatarios de Microsoft Office Outlook.
– Control de vistas de Microsoft Office Outlook.

USO OFICIAL
Con respecto a la ejecución de scripts, controles personalizados y acciones personalizadas pueden aplicarse las
siguientes opciones:
Permitir scripts en formularios de uso Los scripts se ejecutan en los formularios en los que el script y el
único de Outlook diseño se incluyen en el mensaje.
Establecer la solicitud de ejecución de Establece lo que sucede cuando un programa intenta ejecutar
acciones personalizadas del modelo de una acción personalizada mediante el modelo de objetos de
objetos de Outlook Outlook. Una acción personalizada se puede crear para
responder a un mensaje y sortear las protecciones de envío
mediante programación descritas anteriormente. Seleccione una
de las siguientes:
Preguntar al usuario hace que el usuario reciba un mensaje y
decida si permitir el acceso al envío mediante programación.
Aprobar automáticamente permite siempre el acceso al envío
mediante programación y no muestra mensaje alguno.
Denegar automáticamente rechaza siempre el acceso al envío
mediante programación y no muestra mensaje alguno.
Pedir confirmación al usuario en función de la seguridad del
equipo aplica la configuración predeterminada en Outlook 2016.
2.2.3. CONFIGURACIÓN DE LA SEGURIDAD DE LOS DATOS ADJUNTOS EN MICROSOFT

OUTLOOK 2016
En Microsoft Outlook 2016, los datos adjuntos a sus elementos se pueden restringir en función del tipo de
archivo. Los tipos de archivo pueden tener restricciones de nivel 1 o 2.
Los ficheros con restricción de nivel 1 son todos aquellos tipos de archivos que los usuarios no podrán recibir
como adjuntos a los correos electrónicos o a las citas. Los ficheros .exe, .cmd o .com son ejemplos de alguno de ellos.
Los ficheros con restricción de nivel 2 son todos aquellos tipos de archivo que los usuarios solo podrán abrir una
vez que los hayan almacenado en el disco duro.
Los ficheros con restricción de nivel no pueden ser abiertos directamente desde la aplicación MS Outlook. De
forma predeterminada, no existe un listado de tipo de ficheros con restricción de nivel 2.

USO OFICIAL
La adicción o eliminación de extensiones de tipo de archivo de nivel 1 presenta dos opciones:
Agregar extensiones de archivo al bloque Especifica los tipos de archivo (designados normalmente con tres
como nivel 1 letras) que se quiere agregar a la lista de archivos de nivel 1. No
inserte un punto antes de las extensiones de nombre de archivo
y, si va a especificar varias extensiones, sepárelas con punto y
coma.
Quitar extensiones de archivo bloqueadas Especifica los tipos de archivo (designados normalmente con tres
como nivel 1 letras) que se quiere quitar de la lista de archivos de nivel 1. No
inserte un punto antes de las extensiones de nombre de archivo
y, si va a especificar varias extensiones, sepárelas con punto y
coma.
La adición o eliminación de extensiones de tipo de archivo de nivel 2 presenta dos opciones:
Agregar extensiones de archivo al bloque Especifica las extensiones de nombre de archivo (designadas
como nivel 2 normalmente con tres letras) que se quiere agregar a la lista de
archivos de nivel 2. No inserte un punto antes de las extensiones
de nombre de archivo y, si va a especificar varias extensiones,
sepárelas con punto y coma.
Quitar extensiones de archivo bloqueadas Especifica las extensiones de nombre de archivo (designadas
como nivel 2 normalmente con tres letras) que se quiere quitar de la lista de
archivos de nivel 2. No inserte un punto antes de las extensiones
de nombre de archivo y, si va a especificar varias extensiones,
sepárelas con punto y coma.
Adicionalmente existen otras opciones para el tratamiento de datos adjuntos en elementos de MS Outlook 2016.
Mostrar datos adjuntos de nivel 1 Permite que los usuarios tengan acceso a todos los datos
adjuntos que tienen tipos de archivo de nivel 1 si antes los
guardan en el disco y, a continuación, los abren (como sucede
con los datos adjuntos de nivel 2).
Permitir a los usuarios disminuir el nivel de Permite que los usuarios elaboren una lista de extensiones de
los adjuntos al nivel 2 nombre de archivo para degradarlos del nivel 1 al 2. Si no
configura esta opción de directiva de grupo, el comportamiento
predeterminado de Outlook consistirá en omitir la lista del
usuario. La clave del Registro en la que los usuarios pueden crear
esta lista es la siguiente:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\
Security\Level1Remove. En la clave del Registro, los usuarios
especifican las extensiones de nombre de archivo (designadas
normalmente con tres letras) que se van a quitar de la lista de
archivos de nivel 1 separadas con punto y coma.

USO OFICIAL
No preguntar acerca de los datos adjuntos Impide que los usuarios reciban una advertencia cuando envían
de nivel 1 cuando se envía un elemento un elemento que contiene un dato adjunto de nivel 1. Lo único
que esta opción hace es mostrar una advertencia. Una vez que el
elemento se ha enviado, es posible que los destinatarios no
puedan verlo o tener acceso al dato adjunto en cuestión, según
cuál sea su configuración de seguridad. Si desea que los usuarios
puedan enviar elementos a una carpeta pública sin recibir esta
advertencia, deberá habilitar esta opción, así como la opción No
preguntar acerca de los datos adjuntos de nivel 1 cuando se
cierra un elemento.
No preguntar acerca de los datos adjuntos Impide que los usuarios reciban una advertencia cuando cierran
de nivel 1 cuando se cierra un elemento un mensaje de correo electrónico, cita o cualquier otro elemento
que contiene un dato adjunto de nivel 1. Lo único que esta
opción hace es mostrar una advertencia. Una vez que el
elemento se ha cerrado, el usuario no podrá ver el dato adjunto
en cuestión ni obtener acceso a él. Si desea que los usuarios
puedan enviar elementos a una carpeta pública sin recibir esta
advertencia, deberá habilitar esta opción, así como la opción No
preguntar acerca de los datos adjuntos de nivel 1 cuando se
envía un elemento.
Mostrar objetos de paquete OLE Muestra los objetos OLE que se han incluido en un paquete. Un
paquete es un icono que representa un objeto OLE vinculado o
insertado. Al hacer doble clic en el paquete, el programa que se
usó para crear el objeto muestra el objeto (por ejemplo, si el
objeto es un archivo de sonido) o se abre y lo muestra. Dejar que
Outlook muestre objetos de paquete OLE puede ser un
inconveniente, dado que el icono se puede transformar
fácilmente y usarlo para ocultar archivos malintencionados.
Impedir que los usuarios personalicen la Si se habilita, los usuarios no pueden personalizar la lista de tipos
configuración de seguridad de datos de archivo permitidos como datos adjuntos en Outlook,
adjuntos independientemente del modo en que se hayan definido otras
opciones de seguridad de Outlook.
Usar Vista protegida para datos adjuntos Si se habilita, los datos adjuntos recibidos de remitentes
recibidos de remitentes internos miembros de la organización se abren en la Vista protegida. Esta
opción se aplica únicamente a las cuentas de Microsoft Outlook
que se conectan a un equipo con Microsoft Exchange Server.

USO OFICIAL
2.2.4. CONFIGURACIÓN DE LA SEGURIDAD PARA LIMITAR EL IMPACTO DEL CORREO

ELECTRÓNICO NO DESEADO EN MS OUTLOOK 2016
MS Outlook 2016 incorpora una serie de mecanismos para prevenir la recepción de correos electrónicos no
deseados (spam). Estos mecanismos incluyen filtros y la capacidad de deshabilitar la descarga de contenido
automático desde servicios externos.
El filtro de correo no deseado se encuentra habilitado de forma predeterminada, establecido el nivel de

protección más bajo. El filtro incorpora tecnología integrada en el software para evaluar los mensajes de correo con
el fin de determinar si puede ser probable correo no deseado, a la vez que filtra las listas que bloquean o aceptan
mensajes a o desde remitentes concretos de forma automática.
El filtro consta de dos elementos:
a) Archivos de filtro de correo no deseado. Existen tres tipos de estos ficheros: remitentes seguros, destinatarios
seguros y remitentes bloqueados.
b) Factores de evaluación de contenido del mensaje, como podrían ser la hora de envío o el contenido.
Puede implementarse listas predeterminadas del filtro de correo electrónico para los usuarios. Las listas
disponibles son:
a) Lista de remitentes seguros: los mensajes de correo electrónico que se reciben desde direcciones de correo
electrónico o dominios de la lista no se tratan nunca como correo electrónico no deseado. Las entidades que
utilizan Microsoft Exchange, todos los nombres y direcciones de la Lista global de direcciones (GAL, por Global
Address List) se consideran seguras. Lo incluido en esta lista prevalece sobre lo incluido en la de remitentes
bloqueados.
b) Lista de destinatarios seguros: los mensajes de correo electrónico que se envían a las direcciones de correo
electrónico o dominios incluidos en esta lista no se tratan nunca como correo electrónico no deseado en el
destinatario, aunque la dirección sea parte de una lista de distribución o el envío se haga como CC o CCO.
c) Lista de remitentes bloqueados: los mensajes de correo electrónico que se reciben de las direcciones de
correo electrónico o de los dominios de la lista se tratan siempre como correo electrónico no deseado. Una
vez hecha la inclusión los mensajes de los remitentes afectados se mueven a la carpeta de correo no deseado.
Opciones de correo electrónico no deseado. Desde ella se pueden gestionar las listas creadas (resaltadas en rojo).
Un correo electrónico recibido es evaluado inicialmente por las listas de correo electrónico. Si la dirección de
correo origen o destinatario o el dominio no se encuentra en la lista, se realiza la evaluación en función del contenido
del mensaje.
Outlook 2016 admite el filtrado de correo electrónico no deseado para los siguientes tipos de cuenta:

USO OFICIAL
a) Cuentas de correo electrónico de Microsoft Exchange Server en el modo de intercambio en caché.

b) Cuentas POP3.
c) Cuentas IMAP.
Outlook 2016 no admite el filtrado de correo electrónico no deseado para los siguientes tipos de cuenta:
a) Cuentas de correo electrónico de Microsoft Exchange Server en el modo en línea.

b) Proveedores MAPI de otros fabricantes.
La configuración de la protección del filtro de correo no deseado de MS Outlook 2016, sea desde la OCT o desde
directiva de grupo (“Configuración de usuario  Directivas  Plantillas administrativas  Microsoft Outlook 2016
 Opciones de Outlook  Preferencias  Correo electrónico no deseado”), ofrece los siguientes valores:
Agregar destinatarios de correo electrónico Agrega automáticamente todos los destinatarios de correo
a las listas de remitentes seguros de los electrónico a listas de remitentes seguros de los usuarios.
usuarios
Interfaz de usuario de correo electrónico Si habilita esta configuración de directiva, el filtrado de correo no
no deseado deseado de Outlook se desactiva completamente, además de
ocultar los controles de filtrado a los usuarios.
Nivel de protección de correo electrónico Permite seleccionar el nivel de protección contra correo
no deseado electrónico no deseado para los usuarios: Sin protección, Baja
(predeterminado), Alta, Solo listas de confianza.
Desencadenar para aplicar la configuración Si habilita esta configuración de directiva, desencadenará la
de la lista de correo no deseado activación de otras configuraciones de directiva de correo no
deseado. Si deshabilita o no define esta configuración de
directiva, no desencadenará la activación de otras directivas de
correo no deseado.
Sobrescribir o anexar lista de importación De forma predeterminada, cuando se implementa una nueva
de correo no deseado lista de filtro de correo electrónico no deseado, Outlook anexa la
nueva lista de importación de correo no deseado a la lista
existente. Habilite esta configuración para reemplazar la lista
existente con la lista nueva, en vez de anexarla a la lista actual.
Eliminar definitivamente el correo Elimina el correo electrónico no deseado sospechoso en lugar de
electrónico no deseado moverlo a la carpeta Correo electrónico no deseado.
Especificar la ruta a la lista de remitentes Especifica un archivo de texto que contiene una lista de
bloqueados direcciones de correo electrónico para agregar a la lista de
remitentes bloqueados o sobrescribirla. Muy útil para centralizar
la lista de una empresa.

USO OFICIAL
Especificar la ruta a la lista de destinatarios Especifica un archivo de texto que contiene una lista de
seguros direcciones de correo electrónico para agregar a la lista de
destinatarios seguros o sobrescribirla. Muy útil para centralizar la
lista de una empresa.
Especificar la ruta a la lista de remitentes Especifica un archivo de texto que contiene una lista de
seguros direcciones de correo electrónico para agregar a la lista de
remitentes seguros o sobrescribirla. Muy útil para centralizar la
lista de una empresa.
Ocultar advertencias sobre los nombres de Se habilita para ocultar advertencias sobre nombres de dominio
dominio sospechosos en las direcciones de sospechosos en las direcciones de correo electrónico. En
correo electrónico entornos seguros se debería mantener el aviso.
Confiar en correos electrónicos de los Confía en las direcciones de correo electrónico incluidas en las
contactos carpetas Contactos de los usuarios.
Estas entradas de la directiva no se configuran en esta guía, de forma predeterminada, por requerir una
personalización para cada una de las organizaciones.
Si un nombre de dominio o una dirección de correo electrónico figura en la lista de remitentes bloqueados y en
la lista de remitentes seguros, prevalece siempre la información existente en la lista de remitentes seguros.
En el empleo de listas mediante la aplicación de directivas de grupo, debe tenerse en cuenta que los usuarios,
una vez iniciada la sesión, podrán cambiar las listas. Cuando se reinicie Outlook la directiva agregará la lista de
manera predeterminada o, si se ha habilitado la opción de sobrescribir o anexar lista de importación de correo no
deseado, la configuración de la directiva sobrescribirá la lista original que se había implementado.
Los mensajes en formato HTML o elementos RSS pueden incluir imágenes. Éstas, a menudo, no están incluidas
en el propio mensaje, sino que se descargan desde un servidor web al abrir el mensaje de correo o al obtener la vista
previa del mensaje. Esta técnica es empleada por remitentes legítimos para no realizar el envío de imágenes de gran
tamaño a través del correo electrónico. Sin embargo, en el caso de remitentes de correo no deseado, pueden estar
haciendo uso del vínculo de la imagen como mecanismo de notificación de que un receptor del mensaje ha hecho
uso de la vista previa para ver el mensaje, o lo ha abierto, al recibir la petición de carga de la imagen en su servidor,
el repositorio de la imagen. La notificación valida la dirección de correo electrónico en el sistema externo,
demostrándole que la cuenta de correo electrónico es funcional y está activa, lo que conllevará, seguramente, que
se realicen nuevos envíos a correo electrónico no deseado al ser un objetivo activo.
De manera predeterminada, MS Outlook 2016 no descarga imágenes automáticamente, ni otro contenido de

forma automática, para prevenir lo expuesto más arriba, excepto que el contenido externo proceda de un sitio web
de la zona de Sitios de confianza o cuando la dirección de correo o el dominio se encuentran dentro de la lista de
remitentes seguros. Este comportamiento puede ser modificado.
En las directivas de grupo, se puede controlar el comportamiento para la descarga automática de Outlook
respecto al contenido externo incluido con un mensaje de correo en formato HTML o en elementos RSS
(“Configuración de usuario  Directivas  Plantillas administrativas  Microsoft Outlook 2016  Seguridad 
Configuración de descarga de imágenes automática”), según se indica a continuación:
Bloquear zonas de confianza Deshabilite esta opción para incluir las zonas de confianza en las
zonas seguras para la descarga de imágenes automática.
Descargar automáticamente el contenido Habilite esta opción para descargar contenido automáticamente
para el electrónico de personas en las listas cuando el mensaje de correo electrónico es de alguien que está
de remitentes y destinatarios seguros incluido en la lista de remitentes seguros o para alguien que está
incluido en la lista de destinatarios seguros.
Incluir Internet en las zonas seguras para la Descarga imágenes automáticamente de todo el correo de
descarga de imágenes automática Internet. Se debe deshabilitar en entornos de alta seguridad.

USO OFICIAL
Incluir Internet en las zonas seguras para la Descarga imágenes automáticamente de todo el correo de la
descarga de imágenes automática1 intranet local de remitentes que no son de confianza. Se debe
deshabilitar en entornos de alta seguridad.
Mostrar imágenes y contenido externo en Deshabilite esta opción para evitar mostrar automáticamente
correo HTML contenido externo en el correo HTML.
No permitir la descarga de contenido Deshabilite esta opción para impedir descargar contenido de
desde zonas seguras forma automática para sitios de zonas seguras (como define la
configuración de zonas de confianza, Internet e Intranet).
Desde el centro de confianza también se puede controlar el comportamiento, si bien debe tener en cuenta que
el administrador de la red habrá podido desactivar esta posibilidad para todos o algunos de los usuarios.
Control de la descarga automática de contenido externos en mensajes HTML y elementos RSS desde el Centro de confianza.
Nota: Las opciones de seguridad, frente al correo electrónico no deseado y que implementa MS Outlook
2016, se unen a las propias funcionalidades que aporta el servidor de correo electrónico. Si un correo es
marcado como no deseado y no llega al destinatario habrá que evaluar si está motivado por una
característica de MS Outlook 2016 o de los servidores de origen o destino.
2.2.5. CRIPTOGRAFÍA DE CORREO ELECTRÓNICO EN MS OUTLOOK 2016

MS Outlook 2016 admite características de criptografía para la realización de las siguientes tareas:
a) Firmar digitalmente mensajes de correo electrónico.

b) Cifrar el contenido de los correos electrónico.
Adicionalmente se pueden configurar características de mensajería con seguridad mejorada. En ese caso, se
pueden realizar las siguientes características:
c) Enviar un mensaje de correo electrónico en el que se usa una solicitud de confirmación. Esto sirve para
comprobar que el destinatario valida la firma digital del usuario (esto es el certificado que el usuario ha
aplicado a un mensaje).
d) Agregar una etiqueta de seguridad a un mensaje de correo electrónico. La organización puede crear una
directiva S/MIME V3 personalizada mediante la que se agreguen etiquetas a los mensajes. Una directiva de
1
Atención, en la directiva de Microsoft hay una errata ya que esta directiva aplica a la intranet, dominio local, y no a
Internet.

USO OFICIAL
seguridad S/MIME V3 es código que se agrega a Outlook y que incorpora información al encabezado del
mensaje sobre la confidencialidad del mismo.
MS Outlook 2016 hace uso del cifrado de clave pública para enviar y recibir mensajes de correos electrónicos
firmados y/o cifrados. Es compatible con la seguridad S/MIME v3, lo que le permite la interacción con otros clientes
S/MIME.
Cuando un usuario firma un correo electrónico hace uso de su clave privada. Para enviar correo cifrado a otro
usuario será necesario contar con la clave pública del destinatario ya que se hace uso de la misma para el cifrado del
correo. El receptor del mensaje hace uso de su clave privada para descifrar el correo electrónico.
Nota: Cuando se hace uso de la función de cifrado de correo electrónico de MS Outlook 2016, se cifra
tanto el mensaje como los ficheros adjuntos, pero no el asunto. Este hecho debe ser tenido en cuenta
para no poner en el asunto datos confidenciales o sensibles.
Para que los usuarios puedan hacer uso de los mecanismos de firma o de cifrado deberán contar con un perfil
de seguridad. Este perfil representa un grupo de opciones que define los certificados y los algoritmos que se
utilizarán para el envío de correo electrónico
La seguridad se basa en certificados digitales asociados a la identidad del usuario a través de las claves públicas
y privadas. La clave privada se almacena de forma predeterminada en el almacén de seguridad mejorada del sistema
operativo para el perfil del usuario. Los certificados pueden obtenerse a través de entidades certificadoras públicas
o implementadas por la propia organización.
Para que un destinatario confíe en un certificado debe estar avalado por una de las entidades certificadoras de
confianza declaradas en su navegador o sistema, en otro caso recibirá un aviso.
Muchos de los aspectos de la configuración de la criptografía en Outlook 2016 pueden ser gestionados a través
de las directivas de grupo (“Configuración de usuario  Directivas  Plantillas administrativas  Microsoft
Outlook 2016  Seguridad  Criptografía”):
No proporcionar la opción Continuar en los Habilítela para que el botón “Continuar” se deshabilite en los
cuadros de diálogo de advertencia de cuadros de diálogo de advertencia de configuración del cifrado.
cifrado En consecuencia, los usuarios no podrán presionarlo para enviar
el mensaje.
No mostrar el botón “Publicar en GAL” Habilítela para que se deshabilite el botón “Publicar en GAL” de
la página Seguridad de correo electrónico del Centro de
confianza.
No comprobar direcciones de correo La dirección de correo electrónico del usuario no se contrasta
electrónico con direcciones de certificados con la dirección de los certificados que se usan para cifrar o
en uso firmar. Deshabilítela para que se haga la comprobación.
Habilitar la recuperación de información de Esta configuración de directiva controla si Outlook utilizará
entidad emisora de certificados remota información de la entidad de certificación remota en un mensaje
de correo seguro para validar que el certificado es de confianza.
Deshabilítela si no quiere que los usuarios pidan información
fuera de su entidad, aunque podría también bloquear las
peticiones a entidades internas.
Habilitar iconos de criptografía Los iconos de criptografía de Outlook se muestran en la interfaz
de usuario de Outlook. Habilítela para que se le muestren al
usuario.
Cifrar todos los mensajes de correo Los mensajes de correo electrónico salientes se cifran. Habilítela
electrónico exclusivamente cuando tenga la certeza de tener esta necesidad
siempre.
Asegúrese de que todos los mensajes Si habilita esta configuración de directiva, las etiquetas deberán
firmados S/MIME tienen una etiqueta adjuntarse a todos los mensajes S/MIME de Outlook antes de ser
enviados. Los usuarios pueden adjuntar etiquetas a los mensajes

USO OFICIAL
en el cuadro de diálogo "Opciones de mensaje" al hacer clic en
"Configuración de seguridad", asegurándose de que se
seleccionó el cuadro de diálogo "Agregar firma digital a este
mensaje", y seleccionar una etiqueta en "Etiquetas de
seguridad".
Directivas de certificado de Fortezza Elabora una lista de las directivas que se permiten en la
extensión de directivas de un certificado que indica que este es
un certificado de Fortezza. Deben especificarse las directivas
separadas por punto y coma. Habilítele solo si tiene una
configuración concreta para este ítem.
Formatos de mensaje Se establecen los formatos de mensaje que se van a admitir:
S/MIME (predeterminado), Exchange, Fortezza o una
combinación de todos ellos. Seleccione la opción que abarca a
los tres.
Mensaje cuando Outlook no puede Define el mensaje que va a mostrarse a los usuarios (con un
encontrar el id. digital para descodificar un máximo de 255 caracteres). Configúrelo en base a las
mensaje necesidades de su organización.
Configuración de cifrado mínimo Establece la longitud de clave mínima de un mensaje de correo
electrónico cifrado. Outlook mostrará un mensaje de advertencia
si el usuario trata de enviar un mensaje con una clave de cifrado
por debajo del valor mínimo establecido. Con todo, el usuario
puede optar por ignorar la advertencia y enviar el mensaje con la
clave de cifrado escogida inicialmente. Un valor de “40” le dará
una seguridad aceptable.
Usar siempre el formato TNEF en mensajes Habilítela para que se haga uso del Formato de encapsulamiento
S/MIME neutro para el transporte (TNEF, por Transport Neutral
Encapsulation Format) en los mensajes de S/MIME, en lugar del
formato especificado por el usuario.
Las respuestas o los reenvíos para Esta opción activa la firma/cifrado al responder o reenviar un
mensajes firmados o cifrados se firman o mensaje firmado o cifrado, aun cuando el usuario no disponga de
cifran configuración S/MIME. Configuración deseada en entornos de
alta seguridad.
Solicitar confirmación S/MIME para todos Se solicita una confirmación con seguridad mejorada para los
los mensajes S/MIME firmados mensajes de correo electrónico salientes. Debe tener en cuenta
que si habilita esta configuración de directiva, Outlook solicita
confirmación S/MIME cuando envía mensajes S/MIME firmados y
los usuarios no pueden cambiar esta configuración.
Requerir algoritmos SuiteB para Se usan únicamente algoritmos Suite-B en las operaciones
operaciones S/MIME S/MIME. Habilítela para que se usen los algoritmos de Suite B:
Cifrado simétrico. Estándar de cifrado avanzado (AES) con
tamaños de clave de 128 y 256 bits.
Síntesis del mensaje. Algoritmo hash seguro (SHA-256 y SHA-384).
Entidad emisora de certificados requerida Se indica el nombre de la entidad de certificación necesaria. Si se
especifica un valor, Outlook no permite firmar correo electrónico
con un certificado procedente de una entidad de certificación
diferente. Es conveniente habilitarla según las condiciones de su
organización. En la guía no se estipula para permitir la
personalización.
Ejecutar en modo compatible FIPS Se requiere que Outlook se ejecute en modo FIPS 140- 1.
Deshabilítela para que no se obligue a ello, ya que solo es
indispensable en organismos de los Estados Unidos de
Norteamérica.

USO OFICIAL
Usar UserIssuerSerialNumber Si no configura o habilita esta directiva el certificado se
identificará por el hash que se calcula para el mismo, algo
deseable (puede consultar el RCF 562).
Interoperabilidad S/MIME con clientes Especifica el comportamiento para administrar los mensajes
externos S/MIME: Administrar internamente, Administrar externamente o
Administrar si es posible. Seleccione esta última.
Comportamiento de solicitud de Especifique una opción para controlar el modo en que se
confirmación S/MIME administran las solicitudes de confirmación:
Abrir el mensaje si no se puede enviar la confirmación;
No abrir el mensaje si no se puede enviar la confirmación;
Preguntar siempre antes de enviar la confirmación;
No enviar nunca confirmaciones S/MIME.
Seleccione la opción “Preguntar siempre…”
Enviar todos los mensajes firmados como Habilítela para que los mensajes de correo electrónico firmados
mensajes firmados con firma transparente se envíen en texto no cifrado.
Firmar todos los mensajes de correo Se requieren firmas digitales en todos los mensajes de correo
electrónico electrónico salientes. Solo debería habilitarla en casos de alta
seguridad y siempre que tenga la certeza que esta acción es
indispensable para todos sus mensajes.
Advertencia de firma Especifique una opción relativa a cuándo se muestran
advertencias de firma a los usuarios:
Dejar que el usuario decida si desea recibir una advertencia. Esta
opción aplica la configuración predeterminada.;
Advertir siempre sobre las firmas no válidas.
No advertir nunca de firmas no válidas.
Seleccione la opción para que siempre se produzca la
advertencia.
URL de certificados S/MIME Si se especifica un valor en URL de certificados S/MIME se deben
usar los siguientes parámetros para enviar información sobre el
usuario a la página web de inscripción:
Parámetro Marcador de posición en la cadena de dirección URL
Nombre para mostrar del usuario %1
Nombre de correo electrónico SMTP %2
Id. de idioma de interfaz de usuario %3
Configúrela si su organización la requiere.
Otros de los aspectos de la configuración de la firma en Outlook pueden ser gestionados a través de las directivas
de grupo en la carpeta “Configuración de usuario  Directivas  Plantillas administrativas  Microsoft Outlook
2016  Seguridad  Criptografía  Cuadro de diálogo de estado de la firma”:
Carpeta temporal de seguridad de datos Especifica una ruta de acceso de carpeta para la carpeta segura
adjuntos de archivos temporales. Esta ruta de acceso invalida la ruta
predeterminada, lo cual no es aconsejable. En caso de que se
deba usar una carpeta concreta para los datos adjuntos de
Outlook, se recomienda hacer lo siguiente:
Usar un directorio local (para lograr el mejor rendimiento).
Colocar la carpeta dentro de la carpeta de archivos temporales
de Internet (para sacar partido de la seguridad mejorada en
dicha carpeta).
Asignar a la carpeta un nombre único y difícil de adivinar.
En entornos de alta seguridad podría ser necesario configurar de
forma personalizada para cada organización.

USO OFICIAL
Faltan listas CRL Especifica la respuesta de Outlook cuando falte una lista de
revocación de certificados (CRL): mostrar una advertencia
(opción predeterminada) o un mensaje de error (opción a
configurar).
Faltan certificados raíz Especifica la respuesta de Outlook cuando falte un certificado
raíz: no mostrar un error o advertencia (opción predeterminada),
mostrar una advertencia o mostrar un error (opción a
configurar).

USO OFICIAL
Aumentar el nivel de los errores de nivel 2, Especifica la respuesta de MS Outlook 2016 en el caso de que se
no de los avisos produzcan errores de nivel 2: mostrar un error o una advertencia
(opción predeterminada). Las posibles situaciones de nivel 2 de
error son las siguientes:
- Algoritmo de firma desconocido.
- No se encontró certificación de firma.
- Conjuntos de atributos incorrectos.
- No se encontró certificado del emisor.
- No se encontró CRL.
- CRL obsoleto.
- Problema de confianza de raíz.
- CTL obsoleto.
Configúrela como deshabilitada para que se consideren como
errores.
Recuperando listas CRL (Listas de Especifica el modo en que Outlook se comporta al recuperar
revocación de certificados) listas CRL:
- Usar predeterminado del sistema. Outlook confía en la
programación de descarga de CRL configurada para el sistema
operativo (opción deseada).
- Recuperar la CRL siempre cuando esté en línea. Esta opción
es la configuración predeterminada en Outlook.
- No recuperar nunca la CRL.
Se debe tener en cuenta que las recomendaciones y configuraciones seleccionadas en las tablas anteriores son
recomendaciones para entornos pensados para una alta seguridad. Si alguno no se correspondiera con lo requerido
por su organización deberá modificarlos en la directiva correspondiente.

USO OFICIAL
ANEXO B.1. IMPLEMENTACIÓN SEGURA DE MICROSOFT OFFICE 2016 CON

LICENCIA POR VOLUMEN EN UN CLIENTE WINDOWS MIEMBRO DE
UN DOMINIO
ANEXO B.1.1. PASO A PASO DE IMPLEMENTACIÓN SEGURA
PREPARACIÓN DEL DIRECTORIO ACTIVO

Los pasos que se describen a continuación se realizarán en un controlador de dominio, de la infraestructura a la
que pertenecen los clientes en los que se va a instalar MS Office 2016.
Paso Descripción
Inicie sesión en el servidor controlador de dominio con una cuenta que sea miembro del grupo “Admins.
del domino” del dominio al que pertenecen los clientes donde se va a instalar MS Office 2016.
Nota: En este ejemplo se utiliza un cliente Windows 10 con un controlador de dominio

Windows Server 2016 con las guías CCN-STIC-570A y CCN-STIC-599A18 aplicadas. Este entorno
puede variar con la estructura de su organización.
Cree el directorio “Scripts” en la unidad “C:\”. Pulse con el botón derecho del ratón sobre un espacio en
blanco y seleccione “Nuevo  Carpeta”.

USO OFICIAL
Paso Descripción
El “Control de cuentas de usuarios” le pedirá la elevación de privilegios, para ello ingrese una cuenta que
pertenezca al grupo “Admins. del dominio”.
Nota: Para crear directorios en carpetas protegidas por el sistema, el sistema le solicitará una
elevación de privilegios. Introduzca las credenciales de la cuenta con la que ha iniciado sesión,
la cual debe ser al menos administrador de dominio.
Asigne el nombre “Scripts” al nuevo directorio.

Copie los scripts y plantillas de seguridad asociadas a esta guía en el directorio “C:\Scripts”.
Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una
elevación de privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la
cuenta con que ha iniciado sesión, la cual debe ser al menos administrador de dominio.
Configure el Explorador de Windows para que muestre las extensiones de los archivos. Por defecto, el
Explorador de Windows oculta las extensiones conocidas de los archivos y ello dificulta la identificación
de los mismos. En el resto de pasos se asumirá que Explorador de Windows sí muestra las extensiones
de los archivos.

USO OFICIAL
Paso Descripción
Para configurar el Explorador de Windows y mostrar las extensiones de todos los archivos, abra una
ventana de Explorador de Windows, seleccione el menú “Vista” y dentro de dicho menú, "Opciones”.
De la ventana que aparecerá, seleccione la pestaña "Ver" y desmarque la opción "Ocultar las extensiones
de archivo para tipos de archivo conocidos", como se muestra en la siguiente figura.
Pulse entonces, en este orden, "Aplicar" (botón en la esquina inferior derecha), "Aplicar a las carpetas"
(botón en la parte superior), responda pulsando "Sí" a la pregunta de confirmación que aparecerá
(¿Desea que la configuración de vista en todas las carpetas de este tipo coincida con la configuración de
vista de esta carpeta?), y finalmente pulse "Aceptar" para cerrar la ventana "Opciones de carpeta".
Deberán copiarse las plantillas .admx y .adml de MS Office 2016 en el repositorio local del servidor, de
tal forma que se podrán realizar modificaciones, desde dicha máquina, de las políticas generadas.
Ejecute con permisos de administrador (opción "Ejecutar como administrador") el script “CCN-STIC-585
Dominio - Español.bat”. Para ello, visualice la carpeta “C:\Scripts” en el explorador de Windows, marque
con el botón derecho el script y seleccione la opción "Ejecutar como administrador" del menú
contextual, como se muestra en la siguiente figura. En el caso de que el sistema operativo se encuentre
en inglés, ejecute el script “CCN-STIC-585 Dominio – Inglés.bat”.
Nota: Aunque la sesión se haya iniciado con un usuario administrador, es imprescindible

utilizar la opción "Ejecutar como administrador" para que el script se ejecute efectivamente
con privilegios de administrador.

USO OFICIAL
Paso Descripción
El control de cuentas de usuario le solicitará de nuevo las credenciales del administrador local o de
dominio que se están utilizando para instalar.
Se lanzará un intérprete de comandos como el mostrado en la siguiente imagen.

Será preciso que presione cualquier tecla varias veces durante la ejecución del script, siguiendo las
instrucciones que éste muestre en pantalla.
Inicie la herramienta de administración de directivas de grupo, para ello ejecute la herramienta

“Administrador del servidor” (Inicio  Administrador del servidor).
Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios
suficientes para poder administrar el dominio.

USO OFICIAL
Paso Descripción
Seleccione en el menú superior "Herramientas  “Administrador de directivas de grupo”.
Expanda el contenedor “Administración de directivas de grupo Bosque:<nombre de su bosque>
Dominios [nombre de su dominio]”, como se muestra en la siguiente imagen.
A continuación, proceda a realizar los pasos siguientes para crear, configurar y asignar las GPO
correspondientes. Hasta que se indique lo contrario, los contenedores a los que se hará referencia serán
subcontenedores del recién expandido ([nombre de su dominio]).
Nota: En este ejemplo se utiliza como nombre de dominio “dominio.local”.
Expanda y seleccione el contenedor “Objetos de directiva de grupo”, y marcando con el botón derecho
en él, elija la opción “Nuevo” del menú contextual que aparecerá.

USO OFICIAL
Paso Descripción
Asigne el siguiente nombre a la nueva política, GPO, que se está creando: “CCN-STIC-585 Incremental
Office 2016 – Usuarios” y pulse “Aceptar”.
Seleccione el objeto de directiva de grupo, GPO, recién creado y marcando con el botón derecho en ella,
elija la opción “Importar configuración” del menú contextual que aparecerá.
Se iniciará el asistente para la importación de configuración, pulse el botón “Siguiente >”.

USO OFICIAL
Paso Descripción
El asistente para la importación de la configuración ofrecerá la opción de realizar una copia de seguridad
de la configuración actual de la GPO. Pulse el botón “Siguiente >”
A continuación, deberá seleccionar la carpeta de copia de seguridad desde la que se importará la

configuración. Seleccione el botón “Examinar…”.
Busque y seleccione la carpeta “C:\scripts\CCN-STIC-585 Office 2016 Dominio - Usuarios”. Pulse el

botón “Aceptar” y volverá a la ventana del asistente. Pulse el botón “Siguiente >”.

USO OFICIAL
Paso Descripción
Deberá indicarse el objeto GPO desde el que desea importar la configuración. Pulse “Siguiente >”.
El asistente procederá a realizar una verificación de la configuración de la copia de seguridad. Pulse el

botón “Siguiente >”.
El asistente para importar la configuración mostrará, entonces, una ventana resumen con los datos de
la importación que se va a realizar. Pulse el botón “Finalizar”.

USO OFICIAL
Paso Descripción
El asistente procederá a realizar la importación. Pulse “Aceptar”. Con ello habrá quedado importada la
configuración de la nueva política generada, estando lista para ser asignada a la unidad organizativa de
usuarios creada en pasos anteriores, cuestión que se realizará a continuación.
Expanda y seleccione el contenedor de usuarios en la unidad organizativa donde tenga alojada la

configuración de los clientes,
“Menú inicio  Herramientas administrativas  Administración de directivas de grupo  Bosque:
[nombre de su bosque]  Dominios  [nombre de su dominio]  Clientes Windows 10  Usuarios
Windows 10”, y márquelo con el botón derecho del ratón, seleccione la opción “Vincular un GPO
existente…”
Nota: En este caso, el nombre del bosque y del dominio es “dominio.local” y las unidades
organizativas fueron creadas durante el proceso de instalación de equipos Windows 10 dentro
de un dominio, según la guía CCN-STIC-599A18.

USO OFICIAL
Paso Descripción
En la ventana que aparece, seleccione el GPO “CCN-STIC-585 Incremental Office 2016 - Usuarios” y pulse
el botón “Aceptar”.
El objeto de directiva de grupo, GPO, habrá quedado vinculado a la unidad organizativa “Usuarios
Windows 10”.
Ahora, se determinará el orden de los vínculos. Deberá quedar, la nueva directiva “CCN-STIC-585
Incremental Office 2016 - Usuarios”, en la primera posición para asegurar un resultado adecuado en la
aplicación. Para ello, se deben utilizar las flechas de posicionamiento de la ficha “Objetos de directiva de
grupo vinculados” de la unidad organizativa “Usuarios Windows 10”.
A continuación, se realizará un procedimiento similar para generar un nuevo objeto GPO y vincularlo a
la unidad organizativa “Usuarios Windows 10”.

USO OFICIAL
Paso Descripción
Expanda, nuevamente, y seleccione el contenedor “Objetos de directiva de grupo”, y marcando con el
botón derecho en él, elija la opción “Nuevo” del menú contextual que aparecerá.
Asigne el siguiente nombre a la nueva política, GPO, que se está creando: “CCN-STIC-585 Incremental
Office 2016 – Equipos” y pulse “Aceptar”.
Seleccione la política GPO recién creada y, marcando con el botón derecho en ella, elija la opción
“Importar configuración” del menú contextual que aparecerá.

USO OFICIAL
Paso Descripción
Se iniciará el asistente para la importación de configuración. Pulse “Siguiente >”.
Pulse nuevamente el botón “Siguiente >”.
A continuación, deberá seleccionar la carpeta de copia de seguridad desde la que se importará la

configuración. Seleccione el botón “Examinar…”.

USO OFICIAL
Paso Descripción
Seleccione la carpeta “C:\Scripts\CCN-STIC-585 Office 2016-Equipos”.
Presione el botón “Siguiente >”.
Pulse el botón “Siguiente >”.

USO OFICIAL
Paso Descripción
El asistente procederá a realizar una verificación de la configuración de la copia de seguridad. Pulse el
botón “Siguiente >”.
El asistente para importar la configuración mostrará, entonces, una ventana resumen con los datos que
se van a importar. Pulse el botón “Finalizar”.
El asistente procederá a realizar la importación. Pulse “Aceptar”. Con ello, habrá quedado importada la
configuración de la nueva política generada, estando lista para ser asignada a la unidad organizativa de
equipos, cuestión que se realizará a continuación.

USO OFICIAL
Paso Descripción
Expanda y seleccione la unidad organizativa Equipos Windows 10, dentro de Clientes Windows 10:
“Administración de directivas de grupo  Bosque: [nombre de su bosque]  Dominios  [nombre de
su dominio]  Clientes Windows 10  Equipos Windows 10” y marcándolo con el botón derecho del
ratón, seleccione la opción “Vincular un GPO existente…”.
En la ventana que aparecerá, seleccione el GPO “CCN-STIC-585 Incremental Office 2016 - Equipos” y
pulse “Aceptar”.

USO OFICIAL
Paso Descripción
Se debe situar la directiva recién vinculada “CCN-STIC-585 Incremental Office 2016 - Equipos” en la
primera posición de los objetos de la unidad organizativa. Para ello, se deben utilizar las flechas de
posicionamiento de la ficha “Objetos de directiva de grupo vinculados” de la unidad organizativa
“Equipos Windows 10”.
El objeto de directiva de grupo, GPO, habrá quedado vinculado a la unidad organizativa “Equipos
Windows 10”.
Nota: Recuerde que las políticas han sido diseñadas para entornos de seguridad altamente
restrictivos. Pudiera ser que su organización utilizara componentes tales como macros u otros
elementos similares en aplicaciones como MS Outlook. Deberá modificar las políticas para
permitir el uso de dichos componentes.
Elimine la carpeta “C:\Scripts” del servidor.
PREPARACIÓN DEL CLIENTE PARA LA INSTALACIÓN DE MS OFFICE 2016

PROFESSIONAL PLUS EN UN EQUIPO DEL DOMINIO
Los siguientes pasos describen el proceso de instalación de Microsoft Office 2016 Professional Plus en un cliente
Windows miembro de un dominio.
Nota: La edición Professional Plus (orientada a medianas y grandes empresas con licencia por volumen)
dispone de productos y funcionalidades adicionales frente a la versión Professional (orientada a pequeñas
empresas), además de funcionalidades y herramientas específicas para una administración más cómoda.
Paso Descripción
En el puesto de trabajo, equipo cliente miembro de dominio con Windows 10, preparado siguiendo las
recomendaciones de la guía CCN-STIC-599A18, se procederá a iniciar sesión con una cuenta con los
suficientes privilegios para realizar instalación de aplicaciones y ejecutar scripts.
Nota: En este ejemplo se utiliza un cliente Windows 10 con un controlador de dominio

Windows Server 2016 con las guías CCN-STIC-570A y CCN-STIC-599A18 aplicadas. Este entorno
puede variar con la estructura de su organización.
Cree el directorio “Scripts” en la unidad “C:\”.


USO OFICIAL
Paso Descripción
de los archivos.

USO OFICIAL
Paso Descripción
Deberán copiarse las plantillas .admx y .adml de MS Office 2016 en el repositorio local del cliente.
Dominio - Español.bat”. Para ello, visualice la carpeta “C:\Scripts” en el explorador de Windows, marque
con el botón derecho el script y seleccione la opción "Ejecutar como administrador" del menú
contextual, como se muestra en la siguiente figura. En el caso de que el sistema operativo se encuentre
en inglés, ejecute el script “CCN-STIC-585 Dominio – Inglés.bat”.


USO OFICIAL
Paso Descripción
Se producirá la copia de un total de 22 ficheros:
Pulse cualquier tecla para continuar y finalizar la ejecución del script.

Para finalizar reinicie el equipo cliente.

USO OFICIAL
INSTALACIÓN DE LA SUITE MS OFFICE 2016 PROFESSIONAL PLUS EN UN

EQUIPO WINDOWS PERTENCIENTE A UN DOMINIO
Windows dependiente de un dominio Windows.
Nota: La instalación de Microsoft Office 2016 Standard es completamente análoga a la que se indica en
este punto, avisándose las posibles diferencias de forma expresa. Por tanto, cuando se hace mención a la
edición Professional Plus, se puede extender a Standard excepto aviso contrario. Tenga en cuenta que
estos dos productos mencionados son los que se pueden adquirir en licencias por volumen. Para otros
productos, con otro tipo de licenciamiento, la instalación no es análoga.
Paso Descripción
Una vez preparado el sistema, tanto en el controlador del dominio como en el propio equipo, se
procederá a realizar la instalación del software MS Office 2016.
Nota: En caso de disponer de una licencia individual, Microsoft desde esta versión, Office 2016,
solo contempla la instalación y activación inicial desde Internet. Más adelante, dentro de este
mismo anexo, se encuentra un punto que describe los pormenores de la activación.
Introduzca el DVD con la suite MS Office 2016 Professional Plus en el equipo o bien conecte con una
unidad de red que contenga el software de instalación del producto.
Nota: Los discos o imágenes de instalación de los distintos tipos de licenciamiento no son
intercambiables entre ellos. Por ejemplo, no es posible activar un Office 2016 instalado con un
DVD de Office con licencia por volumen con un código de activación de Office individual, o un
código de activación de Professional Plus no puede validar una instalación de Office Standard.

USO OFICIAL
Paso Descripción
Vaya a la carpeta raíz del DVD y ejecute la aplicación “setup.exe”.
Nota: Dependiendo del software que haya adquirido, puede observar ciertas diferencias en las
carpetas presentes ya que se puede encontrar con el DVD, o imagen descargada desde
Microsoft, de la edición de 64 bits, la edición de 32 bits, o la que incluye ambas.
Esta guía tiene en cuenta que el sistema operativo con el que cuenta el cliente es de 64 bits
por lo que puede optar por cualquiera de las dos. Microsoft indica entre sus recomendaciones
que, de no tener una necesidad expresa, instale en todas las ocasiones la versión de 32 bits, si
bien le limitará en el tamaño de los ficheros a manejar en Excel y Project le proporcionará
mayor compatibilidad con otras aplicaciones, desarrollo o módulos. Puede ver esta
recomendación en la siguiente URL:
https://support.office.com/es-es/article/elegir-entre-la-versi%C3%B3n-de-64-o-la-de-32-bits-
de-office-2dee7807-8f95-4d0c-b5fe-6c6f49b8d261
Si utiliza el DVD o imagen descargada de Microsoft, que incluye las dos ediciones (32/64 bits),
si ejecuta el fichero setup.exe que se encuentra en la raíz o en la carpeta x86 del DVD, la
instalación que se realiza es la de 32 bits y si ejecuta setup.exe desde la subcarpeta x64 lo hará
la edición análoga a ese nombre.
Por todo lo expuesto, en esta guía se ha optado por la instalación de Microsoft Office 2016
Professional Plus, edición de 32 bits, a partir de la imagen tipo iso (bajada del repositorio de
Microsoft para licencias por volumen) que incluye las dos ediciones, 32 y 64 bits.

USO OFICIAL
Paso Descripción
Para la instalación de la aplicación, es necesario superar el control de cuentas de usuario, introduciendo
las credenciales del usuario con privilegios.
Se ejecutará el asistente de instalación de la solución.

De las opciones disponibles, deberá hacer uso de “Personalizar”. Si optara por la opción “Instalar ahora”
se realizaría una instalación predeterminada sin poder seleccionar las aplicaciones que realmente
necesite ni sus opciones.

USO OFICIAL
Paso Descripción
Una vez que haya seleccionado la instalación personalizada, deberá proporcionar detalles adicionales
para el proceso de instalación.
En la primera de las pestañas, “Opciones de instalación”, deberá determinar las aplicaciones que
deberán instalarse del paquete ofimático Microsoft Office Professional Plus 2016.
Por cada una de las aplicaciones deberá tener en cuenta las siguientes opciones de instalación (accederá
a ellas si pulsa sobre el icono de disco duro que hay presente delante de cada una de ellas):
– “Ejecutar desde mi PC: Se instalarán parte de los componentes del producto seleccionado.
– “Ejecutar todo desde mi PC”: Se instalarán todos los componentes del producto seleccionado.
– “Instalar al utilizar por primera vez”: El producto se encontrará preinstalado, pero se acabará de
completar el proceso de instalación cuando se ejecute la aplicación la primera vez.
– “No disponible”: El producto no se instalará ni se preinstalará. Para hacer uso posterior será
necesario disponer del DVD de instalación.
Aquellos productos que, como “Características compartidas de Office” (en la imagen siguiente), se
encuentren sombreados en gris indican que se instalarán solo algunos de sus componentes. Si el icono
del disco duro se encontrara sobre fondo blanco, como el caso de “Microsoft OneNote” (en la imagen
siguiente), indica que se instalarán todos sus componentes.

USO OFICIAL
Paso Descripción
Seleccione, por cada componente que quiera instalar, la opción “Ejecutar todo desde mi PC”, luego
desmarque aquellos componentes que no quiera utilizar por medio de la selección de la opción “No
disponible”. Tenga en cuenta que solo deberá instalar aquellas aplicaciones indispensables para el uso
del equipo de destino.
En las selecciones de los componentes, deberá tener en cuenta las necesidades de la organización y de
los usuarios a los que se destina la suite. No deberá seleccionar nada más que los productos
estrictamente necesarios. Esto reduce la superficie de ataque sobre el sistema, minimizando además los
costes de administración implícitos que lleva el tener más productos instalados. Toda la información
correspondiente a las diferentes aplicaciones disponibles durante el proceso de instalación, se
encuentra detallado en el punto “1. PRODUCTOS Y COMPONENTES DEL PROCESO DE INSTALACIÓN DE
MICROSOFT OFFICE 2016”.
Nota: No deberá nunca hacer uso de la opción “Instalar al utilizar la primera vez”.
En este caso, se atenderá al citado punto de esta guía y no se instalarán los siguientes productos: Access,
OneDrive para la Empresa, OneNote, Publisher, Visio Viewer ni Skype Empresarial. El aspecto final, según
lo indicado, será como el que se muestra en la siguiente imagen.
No presione el botón “Instalar ahora” todavía.

Nota: Cada instalación variará según las condiciones del puesto al que vaya a dar servicio el
equipo o las condiciones de la empresa, la selección hecha es un mero ejemplo.
Tenga en cuenta que Office Standard no incluye todos los productos de la suite.

USO OFICIAL
Paso Descripción
En la segunda de las pestañas, “Ubicación de archivos”, se establece la ruta para la instalación del
producto. Mantenga la ruta establecida por defecto si no dispone de una política de instalaciones
específica en su entidad. No presione el botón “Instalar ahora” todavía.
En la pestaña “Información del usuario”, debe introducir los datos de identificación del usuario habitual.
Debe tener en cuenta que estos datos son utilizados para identificar, entre otras cosas, la persona que
realiza cambios en un documento de MS Office. Todos los ficheros generados a partir de las aplicaciones
de MS Office 2016 contarán con dichos datos, como metadatos del archivo. Si introduce aquí datos
identificativos, deberá hacerse uso de procesos de limpieza de metadatos, que se muestran en pasos
posteriores en la presente guía, para aquellos documentos que deban hacerse públicos. Esta práctica
evita que trascienda información excesiva, que podría ser utilizada para caracterizar su sistema por parte
de un supuesto atacante. No debe descartar, en caso de seguridad avanzada, dejar los campos en blanco.
Presione el botón “Instalar ahora” para continuar.

Nota: La información que se muestra es la del usuario que tiene iniciada la sesión en el sistema
operativo. Puede completarse con los datos de cualquier usuario.
Cuando un usuario distinto utilice Office 2016, desde este equipo, se agregarán sus datos de
sesión en vez de los que se indiquen en esta ventana.

USO OFICIAL
Paso Descripción
Comenzará el progreso de la instalación, que tardará varios minutos (dependiendo de las capacidades
del equipo y de los productos seleccionados), especialmente hasta que comience a moverse la barra de
progreso.
Una vez se completa la barra de progreso, el proceso de instalación dedica varios minutos más para
completar la instalación. No aborte la instalación por ningún medio, espere a su finalización.
Una vez completado el proceso de instalación, sería adecuado proceder a la aplicación de actualizaciones
con las opciones disponibles por la organización (MS WSUS o instalación de actualizaciones manuales).
En “Menú inicio” se habrán instalado los accesos directos pertinentes.
A continuación, reinicie el equipo para asegurar que las directivas de Microsoft Office han sido aplicadas
en el equipo y se aplicarán en los usuarios que van a utilizarlo.
Nota: Tenga en cuenta que este paso es indispensable, aunque no es solicitado por el proceso
de instalación.
PRIMER ARRANQUE DE UNA DE LAS APLICACIONES DE LA SUITE OFFICE 2016

PROFESSIONAL PLUS
Una vez completada la instalación, será posible proceder a utilizar las aplicaciones de la suite.
Los pasos que se describen en el punto de este anexo son opcionales ya que no se realiza acción alguna.

USO OFICIAL
Lo indicado en esta sección del anexo para Office Professional Plus es completamente análogo para el caso de
Office Standard.
Paso Descripción
Para el siguiente paso se debe utilizar una cuenta de las que se encuentra en la unidad organizativa
“Usuarios Windows 10”.
Nota: En este ejemplo se utiliza el usuario “Usuario1001”, cuenta sin permisos administrativos.
Una vez finalizado el proceso será necesario la comprobación de la configuración del producto.
Abra una de las aplicaciones, por ejemplo, Word.
Atención, si lo que le apareciese fuese esta ventana sería debido a que está utilizando un usuario que
no está incluido en una unidad organizativa que tenga aplicada la directiva de Office objeto de esta guía
o que por algún problema técnico no se aplicó de forma adecuada.
Si es consciente y desea continuar debería hacerlo con la opción “Preguntarme más tarde” para evitar
la conexión a Internet. Posteriormente se le mostrarán más ventanas de presentación y un vídeo
animado.
Si no le ha salido esta ventana de este tipo, continúe con el paso siguiente.

USO OFICIAL
Paso Descripción
Se mostrará la ventana de “Asistente para la activación de Microsoft Office”. Se procederá a activar el
producto más adelante, pulse “Cancelar”.
Nota: Dependiendo de los días que hayan transcurrido desde la instalación, informará de los
días que restan hasta cumplir el plazo que ofrece Microsoft.
Ya será posible utilizar el producto. Abra, por ejemplo, un documento en blanco:
Nota: Si le aparece una ventana de necesidad de activación vaya al punto siguiente.

USO OFICIAL
Paso Descripción
Si se mostrase la ventana que informa de la falta de activación del producto es debido a que ha vencido
el tiempo de gracia que ofrece Microsoft entre la instalación y la introducción de la clave para legalizar
el producto.
Por ahora, es posible cerrar la ventana de aviso haciendo clic en el botón “Cerrar”.
días que restan hasta cumplir el plazo que ofrece Microsoft. Si no le aparece el aviso, podría
ser porque se hayan desactivado ese tipo de notificaciones por el administrador de su red.
Ahora ya se podrá utilizar Word, por ejemplo. Si se continúa en el caso del paso anterior, estará visible
de forma permanente un mensaje de aviso.
Nota: Una vez alcanzado este punto puede ser que ciertas funcionalidades de Microsoft Office
estén deshabilitadas hasta que no se active el producto.
Se pueden observar que las directivas se han aplicado, para ello acuda al menú “Insertar” y se observa
que ciertas funciones están desactivadas, por ejemplo, en la siguiente imagen se muestran dos funciones
que requieren acceso a Internet que no se encuentran activadas.

USO OFICIAL
Paso Descripción
Si acude al menú “Archivo  Cuenta” se observa el estado de activación de la licencia. Aquí se muestran
dos estados posibles: licencia a la espera de activación en plazo (fondo amarillo) y activación no realizada
en plazo (fondo rosa).
Nota: Una vez que el mensaje pasa a rosa se mostrará, durante todo el tiempo que se trabaje
con los productos de Office, una barra roja de necesidad de activación al ser software ilegal.
Cierre los programas de Office que pudieran estar abiertos. MS Office 2016 ya se encontrará instalado y
preparado para su uso.
Elimine la carpeta “C:\Scripts” del equipo cliente y del controlador de dominio.
Nota: El sistema le solicitará las credenciales de un usuario con permisos de administrador.

USO OFICIAL

IMPLEMENTADO EN CLIENTE MIEMBRO DE UN DOMINIO
Este anexo se ha diseñado para ayudar a los operadores a verificar que se han aplicado las distintas
configuraciones de seguridad de la presente guía.
Para realizar algunas de las comprobaciones necesitará ejecutar diferentes consolas de administración y
herramientas del sistema. Las consolas y herramientas que se utilizarán son las siguientes:
a) En el controlador de dominio:
i. Administración de directivas de grupo.
ii. Editor de administración de directivas de grupo.
b) En el equipo cliente:
i. Explorador de Windows.
ii. PowerShell.
iii. Consola de servicios.
Comprobación OK/NOK Cómo hacerlo
1. Inicie sesión en un En uno de los controladores de dominio, inicie sesión con una cuenta que
controlador de tenga privilegios de administración del dominio. Este controlador de
dominio con un dominio deberá contener las plantillas de directivas de MS Office 2016.
administrador del
dominio.
2. Verifique que está Utilizando la herramienta Administración de directivas de grupo (“Inicio 
creada la directiva Herramientas administrativas  Administración de directivas de
de equipo (CCN- grupo”). Despliegue hasta llegar a la política “CCN-STIC-585 Incremental
STIC-585 Office 2016 - Equipos” en la ruta “Bosque: [nombre de su bosque] 
Incremental Office Dominios  [nombre de su dominio]  Clientes Windows 10  Equipos
2016 - Equipo) Windows 10”.
Pulsando el botón derecho sobre el objeto de política, deberá
seleccionarse la opción “Editar”. Se abrirá la herramienta “Editor de
objetos de directiva de grupo” que permitirá verificar los valores de la
directiva.
Nota: El sistema le solicitará elevación de privilegios.

En este ejemplo la directiva a comprobar está en la unidad
organizativa “Usuarios Windows 10”. En el entorno de su
organización puede variar.

USO OFICIAL
3. Verifique los Utilizando el editor de objetos de directiva de grupo, verifique que la

valores de los directiva tiene los siguientes valores de servicios de sistema dentro de:
servicios del “Configuración del equipo  Directivas  Configuración de Windows 
sistema de la Configuración de seguridad  Servicios del sistema”
directiva” CCN- Nota: Dependiendo de los servicios que estén instalados en el
STIC-585
controlador de dominio utilizado para la verificación, es posible que
Incremental Office
2016 - Equipo” aparezcan los nombres cortos de los servicios o que aparezcan
servicios adicionales.
Servicio (nombre corto) Servicio (nombre largo) Inicio Permisos OK/NOK

ClickToRunSvc Servicio Hacer clic y ejecutar Deshabilitado Configurado
de Microsoft Office
FontCache Servicio de caché de fuentes Manual Configurado
de Windows
OSE Office Source Engine Manual Configurado
OSE64 Office 64 Source Engine Manual Configurado
valores seguridad directiva tiene los siguientes valores de:
del sistema de la “Configuración del equipo  Directivas  Plantillas administrativas 
directiva “CCN- Microsoft Office 2016 (Equipo)  Configuración de seguridad”
STIC-585
Incremental Office
2016 - Equipos”
Directiva Valor OK/NOK
Deshabilitar reparación de paquetes Habilitada
Deshabilitar el almacenamiento en caché de Habilitada
contraseñas
5. Verifique que está Utilizando la herramienta Administración de directivas de grupo (“Inicio 
creada la directiva Herramientas administrativas  Administración de directivas de
de usuario (CCN- grupo”). Despliegue hasta llegar a la política “CCN-STIC-585 Incremental
STIC-585 Office 2016 – Usuarios”
Incremental Office Pulsando el botón derecho sobre el objeto de política, deberá
2016 - Usuarios) seleccionarse la opción “Editar”. Se abrirá la herramienta Editor de objetos
de directiva de grupo que permitirá verificar los valores de la directiva.
Nota: En este ejemplo la directiva a comprobar está en la unidad

organizativa “Usuarios Windows 10”. En el entorno de su
organización puede variar.

USO OFICIAL

valores del centro directiva tiene los siguientes valores de:
de confianza de “Configuración de usuario  Directivas  Plantillas administrativas 
MS Access 2016 Microsoft Access 2016  Configuración de la aplicación  Seguridad 
de la directiva Centro de confianza”
CCN-STIC-585
Incremental Office
2016 - Usuarios
Configuración de notificaciones para macros de VBA Habilitada
(Deshabilitar
todas con
notificación)
Desactivar documentos confiables Habilitada
Desactivar documentos confiables en la red Habilitada
Deshabilitar la notificación de la barra de confianza Habilitada
para complementos de aplicaciones sin firmar y
bloquearlos
Deshabilitar todos los complementos de aplicaciones Deshabilitada
Establecer el número máximo de registros de confianza Habilitada (1000)
que se conservará
Requerir que un editor de confianza firme los Habilitada
complementos de las aplicaciones
valores de directiva tiene los siguientes valores de:
Ubicaciones de “Configuración de usuario  Directivas  Plantillas administrativas 
MS Access 2016 Microsoft Access 2016  Configuración de la aplicación  Seguridad 
de la directiva Centro de confianza  Ubicaciones de confianza”
“CCN-STIC-585
Incremental Office
2016 - Usuarios”
Deshabilitar todas las ubicaciones de confianza Deshabilitada
Permitir ubicaciones de confianza en la red Habilitada
criptografía de MS “Configuración de usuario  Directivas  Plantillas administrativas 
Access 2016 de la Microsoft Access 2016  Configuración de la aplicación  Seguridad 
directiva “CCN- Criptografía”
STIC-585
Incremental Office
2016 - Usuarios”

USO OFICIAL

Especificar algoritmo hash CNG Habilitada (SHA512)
Especificar compatibilidad de cifrado Habilitada (Guardar todos arch.
con form. próx. generac.)
Especificar longitud de contraseña CNG Habilitada (32)
con sal
valores de directiva tiene los siguientes valores:
herramientas de “Configuración de usuario  Directivas  Plantillas administrativas 
seguridad de MS Microsoft Access 2016  Herramientas | Seguridad”
Access 2016 de la
directiva “CCN-
STIC-585
Incremental Office
2016 - Usuarios”
Solamente decisión de confianza modal Deshabilitada
seguridad “Configuración de usuario  Directivas  Plantillas administrativas 
aplicados de Microsoft Excel 2016  Opciones de Excel  Seguridad”
Microsoft Excel
2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Desactivar la validación de documento Deshabilitada
Examinar macros cifradas en libros de Habilitada (Examinar macros
formato Open XML de Excel cifradas (predeterminado))
Forzar extensión de archivo para que Habilitada (Hacer coincidir
coincida con el tipo de archivo siempre el tipo de archivo)
Realizar la validación de documento en las Habilitada (Realizar siempre
memorias caché dinámicas la validación)

USO OFICIAL
valores del Centro directiva tiene los siguientes valores de:
MS Excel 2016 de Microsoft Excel 2016  Opciones de Excel  Seguridad  Centro de
la directiva “CCN- confianza”
STIC-585
Incremental
Office 2016 -
Usuarios”
Almacenar macro en libro de macros Deshabilitada
personal de forma predeterminada
Confiar en el acceso a proyectos de Visual Deshabilitada
Basic
Configuración de notificaciones para Habilitada (Deshabilitar
macros de VBA todas las macros excepto las
firmadas digitalmente)
Deshabilitar la notificación de la barra de Deshabilitada
confianza para complementos de
aplicaciones sin firmar y bloquearlos
Requerir que un editor de confianza firme Deshabilitada
los complementos de aplicaciones
configuración de “Configuración de usuario  Directivas  Plantillas administrativas 
bloqueo de Microsoft Excel 2016  Opciones de Excel  Seguridad  Centro de
archivos de MS confianza  Configuración de bloqueo de archivos”
Excel 2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Archivos de complementos de Habilitada (No bloquear)
Excel
Excel 2007 y posteriores
Excel 97-2003
Archivos de complementos y hojas Habilitada (Abrir y guardar
de macros de Excel 2 bloqueados; usar directiva de
apertura)

USO OFICIAL

apertura)
apertura)
Archivos de conexión de datos de Habilitada (No bloquear)
Microsoft Office
Archivos de consulta de Microsoft Habilitada (No bloquear)
Office
Archivos de cubo sin conexión Habilitada (Abrir y guardar
bloqueados; usar directiva de
apertura)
Archivos de dBase III / IV Habilitada (Abrir y guardar
apertura)
Archivos de hoja de cálculo de Habilitada (Abrir y guardar
OpenDocument bloqueados; usar directiva de
apertura)
Archivos de texto Habilitada (No bloquear)
Archivos Dif y Sylk Habilitada (Guardar bloqueado)
Archivos XML Habilitada (No bloquear)
Convertidores de Microsoft Office Habilitada (No bloquear)
Open XML para Excel
Convertidores heredados para Habilitada (No bloquear)
Excel
Establecer comportamiento Habilitada (Los archivos bloqueados
predeterminado de bloqueo de se abren en Vista protegida y se
archivos pueden editar)
Hojas de cálculo de Excel 2 Habilitada (Abrir y guardar
apertura)
apertura)
apertura)
Libros binarios de Excel 2007 y Habilitada (No bloquear)
posteriores
Libros de Excel 4 Habilitada (Abrir y guardar
apertura)
apertura)
Libros y plantillas de Excel 2007 y Habilitada (No bloquear)
posteriores
Libros y plantillas de Excel 95-97 Habilitada (Abrir y guardar
apertura)

USO OFICIAL

Libros y plantillas de Excel 97-2003 Habilitada (No bloquear)
Libros y plantillas habilitados para Habilitada (No bloquear)
macros de Excel 2007 y
posteriores
Otros archivos de orígenes de Habilitada (Abrir y guardar
datos bloqueados; usar directiva de
apertura)
Páginas web y hojas de cálculo Habilitada (Permitir la edición y
XML de Excel 2003 apertura en Vista protegida)
ubicaciones de Microsoft Excel 2016  Opciones de Excel  Seguridad  Centro de
confianza MS confianza  Ubicaciones de confianza”
Excel 2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Deshabilitar todas las ubicaciones de Deshabilitada
confianza
valores de vista directiva tiene los siguientes valores:
protegida de MS “Configuración de usuario  Directivas  Plantillas administrativas 
Excel 2016 de la Microsoft Excel 2016  Opciones de Excel  Seguridad  Centro de
directiva “CCN- confianza  Vista protegida”
STIC-585
Incremental
Office 2016 -
Usuarios”
Abrir archivos de UNC de intranet local en Deshabilitada
Vista protegida
Desactivar Vista protegida para los datos Deshabilitada
adjuntos abiertos en Outlook
Establecer el comportamiento del Habilitada (Bloquear
documento en caso de error en la archivos, Deshabilitada)
validación de documento
No abrir archivos de la zona de Internet en Deshabilitada
Vista protegida
No abrir archivos de ubicaciones inseguras Deshabilitada
en Vista protegida

USO OFICIAL
Excel 2016 de la Microsoft Excel 2016  Opciones de Excel  Seguridad  Criptografía”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Configurar modo de encadenamiento Habilitada (Encadenamiento de
de cifrado CNG bloques de cifrado (CBC))
Especificar longitud de contraseña Habilitada (32)
CNG con sal
Usar nueva clave cuando cambie la Habilitada
contraseña
valores de varios directiva tiene los siguientes valores:
de MS Excel 2016 “Configuración de usuario  Directivas  Plantillas administrativas 
de la directiva Microsoft Excel 2016  Varios”
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Configuración de seguridad de la función Habilitada (Permitir UDF
definida por el usuario (UDF) OLAP seguras únicamente)
No almacenar archivos de red en la Habilitada
memoria caché local
valores de Ayuda directiva tiene los siguientes valores:
de MS Office 2016 “Configuración de usuario  Directivas  Plantillas administrativas 
de la directiva Microsoft Office 2016  Ayuda”
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Búsqueda federada para obtener ayuda Deshabilitada

USO OFICIAL
Configuración de “Configuración de usuario  Directivas  Plantillas administrativas 
seguridad de MS Microsoft Office 2016  Configuración de seguridad”
Office 2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Cargar controles en Formularios3 Habilitada (4)
Cifrar propiedades del documento Habilitada
Comprobar objetos ActiveX Habilitada (Invalidar lista de
bits de cierre de IE)
Comprobar objetos OLE Habilitada (Lista de
permitidos estricta)
Comprobar proveedores de orígenes de Habilitada
datos de OWC
Comprobar servidores RTD de Excel Habilitada
Desactivar el informe de errores para los Habilitada
archivos con errores de validación
Desactivar interfaz de usuario de Deshabilitada
configuración de cifrado de archivos PDF
Deshabilitar todas las notificaciones de la Deshabilitada
barra de confianza para problemas de
seguridad
Deshabilitar todo ActiveX Habilitada
Deshabilitar VBA para aplicaciones de Deshabilitada
Office
Establecer el tiempo de espera de dominio Habilitada (4000)
de reglas de contraseña
Establecer formato hash de contraseña Habilitada
compatible con ISO
Establecer longitud mínima de contraseña Habilitada (12)
Establecer nivel de reglas de contraseña Habilitada (Comprobaciones
de directiva de dominio,
complejidad local y longitud
local)
Impedir que Word y Excel carguen Habilitada
extensiones de código administrado
Inicialización del control ActiveX Habilitada (6)
Proteger los metadatos del documento Habilitada
para archivos protegidos con contraseña

USO OFICIAL

Proteger metadatos del documento para Habilitada
los archivos Office Open XML con derechos
administrados
Seguridad de automatización Habilitada (Usar nivel de
seguridad de macro de
aplicación)
Suprimir advertencias de hipervínculo Deshabilitada
valores del centro directiva tiene los siguientes valores:
MS Office 2016 de Microsoft Office 2016  Configuración de seguridad  Centro de
STIC-585
Incremental
Office 2016-
Usuarios”
Permitir la mezcla de ubicaciones de Deshabilitada
usuario y de directiva
valores de los directiva tiene los siguientes valores:
centros de “Configuración de usuario  Directivas  Plantillas administrativas 
confianza de MS Microsoft Office 2016  Configuración de seguridad  Centro de
Office 2016 de la confianza  Catálogos de confianza”
directiva “CCN-
STIC-585
Incremental
Office 2016-
Usuarios”
Bloquear complementos web Habilitada
Bloquear Tienda Office Habilitada
valores de firmas directiva tiene los siguientes valores:
digitales de MS “Configuración de usuario  Directivas  Plantillas administrativas 
Office 2016 de la Microsoft Office 2016  Configuración de seguridad  Firmas digitales”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Comprobar las partes XAdES de una firma Habilitada
digital
Configurar algoritmo hash de marca de Habilitada (SHA512)
tiempo
Configurar el algoritmo de hash heredado Habilitada (SHA256)
Configurar el algoritmo de hash no válido Habilitada (MD5)

USO OFICIAL

Especificar el nivel mínimo de XAdES para Habilitada (XAdES-X-L)
la generación de firmas digitales
Establecer nivel de comprobación de Habilitada (Reglas de Office
firmas 2013)
Establecer tiempo de espera del servidor Habilitada (5)
de marca de tiempo
Nivel de XAdES requerido para la Habilitada (XAdES-X-L)
generación de firmas
No permitir certificados expirados al Habilitada
validar firmas
Requerir OCSP al generarse las firmas Habilitada
Seleccionar algoritmo hash de firma digital Habilitada (SHA512)
valores para la directiva tiene los siguientes valores:
descarga de “Configuración de usuario  Directivas  Plantillas administrativas 
componentes de Microsoft Office 2016  Descargando componente de Framework”
Framework de MS
Office 2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Ocultar los hipervínculos de descarga de los Deshabilitada
componentes que faltan
valores del directiva tiene los siguientes valores:
contenido en “Configuración de usuario  Directivas  Plantillas administrativas 
línea de MS Office Microsoft Office 2016  Herramientas | Opciones | General | Opciones
2016 de la de servicios…  Contenido en línea”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Opciones de contenido en línea Habilitada (No permitir que
Office se conecte a Internet)

USO OFICIAL
opciones web de “Configuración de usuario  Directivas  Plantillas administrativas 
MS Office 2016 de Microsoft Office 2016  Herramientas | Opciones | General | Opciones
la directiva “CCN- Web…”
STIC-585
Incremental
Office 2016-
Usuarios”
Deshabilitar plantillas web en Archivo | Nuevo y en la Habilitada
pantalla de inicio de Office
Ocultar todas las plantillas proporcionadas por Office Deshabilitada
en la pantalla de inicio de Office y en Archivo | Nuevo
archivos de “Configuración de usuario  Directivas  Plantillas administrativas 
opciones web de Microsoft Office 2016  Herramientas | Opciones | General | Opciones
MS Office 2016 de Web…  Archivos”
la directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Abrir documento de Office directamente en la aplicación Habilitada
de Office
valores de la directiva tiene los siguientes valores:
recolección de “Configuración de usuario  Directivas  Plantillas administrativas 
datos de la Microsoft Office 2016  Herramientas | Opciones | Ortografía 
revisión Revisión de la recolección de datos”
ortográfica de MS
Office 2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Mejorar herramientas de corrección Deshabilitada

USO OFICIAL
presentación en “Configuración de usuario  Directivas  Plantillas administrativas 
línea de MS Office Microsoft Office 2016  Presentar en línea”
2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Impedir que los usuarios agreguen servicios de Habilitada
presentación en línea en PowerPoint y Word
Quitar el servicio de presentaciones de Office de la lista Habilitada
de servicios de presentaciones en línea de PowerPoint y
Word
Restringir el acceso mediante programación para crear Habilitada
presentaciones en línea en PowerPoint y Word
primera vista de “Configuración de usuario  Directivas  Plantillas administrativas 
MS Office 2016 de Microsoft Office 2016  Primera vista”
STIC-585
Incremental
Office 2016 -
Usuarios”
Deshabilitar la primera ejecución de Office al iniciar la Habilitada
aplicación
Deshabilitar primera ejecución de vídeo Habilitada
valores centro de directiva tiene los siguientes valores:
confianza de MS “Configuración de usuario  Directivas  Plantillas administrativas 
Office 2016 de la Microsoft Office 2016  Privacidad  Centro de confianza”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Deshabilitar el Asistente para participar la primera Habilitada
vez que se ejecute
Enviar comentarios de Office Deshabilitada
Enviar información personal Deshabilitada

USO OFICIAL

Habilitar programa de mejora de experiencia del Deshabilitada
cliente
Recibir automáticamente pequeñas actualizaciones Deshabilitada
para mejorar la confiabilidad
servicios de fax “Configuración de usuario  Directivas  Plantillas administrativas 
MS Office 2016 de Microsoft Office 2016  Servicios  Fax”
STIC - 585
Incremental
Office 2016 -
Usuarios”
Deshabilitar la característica Fax de Habilitada
Internet
31. Verifique varios Utilizando el editor de objetos de directiva de grupo, verifique que la
valores de MS directiva tiene los siguientes valores:
Office 2016 de la “Configuración de usuario  Directivas  Plantillas administrativas 
directiva “CCN- Microsoft Office 2016  Varios”
STIC-585
Incremental
Office 2016 -
Usuarios”
Bloquear inicio de sesión en Office Habilitada
(Ninguno permitido)
Mostrar inicio de sesión OneDrive Deshabilitada
Suprimir el cuadro de diálogo Habilitada
Configuración recomendada
contraseña de MS “Configuración de usuario  Directivas  Plantillas administrativas 
OneNote 2016 de Microsoft OneNote 2016  Opciones de OneNote  Contraseña”
STIC-585
Incremental
Office 2016 -
Usuarios”
Bloquear las secciones protegidas con contraseña Habilitada
después de que el usuario no haya trabajado en ellas
durante un tiempo
Bloquear las secciones protegidas por contraseña en Habilitada
cuanto salga de ellas

USO OFICIAL

Deshabilita el acceso de complementos a secciones Habilitada
protegidas con contraseña
Deshabilitar las secciones protegidas con contraseña Deshabilitada
valores de Centro directiva tiene los siguientes valores:
MS OneNote 2016 Microsoft OneNote 2016  Opciones de OneNote  Seguridad 
de la directiva Criptografía”
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Configurar modo de Habilitada
encadenamiento de cifrado CNG (Encadenamiento de bloques de
cifrado (CBC))
Especificar algoritmo hash CNG Habilitada
(SHA512)
Especificar compatibilidad de Habilitada
cifrado (Guardar todos arch. con form. próx.
generac.)
Especificar longitud de contraseña Habilitada
CNG con sal (32)
seguridad de MS “Configuración de usuario  Directivas  Plantillas administrativas 
Outlook 2016 de Microsoft Outlook 2016  Seguridad”
STIC-585
Incremental
Office 2016 -
Usuarios”
Configurar nivel de confianza del Habilitada
complemento (Confiar en todos los
complementos COM
cargados e instalados)
Deshabilitar 'Recordar contraseña' para Habilitada
cuentas de correo electrónico de Internet
Permitir formularios de uso único de Active Habilitada
X (Permitir solo controles
seguros)
Usar Vista protegida para datos adjuntos Habilitada
recibidos de remitentes internos
MS Outlook 2016 Microsoft Outlook 2016  Seguridad  Centro de confianza”
de la directiva
“CCN-STIC-585
Incremental

USO OFICIAL

Office 2016 -
Usuarios”
Aplicar la configuración de seguridad de Habilitada
macros a macros, complementos y acciones
adicionales
Configuración de seguridad para macros Habilitada
(Advertir siempre)
Permitir hipervínculos en mensajes de correo Deshabilitada
electrónico sospechosos de ser mensajes de
suplantación de identidad (phishing)
descarga de Microsoft Outlook 2016  Seguridad  Configuración de descarga de
imágenes imágenes automáticas”
automáticas de
MS Outlook 2016
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Bloquear zonas de confianza Deshabilitada
Descargar automáticamente el contenido para el Habilitada
correo electrónico de personas en las listas de
remitentes y destinatarios seguros
Incluir Internet en las zonas seguras para la descarga Deshabilitada
de imágenes automática
Mostrar imágenes y contenido externo en correo Deshabilitada
electrónico HTML
No permitir la descarga de contenido desde zonas Deshabilitada
seguras

USO OFICIAL
configuración del “Configuración de usuario  Directivas  Plantillas administrativas 
formulario de Microsoft Outlook 2016  Seguridad  Configuración del formulario de
seguridad de MS seguridad”
Outlook 2016 de
STIC-585
Incremental
Office 2016 -
Usuarios”
Modo de seguridad de Outlook Habilitada (Usar formulario
de seguridad de la carpeta
pública 'Configuración de
seguridad de Outlook')
seguridad de los “Configuración de usuario  Directivas  Plantillas administrativas 
datos adjuntos de Microsoft Outlook 2016  Seguridad  Configuración de formulario de
MS Outlook 2016 seguridad  Seguridad de datos adjuntos”
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Agregar extensiones de archivo al bloque como nivel Deshabilitada
1
Mostrar datos adjuntos de nivel 1 Deshabilitada
Mostrar objetos de paquete OLE Deshabilitada
No preguntar acerca de los datos adjuntos de nivel 1 Deshabilitada
cuando se cierra un elemento
No preguntar acerca de los datos adjuntos de nivel 1 Deshabilitada
cuando se envía un elemento
Permitir a los usuarios disminuir el nivel de los datos Deshabilitada
adjuntos al nivel 2
Quitar extensiones de archivo bloqueadas como nivel Deshabilitada
1

USO OFICIAL
seguridad de “Configuración de usuario  Directivas  Plantillas administrativas 
formulario Microsoft Outlook 2016  Seguridad  Configuración de formulario de
personalizada de seguridad  Seguridad de formulario personalizada”
MS Outlook 2016
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Establecer la solicitud de ejecución de Habilitada
acciones personalizadas del modelo de (Preguntar al usuario)
objetos de Outlook
Permitir scripts en formularios de uso Deshabilitada
único de Outlook
programación de Microsoft Outlook 2016  Seguridad  Configuración de formulario de
MS Outlook 2016 seguridad  Seguridad de programación”
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Configurar el texto del modelo de objetos Habilitada (Denegar
de Outlook al ejecutar Guardar como automáticamente)
de Outlook al enviar correo automáticamente)
de Outlook al leer la información de la automáticamente)
dirección
de Outlook al obtener acceso a la automáticamente)
propiedad Formula de un objeto
UserProperty
de Outlook al obtener acceso a una libreta automáticamente)
de direcciones
de Outlook al responder a convocatorias de automáticamente)
reunión y solicitudes de tarea

USO OFICIAL
valores directiva tiene los siguientes valores:
Outlook 2016 de Microsoft Outlook 2016  Seguridad  Criptografía”
STIC-585
Incremental
Office 2016 -
Usuarios”
Advertencia de firma Habilitada
(Advertir siempre sobre las
firmas no válidas)
Comportamiento de solicitud de Habilitada
confirmación S/MIME (Preguntar siempre antes de
enviar la confirmación)
Configuración de cifrado mínimo Habilitada (40)
Ejecutar en modo compatible FIPS Deshabilitada
Enviar todos los mensajes firmados como Habilitada
mensajes firmados con firma
transparente
Formatos de mensaje Habilitada
(S/MIME, Exchange y
Fortezza)
Habilitar iconos de criptografía Habilitada
Interoperabilidad S/MIME con clientes Habilitada
externos: (Administrar si es posible)
Las respuestas o los reenvíos para Habilitada
mensajes firmados o cifrados se firman o
cifran
No comprobar direcciones de correo Deshabilitada
electrónico con direcciones de
certificados en uso
No mostrar el botón 'Publicar en GAL' Habilitada
No proporcionar la opción Continuar en Habilitada
los cuadros de diálogo de advertencia de
cifrado
Requerir algoritmos SuiteB para Habilitada
operaciones S/MIME
Usar siempre el formato TNEF en Habilitada
mensajes S/MIME

USO OFICIAL
seguridad de los “Configuración de usuario  Directivas  Plantillas administrativas 
cuadros de Microsoft Outlook 2016  Seguridad  Criptografía  Cuadro de
diálogo de estado diálogo de estado de la firma”
de la firma de
aplicación
Microsoft Outlook
2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Aumentar el nivel de los errores de nivel 2, Deshabilitada
no de los avisos
Faltan certificados raíz Habilitada (Error)
Faltan listas CRL Habilitada (Error)
Recuperando listas CRL (Listas de revocación Habilitada
de certificados) (Usar predeterminado del
sistema)
Microsoft Microsoft PowerPoint 2016  Opciones de PowerPoint  Seguridad”
PowerPoint 2016
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Desactivar la validación de archivos Deshabilitada
Desbloquear descarga automática de Deshabilitada
imágenes vinculadas
Ejecutar programas Habilitada
(habilitar (preguntar al
usuario antes de ejecutar))
Examinar macros cifradas en presentación de Habilitada
PowerPoint de formato Office Open XML (Analizar las macros
cifradas
(predeterminado))
Mostrar la revisión oculta Deshabilitada

USO OFICIAL
valores del Centro directiva tiene los siguientes valores:
Microsoft Microsoft PowerPoint 2016  Opciones de PowerPoint  Seguridad 
PowerPoint 2016 Centro de confianza”
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Confiar en el acceso a proyectos de Visual Habilitada
Basic
Configuración de notificaciones para Habilitada
macros de VBA (Deshabilitar todo excepto
las macros firmadas
digitalmente)
Desactivar Documentos confiables Habilitada
Desactivar Documentos confiables en la Habilitada
red
Deshabilitar todos los complementos de Deshabilitada
aplicaciones
Requerir que un editor de confianza firme Habilitada
bloqueo de Microsoft PowerPoint 2016  Opciones de PowerPoint  Seguridad 
archivos de Centro de confianza  Configuración de bloqueo de archivos”
Microsoft
PowerPoint 2016
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Archivos beta de PowerPoint Habilitada
(Permitir editar y abrir en
la Vista protegida)
Archivos de esquema Habilitada
(No bloquear)

USO OFICIAL

Archivos de presentación de OpenDocument Habilitada
la Vista protegida)
Convertidores beta de PowerPoint Habilitada
la Vista protegida)
Convertidores de Microsoft Office Open XML Habilitada
para PowerPoint (Abrir o guardar
bloqueado, usar directiva
abierta)
Convertidores heredados para PowerPoint Habilitada
(Abrir o guardar
abierta)
Establecer comportamiento predeterminado Habilitada
de bloqueo de archivos (Los archivos bloqueados
se abren en Vista
protegida y se pueden
editar)
Filtros gráficos Habilitada
(No bloquear)
Páginas web Habilitada
la Vista protegida)
Presentaciones de PowerPoint 97-2003, Habilitada
plantillas y archivos de complementos (Permitir editar y abrir en
la Vista protegida)
Presentaciones, plantillas, temas y archivos Habilitada
de complementos de PowerPoint 2007 y (No bloquear)
versiones posteriores
confianza de MS Microsoft PowerPoint 2016  Opciones de PowerPoint  Seguridad 
PowerPoint 2016 Centro de confianza  Ubicaciones de confianza”
de la directiva
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”

USO OFICIAL
valores de Vista directiva tiene los siguientes valores:
PowerPoint 2016 Microsoft PowerPoint 2016  Opciones de PowerPoint  Seguridad 
de la directiva Centro de confianza  Vista protegida”
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Abrir los archivos en UNC de intranet local en la Habilitada
Vista protegida
Desactivar la Vista protegida para datos Deshabilitada
adjuntos abiertos desde Outlook
Establecer el comportamiento de los Habilitada
documentos si se producen errores durante la (Abrir en Vista
validación del archivo protegida,
Deshabilitada)
No abrir los archivos de la zona Internet en la Deshabilitada
Vista protegida
No abrir los archivos en ubicaciones no seguras Deshabilitada
en la Vista protegida
PowerPoint 2016 Microsoft PowerPoint 2016  Opciones de PowerPoint  Seguridad 
de la directiva Criptografía”
“CCN-STIC-585
Incremental
Office 2016 -
Usuarios”
Configurar el modo de cadena de cifrado Habilitada
CNG (Encadenamiento de
bloques de cifrado (CBC))
Especifica la longitud de salt CNG Habilitada (32)
Especificar algoritmo de hash CNG Habilitada (SHA512)
Especificar la compatibilidad de cifrado Habilitada
(Todos los archivos se
guardan con última
generación)
Usar una clave nueva al cambiar la Habilitada
contraseña

USO OFICIAL
Publisher 2016 de Microsoft Publisher 2016  Seguridad”
STIC-585
Incremental
Office 2016 -
Usuarios”
Nivel de seguridad de la automatización Habilitada (Mediante interfaz
de Publisher de usuario (preguntar))
Preguntar para permitir que se abran Deshabilitada
archivos dañados en lugar de bloquearlos
MS Publisher Microsoft Publisher 2016  Seguridad  Centro de confianza”
2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Bloquear la carga de complementos de la Habilitada
aplicación
Configuración de notificaciones para Habilitada (Deshabilitar
macros de VBA todo excepto las macros
aplicaciones sin firmar

USO OFICIAL
seguridad de MS Microsoft Visio 2016  Opciones de Visio  Seguridad  Centro de
Visio 2016 de la confianza”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
las macros firmadas
digitalmente)
red
confianza
aplicaciones
macros MS Visio Microsoft Visio 2016  Opciones de Visio  Seguridad  Seguridad de
2016 de la macros”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Cargar los proyectos de Microsoft Visual Basic para Habilitada
aplicaciones desde el texto
Habilitar la creación de proyectos de Microsoft Visual Deshabilitada
Basic para aplicaciones

USO OFICIAL
Word 2016 de la Microsoft Word 2016  Opciones de Word  Seguridad”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Avisar antes de imprimir, guardar o enviar un archivo Habilitada
que contenga marcas de revisión o comentarios
Guardar el número aleatorio para mejorar la Habilitada
precisión de la combinación
Mostrar la revisión oculta Habilitada
valores de centro directiva tiene los siguientes valores:
MS Word 2016 de Microsoft Word 2016  Opciones de Word  Seguridad  Centro de
STIC-585
Incremental
Office 2016 -
Usuarios”
Basic
las macros firmadas
digitalmente)
red
Deshabilitar la notificación de la barra de Habilitada
aplicaciones
Examinar macros cifradas en documentos Habilitada
de Word con formato Office Open XML (Analizar las macros cifradas
(predeterminado))

USO OFICIAL
Configuración de “Configuración de usuario  Directivas  Plantillas administrativas 
bloqueo de Microsoft Word 2016  Opciones de Word  Seguridad  Centro de
archivos de MS confianza  Configuración de bloqueo de archivos”
Word 2016 de la
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Archivos de Texto de OpenDocument Habilitada
(No bloquear)
Archivos de texto sin formato Habilitada
(No bloquear)
Archivos RTF Habilitada
(Permitir editar y abrir en la
Vista protegida)
Convertidores de Office Open XML para Habilitada
Word (No bloquear)
Convertidores heredados para Word Habilitada
Vista protegida)
Documentos de Word 2003 y XML sin Habilitada
formato (No bloquear)
Establecer el comportamiento de Habilitada
bloqueo de archivos predeterminado (Los archivos bloqueados se
abren en la Vista protegida y
no se pueden editar)
(Bloquear)
Plantillas y documentos binarios de Word Habilitada
2 y anteriores (Permitir editar y abrir en la
Vista protegida)
2000 (Bloquear)
2003 (No bloquear)
2007, y posteriores (No bloquear)
6.0 (Permitir editar y abrir en la
Vista protegida)
95 (Permitir editar y abrir en la
Vista protegida)
Vista protegida)

USO OFICIAL

Plantillas y documentos binarios de Word XP Habilitada
(No bloquear)
Plantillas y documentos de Word 2007, y posteriores Habilitada
(No bloquear)
confianza de MS Microsoft Word 2016  Opciones de Word  Seguridad  Centro de
Word 2016 de la confianza  Ubicaciones de confianza”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Word 2016 de la Microsoft Word 2016  Opciones de Word  Seguridad  Centro de
directiva “CCN- confianza  Vista protegida”
STIC-585
Incremental
Office 2016 -
Usuarios”
Abrir archivos en UNC de Intranet local en la Vista Habilitada
protegida
Desactivar la Vista protegida para los datos adjuntos Deshabilitada
abiertos desde Outlook
Establecer el comportamiento de los documentos si Habilitada
se producen errores durante la validación del archivo (Abrir en Vista
protegida,
Deshabilitada)
No abrir los archivos de la zona Internet en la Vista Deshabilitada
protegida
No abrir los archivos de ubicaciones no seguras en la Deshabilitada
Vista protegida

USO OFICIAL
Word 2016 de la Microsoft Word 2016  Opciones de Word  Seguridad  Criptografía”
directiva “CCN-
STIC-585
Incremental
Office 2016 -
Usuarios”
Configurar el modo de encadenamiento de Habilitada (Encadenamiento
cifrado CNG de bloques de cifrado (CBC))
Especificar compatibilidad de cifrado Habilitada (Guardar todos
arch. con form. próx.
generac.)
Especificar longitud de contraseña CNG con Habilitada (32)
salt
contraseña
Word 2016 de la “Configuración de usuario  Directivas  Plantillas administrativas 
directiva “CCN- Microsoft Word 2016  Varios”
STIC-585
Incremental
Office 2016 -
Usuarios”
No usar traducción automática en línea Habilitada
Usar los diccionarios de traducción en línea Deshabilitada
60. Verifique el valor Utilizando el editor de objetos de directiva de grupo, verifique que la
de Skype directiva tiene los siguientes valores:
Empresarial 2016 “Configuración de usuario  Directivas  Plantillas administrativas 
de la directiva Skype Empresarial 2016  Directivas de características de Microsoft
“CCN-STIC-585 Lync”
Incremental
Office 2016 -
Usuarios”
Impedir que los usuarios ejecuten Microsoft Lync Habilitada

USO OFICIAL
61. Verifique que Inicie sesión en el equipo Windows cliente con un usuario con privilegios
están de administrador y que se encuentre incluido en el grupo de “Usuarios de
configurados los shells”.
servicios de MS Ejecute la herramienta “Windows PowerShell (x86)” con privilegios de
Office 2016 administrador. Para ello vaya a la siguiente ruta:
“Menú inicio  Todos los programas  Windows PowerShell”
Seleccione mediante botón derecho en Windows PowerShell la opción
“Ejecutar como administrador”.
En la shell abierta ejecute services.msc.
Compruebe que los siguientes servicios se encuentran configurados en
modo manual:
– Office Source Engine
– Servicio de caché de fuentes de Windows
Nota: Dependiendo de la versión de Office instalada puede
aparecer el servicio “OSE” o “OSE64”.
Servicio (nombre corto) Servicio (nombre largo) Inicio Permiso OK/NOK

de Windows
62. Inicie sesión con Inicie sesión con un usuario que no sea administrador y cuya cuenta se
un usuario no encuentre dentro de la unidad organizativa “Usuarios Windows 10” o en
administrador al algún grupo de seguridad que esté dentro de ellas.
que le apliquen
las directivas de
Office.
63. Compruebe que Pruebe a abrir alguna de las aplicaciones de MS Office 2016, como, por
las aplicaciones de ejemplo, MS Word, MS Excel o MS PowerPoint.
MS Office 2016 Compruebe que puede crear un nuevo documento y guardarlo.
funcionan
correctamente

USO OFICIAL
64. Verifique que no Verifique que los valores fundamentales dentro del centro de confianza no
puede modificar pueden ser modificados por el usuario.
parámetros del
– Editores de confianza.
Centro de
confianza. – Ubicaciones de confianza.
– Complementos.
– Configuración de ActiveX.
– Vista protegida.
– Configuración de bloqueos de archivos.
Para acceder a la configuración de Centro de confianza hágalo abriendo
cualquiera de las aplicaciones de la suite Office, por ejemplo Word y a
través de “Archivo  Opciones”.
65. Compruebe que Proteja un documento con contraseña. Para ello acceda al menú “Archivo
puede proteger  Información  Proteger documento  Cifrar con contraseña”.
un documento
con contraseña y
que esta es
robusta.
Compruebe que no puede introducir una contraseña sencilla, inferior a 12

caracteres y que se aplican también las características de seguridad
definidas en las credenciales de la organización.

USO OFICIAL
66. Compruebe los Abra cualquiera de las aplicaciones de la suite Office, por ejemplo Word,
metadatos de los seleccione comenzar un documento en blanco y vaya al menú “Archivo 
archivos. Información  Propiedades” y compruebe que los datos corresponden a
los del usuario que inició la sesión.
67. Compruebe que la Abra cualquiera de las aplicaciones de la suite Office, por ejemplo Word, y
licencia está vaya al menú “Archivo  Cuenta” y compruebe la activación:
activada.
Nota: Aparecerá como activado si ha aplicado los pasos del “ANEXO

B.3 ACTIVACIÓN DE MS OFFICE 2016”.

USO OFICIAL
ANEXO B.2. GUÍA PASO A PASO INSTALACIÓN DE MS OFFICE 2016 CON

LICENCIA POR VOLUMEN EN UN CLIENTE INDEPENDIENTE
ANEXO B.2.1. PASO A PASO DE IMPLEMENTACIÓN SEGURA
PREPARACIÓN DEL EQUIPO CLIENTE INDEPENDIENTE

Partiendo de la premisa de que el equipo cuenta con las condiciones de seguridad necesarias para la ejecución
de los diferentes productos de la solución ofimática MS Office 2016, se debe proceder a preparar el equipo aplicando
las configuraciones de seguridad adecuadas a través de su política local. Previamente a esta configuración paso a
paso deberán haberse tenido en cuenta y aplicarse todos los procedimientos descritos en la guía CCN-STIC-599B18,
para clientes independientes.
Nota: Para este ejemplo se utilizan las capturas recogidas en un sistema operativo Windows 10 securizado
según las directrices del documento de seguridad codificado como “CCN-STIC-599B18”.
Paso Descripción
Inicie sesión en el equipo con un usuario local con privilegios de administrador y que se encuentre dentro
del grupo de “Usuarios de shells”.
Nota: Si el usuario que va a utilizar no pertenece a los grupos “Administradores” y “Usuarios

de shells” deberá incluirlo ahora.
Cree el directorio “Scripts” en la unidad “C:\”. Pulse con el botón derecho del ratón sobre un espacio en
blanco y seleccione “Nuevo  Carpeta”.
El “Control de cuentas de usuarios” le pedirá la elevación de privilegios, para ello ingrese una cuenta con
permisos de administrador.
Nota: Para crear directorios en carpetas protegidas por el sistema, el sistema le solicitará una
elevación de privilegios. Introduzca las credenciales de la cuenta con la que ha iniciado sesión.
Asigne el nombre “Scripts” al nuevo directorio.

Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una
elevación de privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la
cuenta con que ha iniciado sesión.

USO OFICIAL
Paso Descripción
de los archivos.

USO OFICIAL
Paso Descripción
Deberán copiarse las plantillas .admx y .adml de MS Office 2016 en el repositorio local del cliente, de tal
forma que se podrán realizar modificaciones de las políticas generadas.
Office 2016 Cliente Independiente - Paso1a (Español).bat”. Para ello, visualice la carpeta “C:\Scripts”
en el explorador de Windows, marque con el botón derecho el script y seleccione la opción "Ejecutar
como administrador" del menú contextual, como se muestra en la siguiente figura. En el caso de que el
sistema operativo se encuentre en inglés, ejecute el script “CCN-STIC-585 Office 2016 Cliente
Independiente - Paso1b (Inglés).bat”.



USO OFICIAL
Paso Descripción
Se producirá la copia de un total de 22 ficheros de plantilla de Office.
Pulse una tecla para continuar y finalizar la ejecución del script.

A continuación, se procederá a realizar la copia de la nueva política de seguridad local que une las
directivas del cliente independiente (Windows 10) definidas en la guía CCN-STIC-599B18 y las
correspondientes a la presente guía.
Ejecute como administrador el script “CCN-STIC-585 Office 2016 Cliente Independiente - Paso 2.bat”. El
sistema le solicitará elevación de privilegios.
Nota: Recuerde que las políticas han sido diseñadas para entornos de seguridad altamente
restrictivos. Pudiera ser que su organización utilice componentes, tales como macros u otros
elementos similares, en aplicaciones como MS Outlook. Deberá modificar las políticas para
permitir el uso de dichos componentes.

USO OFICIAL
Paso Descripción
Se realizará la copia de 5 ficheros.
Nota: Debe tener en cuenta que la nueva política reemplaza a la anterior. Si ha realizado
modificaciones de la política manualmente sobre las definidas en la guía CCN-STIC-599B18
Seguridad en Windows 10 (cliente independiente), deberá anotar las modificaciones que
hubiera efectuado y realizarlas manualmente tras la aplicación de esta nueva directiva.
Pulse una tecla para finalizar la ejecución del script.

El último paso consiste en la configuración de los servicios que se implementarán en la instalación de
MS Office 2016.
Ejecute con botón derecho la opción “Ejecutar como administrador” el script “CCN-STIC-585 Office 2016
Cliente Independiente – Paso3.bat”. El sistema le solicitará elevación de privilegios.

USO OFICIAL
Paso Descripción
Ante la solicitud en la descripción deberá pulsar una tecla cualquiera:
El paso ejecutará lo descrito más arriba y crea un fichero histórico para poderlo revisar en caso de error,
“office2016.log”:
Presione una tecla cualquiera tantas veces como le indique la ejecución.

Para finalizar, reinicie el equipo.
INSTALACIÓN DE LA SUITE MS OFFICE 2016 PROFESSIONAL PLUS EN UN

WINDOWS INDEPENDIENTE
Windows independiente, sin unir a ningún tipo de directorio activo o dominio.

USO OFICIAL
Nota: La instalación de Microsoft Office 2016 Standard es completamente análoga a la que se indica en
este punto, haciéndose notar las posibles diferencias de forma expresa. Por tanto, cuando se hace
mención a la edición Professional Plus se puede extender a Standard excepto aviso contrario.
Paso Descripción
Una vez preparado el sistema se procederá a realizar la instalación del software MS Office 2016.
Nota: En caso de disponer de una licencia individual Microsoft, desde la versión Office 2013,
solo se contempla la instalación y activación inicial desde Internet.
Más adelante, dentro de este mismo anexo, se encuentra un punto que describe los
pormenores de la activación de licencias por volumen.
Introduzca el DVD con el software MS Office 2016 en el equipo o bien conecte con una unidad de red
que contenga el programa de instalación del producto.
Nota: Los discos o imágenes de instalación de los distintos tipos de licenciamiento no son
intercambiables entre ellos. Por ejemplo, no es posible activar un Office 2016 instalado con un
DVD de Office con licencia por volumen con un código de activación de Office individual.

USO OFICIAL
Paso Descripción
Vaya a la carpeta raíz del DVD y ejecute la aplicación “setup.exe”.
Nota: Dependiendo del software que haya adquirido, puede observar ciertas diferencias en las
carpetas presentes ya que se puede encontrar con el DVD, o imagen descargada desde
Microsoft, de la edición de 64 bits, la edición de 32 bits, o la que incluye ambas.
Esta guía tiene en cuenta que el sistema operativo con el que cuenta el cliente es de 64 bits
por lo que puede optar por cualquiera de las dos. Microsoft indica entre sus recomendaciones
que, de no tener una necesidad expresa, instale en todas las ocasiones la versión de 32 bits, si
bien le limitará en el tamaño de los ficheros a manejar en Excel y Project le proporcionará
mayor compatibilidad con otras aplicaciones, desarrollo o módulos. Puede ver esta
recomendación en la siguiente URL:
https://support.office.com/es-es/article/elegir-entre-la-versi%C3%B3n-de-64-o-la-de-32-bits-
de-office-2dee7807-8f95-4d0c-b5fe-6c6f49b8d261
Si utiliza el DVD o imagen descargada de Microsoft, que incluye las dos ediciones (32/64 bits),
si ejecuta el fichero setup.exe que se encuentra en la raíz o en la carpeta x86 del DVD, la
instalación que se realiza es la de 32 bits y si ejecuta setup.exe desde la subcarpeta x64 lo hará
la edición análoga a ese nombre.
Por todo lo expuesto, en esta guía se ha optado por la instalación de Microsoft Office 2016
Professional Plus, edición de 32 bits, a partir de la imagen tipo iso (bajada del repositorio de
Microsoft para licencias por volumen) que incluye las dos ediciones, 32 y 64 bits.

USO OFICIAL
Paso Descripción
Para la instalación de la aplicación, es necesario superar el control de cuentas de usuario, introduciendo
las credenciales del usuario con privilegios.
Se ejecutará el asistente de instalación de la solución.

De las opciones disponibles, deberá hacer uso de “Personalizar”. Si optara por la opción “Instalar ahora”
se realizaría una instalación predeterminada sin poder seleccionar las aplicaciones que realmente
necesite ni sus opciones.

USO OFICIAL
Paso Descripción
Una vez que haya seleccionado la instalación personalizada, deberá proporcionar detalles adicionales
para el proceso de instalación.
En la primera de las pestañas, “Opciones de instalación”, deberá determinar las aplicaciones que
deberán instalarse del paquete ofimático Microsoft Office Professional Plus 2016.
Por cada una de las aplicaciones deberá tener en cuenta las siguientes opciones de instalación (accederá
a ellas si pulsa sobre el icono de disco duro que hay presente delante de cada una de ellas):
– “Ejecutar desde mi PC: Se instalarán parte de los componentes del producto seleccionado.
– “Ejecutar todo desde mi PC”: Se instalarán todos los componentes del producto seleccionado.
– “Instalar al utilizar por primera vez”: El producto se encontrará preinstalado, pero se acabará de
completar el proceso de instalación cuando se ejecute la aplicación la primera vez.
– “No disponible”: El producto no se instalará ni se preinstalará. Para hacer uso posterior será
necesario disponer del DVD de instalación.
Aquellos productos que, como “Características compartidas de Office” (en la imagen siguiente), se
encuentren sombreados en gris indican que se instalarán solo algunos de sus componentes. Si el icono
del disco duro se encontrara sobre fondo blanco, como el caso de “Microsoft OneNote” (en la imagen
siguiente), indica que se instalarán todos sus componentes.

USO OFICIAL
Paso Descripción
Seleccione, por cada componente que quiera instalar, la opción “Ejecutar todo desde mi PC”, luego
desmarque aquellos componentes que no quiera utilizar por medio de la selección de la opción “No
disponible”. Tenga en cuenta que solo deberá instalar aquellas aplicaciones indispensables para el uso
del equipo de destino.
En las selecciones de los componentes, deberá tener en cuenta las necesidades de la organización y de
los usuarios a los que se destina la suite. No deberá seleccionar nada más que los productos
estrictamente necesarios. Esto reduce la superficie de ataque sobre el sistema, minimizando además los
costes de administración implícitos que lleva el tener más productos instalados. Toda la información
correspondiente a las diferentes aplicaciones disponibles durante el proceso de instalación, se
encuentra detallado en el documento principal de esta guía en el punto “Productos y componentes del
proceso de instalación de MS Office 2016”.
Nota: No deberá nunca hacer uso de la opción “Instalar al utilizar la primera vez”.
En este caso, se atenderá al citado punto de esta guía y no se instalarán los siguientes productos: Access,
OneDrive para la Empresa, OneNote, Publisher, Visio Viewer ni Skype Empresarial. El aspecto final, según
lo indicado, será como el que se muestra en las siguientes imágenes.
Nota: Cada instalación variará según las condiciones del puesto al que vaya a dar servicio el
equipo o las condiciones de la empresa, la selección hecha es un mero ejemplo.
Tenga en cuenta que Office Standard no incluye todos los productos de la suite.

USO OFICIAL
Paso Descripción
En la segunda de las pestañas, “Ubicación de archivos”, se establece la ruta para la instalación del
producto. Mantenga la ruta establecida por defecto si no dispone de una política de instalaciones
específica en su entidad.

En la pestaña “Información del usuario”, debe introducir los datos de identificación del usuario habitual.
Debe tener en cuenta que estos datos son utilizados para identificar, entre otras cosas, la persona que
realiza cambios en un documento de MS Office. Todos los ficheros generados a partir de las aplicaciones
de MS Office 2016 contarán con dichos datos, como metadatos del archivo. Si introduce aquí datos
identificativos, deberá hacerse uso de procesos de limpieza de metadatos, que se muestran en pasos
posteriores en la presente guía, para aquellos documentos que deban hacerse públicos. Esta práctica
evita que trascienda información excesiva, que podría ser utilizada para caracterizar su sistema por parte
de un supuesto atacante. No debe descartar, en caso de seguridad avanzada, dejar los campos en blanco.
Presione el botón “Instalar ahora” para continuar.
Nota: La información que se muestra es la del usuario que tiene iniciada la sesión en el sistema
operativo. Puede completarse con los datos de cualquier usuario.
Cuando un usuario distinto utilice Office 2016, desde este equipo, se agregarán sus datos de
sesión en vez de los que se indiquen en esta ventana.

USO OFICIAL
Paso Descripción
Comenzará el progreso de la instalación, que tardará varios minutos (dependiendo de las capacidades
del equipo y de los productos seleccionados), especialmente hasta que comience a moverse la barra de
progreso.
Una vez se completa la barra de progreso, el proceso de instalación dedica varios minutos más para
completar la instalación. No aborte la instalación por ningún medio, espere a su finalización.
Una vez completado el proceso de instalación, sería adecuado proceder a la aplicación de actualizaciones
con las opciones disponibles por la organización (MS WSUS o instalación de actualizaciones manuales).
En “Menú inicio” se habrán instalado los accesos directos pertinentes.

USO OFICIAL
Paso Descripción
Por último, se vuelven a configurar los permisos de los servicios que haya podido modificar Office en su
instalación. Para ello vaya a la ruta “C:\Scripts” y pulse con botón derecho la opción “Ejecutar como
administrador” el script “CCN-STIC-585 Office 2016 Cliente Independiente – Paso 3.bat”. El sistema le
solicitará elevación de privilegios.
Ante la solicitud en la descripción deberá pulsar una tecla cualquiera.
Presione una tecla cualquiera tantas veces como le indique la ejecución.

USO OFICIAL
Paso Descripción
A continuación, reinicie el equipo para asegurar que las directivas de Microsoft Office han sido aplicadas
en el equipo y se aplicarán en los usuarios que van a utilizarlo.
Nota: Tenga en cuenta que este paso es indispensable, aunque no es solicitado por el proceso
de instalación.
PRIMER ARRANQUE DE UNA DE LAS APLICACIONES DE LA SUITE OFFICE 2016

PROFESSIONAL PLUS
Una vez completada la instalación, es posible proceder a utilizar las aplicaciones de la suite.
Los pasos que se describen en el punto de este anexo son opcionales ya que no se realiza acción alguna.
Lo indicado en esta sección para Office Professional Plus es completamente análogo para el caso de Office
Standard.
Paso Descripción
Para el siguiente paso, se debe utilizar una cuenta de local que no disponga de permisos administrativos,
por ejemplo, cualquiera que únicamente pertenezca al grupo local “Usuarios”.
Nota: En este ejemplo se utiliza el usuario “Usuario1001”, cuenta sin permisos administrativos.
Una vez finalizado el proceso será necesario la comprobación de la configuración del producto.
Abra una de las aplicaciones, por ejemplo, Word.

USO OFICIAL
Paso Descripción
Atención, si lo que le apareciese fuese esta ventana sería debido a que está utilizando un usuario que
no está incluido en una unidad organizativa que tenga aplicada la directiva de Office objeto de esta guía
o que por algún problema técnico no se aplicó de forma adecuada.
Si es consciente y desea continuar debería hacerlo con la opción “Preguntarme más tarde” para evitar
la conexión a Internet. Posteriormente se le mostrarán más ventanas de presentación y un vídeo
animado.
Si no le ha salido esta ventana de este tipo, continúe con el paso siguiente.
Se mostrará la ventana de “Asistente para la activación de Microsoft Office”. Se procederá a activar el
producto más adelante, pulse “Cancelar”.
días que restan hasta cumplir el plazo que ofrece Microsoft.

USO OFICIAL
Paso Descripción
Ya será posible utilizar el producto. Abra, por ejemplo, un documento en blanco:
Nota: Si le aparece una ventana de necesidad de activación vaya al punto siguiente.
Si se mostrase la ventana que informa de la falta de activación del producto es debido a que ha vencido
el tiempo de gracia que ofrece Microsoft entre la instalación y la introducción de la clave para legalizar
el producto.
Por ahora, es posible cerrar la ventana de aviso haciendo clic en el botón “Cerrar”.
días que restan hasta cumplir el plazo que ofrece Microsoft. Si no le aparece el aviso, podría
ser porque se hayan desactivado ese tipo de notificaciones por el administrador de su red.
Ahora ya se podrá utilizar Word, por ejemplo. Si se continúa en el caso del paso anterior, estará visible
de forma permanente un mensaje de aviso.
Nota: Una vez alcanzado este punto puede ser que ciertas funcionalidades de Microsoft Office
estén deshabilitadas hasta que no se active el producto.

USO OFICIAL
Paso Descripción
Se pueden observar que las directivas se han aplicado, para ello acuda al menú “Insertar” y se observa
que ciertas funciones están desactivadas, por ejemplo, en la siguiente imagen se muestran dos funciones
que requieren acceso a Internet que no se encuentran activadas.
Si acude al menú “Archivo  Cuenta” se observa el estado de activación de la licencia. Aquí se muestran
dos estados posibles: licencia a la espera de activación en plazo (fondo amarillo) y activación no realizada
en plazo (fondo rosa).
Nota: Una vez que el mensaje pasa a rosa se mostrará, durante todo el tiempo que se trabaje
con los productos de Office, una barra roja de necesidad de activación al ser software ilegal.
Cierre los programas de Office que pudieran estar abiertos. MS Office 2016 ya se encontrará instalado y
preparado para su uso.
Elimine la carpeta “C:\Scripts” del equipo.
Ahora puede ir a la sección “LISTA DE COMPROBACIÓN DE SEGURIDAD DE MS OFFICE 2016
IMPLEMENTADO EN CLIENTE INDEPENDIENTE”

USO OFICIAL

IMPLEMENTADO EN CLIENTE INDEPENDIENTE
Este anexo se ha diseñado para ayudar a los operadores a verificar que se han aplicado las distintas
configuraciones de seguridad de la presente guía.
Para realizar algunas de las comprobaciones necesitará ejecutar diferentes consolas de administración y
herramientas del sistema. Las consolas y herramientas que se utilizarán son las siguientes:
a) Explorador de Windows.
b) PowerShell.
c) Editor de políticas de grupo locales.
d) Consola de servicios.
1. Inicie sesión en el Inicie sesión en el equipo Windows cliente con un usuario con privilegios
puesto de trabajo de administrador y que se encuentre incluido en el grupo local de
y ejecute el editor “Usuarios de shells”.
de Políticas de Ejecute la herramienta Windows PowerShell (x86) con privilegios de
Grupo. administrador. Para ello vaya a la siguiente ruta:
“Menú inicio  Windows PowerShell”
Seleccione mediante botón derecho en Windows PowerShell (x86) la
opción “Ejecutar como administrador”.
En la shell abierta ejecute “gpedit.msc”.
Nota: El sistema le solicitará elevación de privilegios, facilite al

Control de cuentas de usuarios las credenciales de un usuario
administrador local del equipo.

seguridad de MS “Configuración del equipo  Plantillas administrativas  Microsoft
Office 2016 para Office 2016 (Equipo)  Configuración de seguridad”
el equipo.
Deshabilitar el almacenamiento en caché de Habilitada
contraseñas
Deshabilitar reparación de paquetes Habilitada
de confianza de “Configuración de usuario  Plantillas administrativas  Microsoft
MS Access 2016 Access 2016  Configuración de la aplicación  Seguridad  Centro de
de Usuario confianza”
Configuración de notificaciones para macros de VBA Habilitada
(Deshabilitar
todas con
notificación)

USO OFICIAL

Deshabilitar la notificación de la barra de confianza Habilitada
para complementos de aplicaciones sin firmar y
bloquearlos
Deshabilitar todos los complementos de aplicaciones Deshabilitada
Establecer el número máximo de registros de Habilitada (1000)
confianza que se conservará
Requerir que un editor de confianza firme los Habilitada
complementos de las aplicaciones
Ubicaciones de MS “Configuración de usuario  Plantillas administrativas  Microsoft
Access 2016 de Access 2016  Configuración de la aplicación Seguridad Centro de
usuario confianza  Ubicaciones de confianza”
criptografía de MS “Configuración de usuario Plantillas administrativas Microsoft
Access 2016 de Access 2016  Configuración de la aplicación Seguridad 
usuario Criptografía”
con sal
herramientas de “Configuración de usuario  Plantillas administrativas Microsoft
seguridad de MS Access 2016  Herramientas | Seguridad”
Access 2016 de
usuario
Solamente decisión de confianza modal Deshabilitada
seguridad de MS “Configuración de usuario  Plantillas administrativas  Microsoft Excel
Excel 2016 de 2016  Opciones de Excel Seguridad”
usuario
Desactivar la validación de documento Deshabilitada
Examinar macros cifradas en libros de Habilitada (Examinar macros
formato Open XML de Excel cifradas (predeterminado))
Forzar extensión de archivo para que Habilitada (Hacer coincidir
coincida con el tipo de archivo siempre el tipo de archivo)
Realizar la validación de documento en las Habilitada (Realizar siempre
memorias caché dinámicas la validación)

USO OFICIAL

de confianza de “Configuración de usuario  Plantillas administrativas  Microsoft Excel
MS Excel 2016 de 2016  Opciones de Excel  Seguridad  Centro de confianza”
usuario
Almacenar macro en libro de macros personal Deshabilitada
de forma predeterminada
Confiar en el acceso a proyectos de Visual Basic Deshabilitada
Configuración de notificaciones para macros de Habilitada
VBA (Deshabilitar todas las
macros excepto las
confianza para complementos de aplicaciones
sin firmar y bloquearlos
Requerir que un editor de confianza firme los Deshabilitada
complementos de aplicaciones
configuración de “Configuración de usuario  Plantillas administrativas  Microsoft Excel
bloqueo de 2016  Opciones de Excel  Seguridad  Centro de confianza 
archivos de MS Configuración de bloqueo de archivos”
Excel 2016 de
usuario
Excel
Excel 2007 y posteriores
Excel 97-2003
apertura)
apertura)
apertura)
Archivos de conexión de datos de Habilitada (No bloquear)
Microsoft Office
Archivos de consulta de Microsoft Habilitada (No bloquear)
Office
Archivos de cubo sin conexión Habilitada (Abrir y guardar
apertura)

USO OFICIAL

Archivos de dBase III / IV Habilitada (Abrir y guardar
apertura)
Archivos de hoja de cálculo de Habilitada (Abrir y guardar
OpenDocument bloqueados; usar directiva de
apertura)
Archivos de texto Habilitada (No bloquear)
Archivos Dif y Sylk Habilitada (Guardar bloqueado)
Archivos XML Habilitada (No bloquear)
Convertidores de Microsoft Office Habilitada (No bloquear)
Open XML para Excel
Convertidores heredados para Habilitada (No bloquear)
Excel
Establecer comportamiento Habilitada (Los archivos bloqueados
predeterminado de bloqueo de se abren en Vista protegida y se
archivos pueden editar)
apertura)
apertura)
apertura)
Libros binarios de Excel 2007 y Habilitada (No bloquear)
posteriores
apertura)
apertura)
Libros y plantillas de Excel 2007 y Habilitada (No bloquear)
posteriores
Libros y plantillas de Excel 95-97 Habilitada (Abrir y guardar
apertura)
Libros y plantillas de Excel 97-2003 Habilitada (No bloquear)
Libros y plantillas habilitados para Habilitada (No bloquear)
macros de Excel 2007 y
posteriores
Otros archivos de orígenes de Habilitada (Abrir y guardar
datos bloqueados; usar directiva de
apertura)
Páginas web y hojas de cálculo Habilitada (Permitir la edición y
XML de Excel 2003 apertura en Vista protegida)
configuración de “Configuración de usuario  Plantillas administrativas  Microsoft Excel
ubicaciones de 2016  Opciones de Excel  Seguridad  Centro de confianza 
confianza MS Ubicaciones de confianza”

USO OFICIAL

Excel 2016 de
usuario
confianza
protegida de MS “Configuración de usuario  Plantillas administrativas  Microsoft Excel
Excel 2016 de 2016  Opciones de Excel  Seguridad  Centro de confianza  Vista
usuario protegida”
Abrir archivos de UNC de intranet local en Deshabilitada
Vista protegida
Desactivar Vista protegida para los datos Deshabilitada
adjuntos abiertos en Outlook
Establecer el comportamiento del Habilitada (Bloquear
documento en caso de error en la archivos, Deshabilitada)
validación de documento
No abrir archivos de la zona de Internet en Deshabilitada
Vista protegida
No abrir archivos de ubicaciones inseguras Deshabilitada
en Vista protegida
criptografía de MS “Configuración de usuario  Configuración del usuario  Plantillas
Excel 2016 de administrativas  Microsoft Excel 2016  Opciones de Excel 
usuario Seguridad  Criptografía”
Configurar modo de encadenamiento Habilitada (Encadenamiento de
de cifrado CNG bloques de cifrado (CBC))
Especificar longitud de contraseña Habilitada (32)
CNG con sal
Usar nueva clave cuando cambie la Habilitada
contraseña
Excel 2016 de “Configuración de usuario  Plantillas administrativas  Microsoft Excel
usuario 2016  Varios”
Configuración de seguridad de la función Habilitada (Permitir UDF
definida por el usuario (UDF) OLAP seguras únicamente)
No almacenar archivos de red en la Habilitada
memoria caché local

USO OFICIAL
valores de Ayuda directiva tiene los siguientes valores:
de MS Office 2016 “Configuración de usuario  Plantillas administrativas  Microsoft
de usuario Office 2016  Ayuda”
Búsqueda federada para obtener ayuda Deshabilitada
Configuración de “Configuración de usuario  Plantillas administrativas  Microsoft
seguridad de MS Office 2016  Configuración de seguridad”
Office 2016 de
usuario
Cargar controles en Formularios3 Habilitada (4)
Cifrar propiedades del documento Habilitada
Comprobar objetos ActiveX Habilitada (Invalidar lista de
bits de cierre de IE)
Comprobar objetos OLE Habilitada (Lista de
permitidos estricta)
Comprobar proveedores de orígenes de Habilitada
datos de OWC
Comprobar servidores RTD de Excel Habilitada
Desactivar el informe de errores para los Habilitada
archivos con errores de validación
Desactivar interfaz de usuario de Deshabilitada
configuración de cifrado de archivos PDF

USO OFICIAL

Deshabilitar todas las notificaciones de la Deshabilitada
barra de confianza para problemas de
seguridad
Deshabilitar todo ActiveX Habilitada
Deshabilitar VBA para aplicaciones de Deshabilitada
Office
Establecer el tiempo de espera de dominio Habilitada (4000)
de reglas de contraseña
Establecer formato hash de contraseña Habilitada
compatible con ISO
Establecer longitud mínima de contraseña Habilitada (12)
Establecer nivel de reglas de contraseña Habilitada (Comprobaciones
de directiva de dominio,
complejidad local y longitud
local)
Impedir que Word y Excel carguen Habilitada
extensiones de código administrado
Inicialización del control ActiveX Habilitada (6)
Proteger los metadatos del documento Habilitada
para archivos protegidos con contraseña
Proteger metadatos del documento para Habilitada
los archivos Office Open XML con derechos
administrados
Seguridad de automatización Habilitada (Usar nivel de
seguridad de macro de
aplicación)
Suprimir advertencias de hipervínculo Deshabilitada
de confianza de “Configuración de usuario  Plantillas administrativas  Microsoft
MS Office 2016 de Office 2016  Configuración de seguridad  Centro de confianza”
usuario
Permitir la mezcla de ubicaciones de Deshabilitada
usuario y de directiva
valores de los directiva tiene los siguientes valores:
centros de “Configuración de usuario  Plantillas administrativas  Microsoft
confianza de MS Office 2016  Configuración de seguridad  Centro de confianza 
Office 2016 de Catálogos de confianza”
usuario
Bloquear complementos web Habilitada
Bloquear Tienda Office Habilitada
valores de firmas directiva tiene los siguientes valores:
digitales de MS “Configuración de usuario  Plantillas administrativas  Microsoft
Office 2016 de Office 2016  Configuración de seguridad  Firmas digitales”
usuario

USO OFICIAL

Comprobar las partes XAdES de una firma Habilitada
digital
Configurar algoritmo hash de marca de Habilitada (SHA512)
tiempo
Configurar el algoritmo de hash heredado Habilitada (SHA256)
Configurar el algoritmo de hash no válido Habilitada (MD5)
Especificar el nivel mínimo de XAdES para Habilitada (XAdES-X-L)
la generación de firmas digitales
Establecer nivel de comprobación de Habilitada (Reglas de Office
firmas 2013)
Establecer tiempo de espera del servidor Habilitada (5)
de marca de tiempo
Nivel de XAdES requerido para la Habilitada (XAdES-X-L)
generación de firmas
No permitir certificados expirados al Habilitada
validar firmas
Requerir OCSP al generarse las firmas Habilitada
Seleccionar algoritmo hash de firma digital Habilitada (SHA512)
valores para la directiva tiene los siguientes valores:
descarga de “Configuración de usuario  Plantillas administrativas  Microsoft
componentes de Office 2016  Descargando componente de Framework”
Framework de MS
Office 2016 de
usuario
Ocultar los hipervínculos de descarga de los Deshabilitada
componentes que faltan
valores del directiva tiene los siguientes valores:
contenido en “Configuración de usuario  Plantillas administrativas  Microsoft
línea de MS Office Office 2016  Herramientas | Opciones | General | Opciones de
2016 de usuario servicios  Contenido en línea”
Opciones de contenido en línea Habilitada (No permitir que Office se
conecte a Internet)
opciones web de “Configuración de usuario  Plantillas administrativas  Microsoft
MS Office 2016 de Office 2016  Herramientas | Opciones | General | Opciones Web…”
usuario
Deshabilitar plantillas web en Archivo | Nuevo y en la Habilitada
pantalla de inicio de Office
Ocultar todas las plantillas proporcionadas por Office Deshabilitada
en la pantalla de inicio de Office y en Archivo | Nuevo
archivos de “Configuración de usuario  Plantillas administrativas  Microsoft
opciones web de Office 2016  Herramientas | Opciones | General | Opciones Web… 
Archivos”

USO OFICIAL

MS Office 2016 de
usuario
Abrir documento de Office directamente en la aplicación Habilitada
de Office
recolección de “Configuración de usuario  Plantillas administrativas  Microsoft
datos de la Office 2016  Herramientas | Opciones | Ortografía  Revisión de la
revisión recolección de datos”
ortográfica de MS
Office 2016 de
usuario
Mejorar herramientas de corrección Deshabilitada
presentación en “Configuración de usuario  Plantillas administrativas  Microsoft
línea de MS Office Office 2016  Presentar en línea”
2016 de usuario
Impedir que los usuarios agreguen servicios de Habilitada
presentación en línea en PowerPoint y Word
Quitar el servicio de presentaciones de Office de la lista de Habilitada
servicios de presentaciones en línea de PowerPoint y Word
Restringir el acceso mediante programación para crear Habilitada
presentaciones en línea en PowerPoint y Word

USO OFICIAL
primera vista de “Configuración de usuario  Plantillas administrativas  Microsoft
MS Office 2016 de Office 2016  Primera vista”
usuario
Deshabilitar la primera ejecución de Office Habilitada
al iniciar la aplicación
Deshabilitar primera ejecución de vídeo Habilitada
valores centro de directiva tiene los siguientes valores:
confianza de MS “Configuración de usuario  Plantillas administrativas  Microsoft
Office 2016 de Office 2016  Privacidad  Centro de confianza”
usuario
Deshabilitar el Asistente para participar la Habilitada
primera vez que se ejecute
Enviar comentarios de Office Deshabilitada
Enviar información personal Deshabilitada
Habilitar programa de mejora de Deshabilitada
experiencia del cliente
Recibir automáticamente pequeñas Deshabilitada
actualizaciones para mejorar la
confiabilidad
servicios de fax “Configuración de usuario  Plantillas administrativas  Microsoft
MS Office 2016 de Office 2016  Servicios  Fax”
usuario
Deshabilitar la característica Fax de Habilitada
Internet
Office 2016 de “Configuración de usuario Plantillas administrativas Microsoft Office
usuario 2016 Varios”
Bloquear inicio de sesión en Office Habilitada
(Ninguno permitido)
Mostrar inicio de sesión OneDrive Deshabilitada
Suprimir el cuadro de diálogo Habilitada
Configuración recomendada

USO OFICIAL
contraseña de MS “Configuración de usuario Plantillas administrativas Microsoft
OneNote 2016 de OneNote 2016 Opciones de OneNote Contraseña”
usuario
Bloquear las secciones protegidas con contraseña Habilitada
después de que el usuario no haya trabajado en ellas
durante un tiempo
Bloquear las secciones protegidas por contraseña en Habilitada
cuanto salga de ellas
Deshabilita el acceso de complementos a secciones Habilitada
protegidas con contraseña
Deshabilitar las secciones protegidas con contraseña Deshabilitada
de confianza de “Configuración de usuario Plantillas administrativas Microsoft
MS OneNote 2016 OneNote 2016 Opciones de OneNote Seguridad Criptografía”
de usuario
Configurar modo de encadenamiento Habilitada
de cifrado CNG (Encadenamiento de bloques de
cifrado (CBC))
Especificar algoritmo hash CNG Habilitada
(SHA512)
Especificar compatibilidad de cifrado Habilitada
(Guardar todos arch. con form.
próx. generac.)
Especificar longitud de contraseña Habilitada
CNG con sal (32)
seguridad de MS “Configuración de usuario Plantillas administrativas Microsoft
Outlook 2016 de Outlook 2016 Seguridad”
usuario
Configurar nivel de confianza del Habilitada
complemento (Confiar en todos los
complementos COM
cargados e instalados)
Deshabilitar 'Recordar contraseña' para Habilitada
cuentas de correo electrónico de Internet

USO OFICIAL

Permitir formularios de uso único de Active Habilitada
X (Permitir solo controles
seguros)
Usar Vista protegida para datos adjuntos Habilitada
recibidos de remitentes internos
MS Outlook 2016 Outlook 2016 Seguridad Centro de confianza”
de usuario
Aplicar la configuración de seguridad de macros a Habilitada
macros, complementos y acciones adicionales
Configuración de seguridad para macros Habilitada
(Advertir siempre)
Permitir hipervínculos en mensajes de correo Deshabilitada
electrónico sospechosos de ser mensajes de
suplantación de identidad (phishing)
configuración de “Configuración de usuario Plantillas administrativas Microsoft
descarga de Outlook 2016 Seguridad Configuración de descarga de imágenes
imágenes automáticas”
automáticas de
MS Outlook 2016
de usuario
Bloquear zonas de confianza Deshabilitada
Descargar automáticamente el contenido para el Habilitada
correo electrónico de personas en las listas de
remitentes y destinatarios seguros
Incluir Internet en las zonas seguras para la descarga Deshabilitada
de imágenes automática
Mostrar imágenes y contenido externo en correo Deshabilitada
electrónico HTML
No permitir la descarga de contenido desde zonas Deshabilitada
seguras

USO OFICIAL
configuración del “Configuración de usuario Plantillas administrativas Microsoft
formulario de Outlook 2016 Seguridad Configuración del formulario de seguridad”
seguridad de MS
Outlook 2016 de
usuario
Modo de Habilitada (Usar formulario de seguridad de la
seguridad de carpeta pública 'Configuración de seguridad de
Outlook Outlook')
seguridad de los “Configuración de usuario Plantillas administrativas Microsoft
datos adjuntos de Outlook 2016 Seguridad Configuración de formulario de seguridad
MS Outlook 2016 Seguridad de datos adjuntos”
de usuario
Agregar extensiones de archivo al bloque como Deshabilitada
nivel 1
Mostrar datos adjuntos de nivel 1 Deshabilitada
Mostrar objetos de paquete OLE Deshabilitada
No preguntar acerca de los datos adjuntos de nivel Deshabilitada
1 cuando se cierra un elemento
No preguntar acerca de los datos adjuntos de nivel Deshabilitada
1 cuando se envía un elemento
Permitir a los usuarios disminuir el nivel de los Deshabilitada
datos adjuntos al nivel 2
Quitar extensiones de archivo bloqueadas como Deshabilitada
nivel 1
seguridad de “Configuración de usuario Plantillas administrativas Microsoft
formulario Outlook 2016 Seguridad Configuración de formulario de seguridad
personalizada de Seguridad de formulario personalizada”
MS Outlook 2016
de usuario
Establecer la solicitud de ejecución de Habilitada
acciones personalizadas del modelo de (Preguntar al usuario)
objetos de Outlook
Permitir scripts en formularios de uso único Deshabilitada
de Outlook

USO OFICIAL
programación de Outlook 2016 Seguridad Configuración de formulario de seguridad
MS Outlook 2016 Seguridad de programación”
de usuario
de Outlook al ejecutar Guardar como automáticamente)
de Outlook al enviar correo automáticamente)
de Outlook al leer la información de la automáticamente)
dirección
de Outlook al obtener acceso a la automáticamente)
propiedad Formula de un objeto
UserProperty
de Outlook al obtener acceso a una libreta automáticamente)
de direcciones
de Outlook al responder a convocatorias de automáticamente)
reunión y solicitudes de tarea
valores directiva tiene los siguientes valores:
criptografía de MS “Configuración de usuario Plantillas administrativas Microsoft
Outlook 2016 de Outlook 2016 Seguridad Criptografía”
usuario
Advertencia de firma Habilitada
(Advertir siempre sobre las
firmas no válidas)
Comportamiento de solicitud de Habilitada
confirmación S/MIME (Preguntar siempre antes de
enviar la confirmación)
Configuración de cifrado mínimo Habilitada (40)
Ejecutar en modo compatible FIPS Deshabilitada
Enviar todos los mensajes firmados como Habilitada
mensajes firmados con firma transparente
Formatos de mensaje Habilitada
(S/MIME, Exchange y
Fortezza)
Habilitar iconos de criptografía Habilitada

USO OFICIAL

Interoperabilidad S/MIME con clientes Habilitada
externos: (Administrar si es posible)
Las respuestas o los reenvíos para Habilitada
mensajes firmados o cifrados se firman o
cifran
No comprobar direcciones de correo Deshabilitada
electrónico con direcciones de certificados
en uso
No mostrar el botón 'Publicar en GAL' Habilitada
No proporcionar la opción Continuar en los Habilitada
cuadros de diálogo de advertencia de
cifrado
Requerir algoritmos SuiteB para Habilitada
operaciones S/MIME
Usar siempre el formato TNEF en mensajes Habilitada
S/MIME
39. Verifique los Utilizando el editor de objetos de directiva de grupo,
valores de verifique que la directiva tiene los siguientes valores:
seguridad de los “Configuración de usuario Plantillas administrativas
cuadros de
Microsoft Outlook 2016 Seguridad Criptografía Cuadro
diálogo de estado
de la firma de de diálogo de estado de la firma”
aplicación
Microsoft Outlook
2016 de usuario
Aumentar el nivel de los errores de nivel 2, Deshabilitada
no de los avisos
Faltan certificados raíz Habilitada (Error)
Faltan listas CRL Habilitada (Error)
Recuperando listas CRL (Listas de Habilitada
revocación de certificados) (Usar predeterminado del
sistema)
Microsoft PowerPoint 2016 Opciones de PowerPoint Seguridad”
PowerPoint 2016
de usuario
Desbloquear descarga automática de Deshabilitada
imágenes vinculadas

USO OFICIAL

Ejecutar programas Habilitada
(habilitar (preguntar al
usuario antes de ejecutar))
Examinar macros cifradas en presentación Habilitada
de PowerPoint de formato Office Open (Analizar las macros cifradas
XML (predeterminado))
Mostrar la revisión oculta Deshabilitada
Microsoft PowerPoint 2016 Opciones de PowerPoint Seguridad Centro de
PowerPoint 2016 confianza”
de usuario
Basic
las macros firmadas
digitalmente)
Desactivar Documentos confiables Habilitada
red
aplicaciones
configuración de “Configuración de usuario Plantillas administrativas Microsoft
bloqueo de PowerPoint 2016 Opciones de PowerPoint Seguridad Centro de
archivos de confianza Configuración de bloqueo de archivos”
Microsoft
PowerPoint 2016
de usuario
Archivos beta de PowerPoint Habilitada
la Vista protegida)
Archivos de esquema Habilitada
(No bloquear)
Archivos de presentación de OpenDocument Habilitada
la Vista protegida)
Convertidores beta de PowerPoint Habilitada

USO OFICIAL

la Vista protegida)
Convertidores de Microsoft Office Open XML Habilitada
para PowerPoint (Abrir o guardar
abierta)
Convertidores heredados para PowerPoint Habilitada
(Abrir o guardar
abierta)
Establecer comportamiento predeterminado Habilitada
de bloqueo de archivos (Los archivos bloqueados
se abren en Vista
protegida y se pueden
editar)
Filtros gráficos Habilitada
(No bloquear)
la Vista protegida)
Presentaciones de PowerPoint 97-2003, Habilitada
plantillas y archivos de complementos (Permitir editar y abrir en
la Vista protegida)
Presentaciones, plantillas, temas y archivos Habilitada
de complementos de PowerPoint 2007 y (No bloquear)
versiones posteriores
Ubicaciones de “Configuración de usuario Plantillas administrativas Microsoft
confianza de MS PowerPoint 2016 Opciones de PowerPoint Seguridad Centro de
PowerPoint 2016 confianza Ubicaciones de confianza”
de usuario
valores de Vista directiva tiene los siguientes valores:
protegida de MS “Configuración de usuario Plantillas administrativas Microsoft
PowerPoint 2016 PowerPoint 2016 Opciones de PowerPoint Seguridad Centro de
de usuario confianza Vista protegida”

USO OFICIAL

Abrir los archivos en UNC de intranet local Habilitada
en la Vista protegida
Desactivar la Vista protegida para datos Deshabilitada
documentos si se producen errores (Abrir en Vista protegida,
durante la validación del archivo Deshabilitada)
No abrir los archivos de la zona Internet en Deshabilitada
la Vista protegida
No abrir los archivos en ubicaciones no Deshabilitada
seguras en la Vista protegida
criptografía de MS “Configuración de usuario Plantillas administrativas Microsoft
PowerPoint 2016 PowerPoint 2016 Opciones de PowerPoint Seguridad Criptografía”
de usuario
Configurar el modo de cadena de cifrado Habilitada
CNG (Encadenamiento de
bloques de cifrado (CBC))
Especifica la longitud de salt CNG Habilitada (32)
Especificar la compatibilidad de cifrado Habilitada
(Todos los archivos se
guardan con última
generación)
contraseña
seguridad de MS “Configuración de usuario Plantillas administrativas Microsoft
Publisher 2016 de Publisher 2016 Seguridad”
usuario
Nivel de seguridad de la automatización de Habilitada (Mediante
Publisher interfaz de usuario
(preguntar))
Preguntar para permitir que se abran Deshabilitada
archivos dañados en lugar de bloquearlos

USO OFICIAL
MS Publisher Publisher 2016 Seguridad Centro de confianza”
2016 de usuario
Bloquear la carga de complementos de la Habilitada
aplicación
Configuración de notificaciones para Habilitada (Deshabilitar todo
macros de VBA excepto las macros firmadas
digitalmente)
aplicaciones sin firmar
de confianza de “Configuración de usuario Plantillas administrativas Microsoft Visio
seguridad de MS 2016 Opciones de Visio Seguridad Centro de confianza”
Visio 2016 de
usuario
las macros firmadas
digitalmente)
red
confianza
aplicaciones

USO OFICIAL
seguridad de “Configuración de usuario Plantillas administrativas Microsoft Visio
macros MS Visio 2016 Seguridad Seguridad de macros”
2016 de usuario
Cargar los proyectos de Microsoft Visual Basic para Habilitada
aplicaciones desde el texto
Habilitar la creación de proyectos de Microsoft Visual Deshabilitada
Basic para aplicaciones
seguridad de MS “Configuración de usuario Plantillas administrativas Microsoft Word
Word 2016 de 2016 Opciones de Word Seguridad”
usuario
Avisar antes de imprimir, guardar o enviar un archivo Habilitada
que contenga marcas de revisión o comentarios
Guardar el número aleatorio para mejorar la Habilitada
precisión de la combinación
Mostrar la revisión oculta Habilitada
valores de centro directiva tiene los siguientes valores:
de confianza de “Configuración de usuario Plantillas administrativas Microsoft Word
MS Word 2016 de 2016 Opciones de Word Seguridad Centro de confianza”
usuario
Basic
las macros firmadas
digitalmente)
red
Deshabilitar la notificación de la barra de Habilitada
aplicaciones
Examinar macros cifradas en documentos Habilitada
de Word con formato Office Open XML (Analizar las macros cifradas
(predeterminado))

USO OFICIAL

Configuración de “Configuración de usuario Plantillas administrativas Microsoft Word
bloqueo de 2016 Opciones de Word Seguridad Centro de confianza
archivos de MS Configuración de bloqueo de archivos”
Word 2016 de
usuario
Archivos de Texto de OpenDocument Habilitada
(No bloquear)
Archivos de texto sin formato Habilitada
(No bloquear)
Archivos RTF Habilitada
Vista protegida)
Convertidores de Office Open XML para Habilitada
Word (No bloquear)
Convertidores heredados para Word Habilitada
Vista protegida)
Documentos de Word 2003 y XML sin Habilitada
formato (No bloquear)
Establecer el comportamiento de bloqueo Habilitada
de archivos predeterminado (Los archivos bloqueados se
abren en la Vista protegida y
no se pueden editar)
(Bloquear)
Plantillas y documentos binarios de Word 2 Habilitada
y anteriores (Permitir editar y abrir en la
Vista protegida)
2000 (Bloquear)
2003 (No bloquear)
2007, y posteriores (No bloquear)
6.0 (Permitir editar y abrir en la
Vista protegida)
Vista protegida)
Vista protegida)

USO OFICIAL

XP (No bloquear)
Plantillas y documentos de Word 2007, y Habilitada
posteriores (No bloquear)
Ubicaciones de “Configuración de usuario Plantillas administrativas Microsoft Word
confianza de MS 2016 Opciones de Word Seguridad Centro de confianza
Word 2016 de Ubicaciones de confianza”
usuario
protegida de MS “Configuración de usuario Plantillas administrativas Microsoft Word
Word 2016 de 2016 Opciones de Word Seguridad Centro de confianza Vista
usuario protegida”
Abrir archivos en UNC de Intranet local en Habilitada
la Vista protegida
Desactivar la Vista protegida para los datos Deshabilitada
documentos si se producen errores (Abrir en Vista protegida,
durante la validación del archivo Deshabilitada)
No abrir los archivos de la zona Internet en Deshabilitada
la Vista protegida
No abrir los archivos de ubicaciones no Deshabilitada
seguras en la Vista protegida
criptografía de MS “Configuración de usuario Plantillas administrativas Microsoft Word
Word 2016 de 2016 Opciones de Word Seguridad Criptografía”
usuario
Configurar el modo de encadenamiento Habilitada (Encadenamiento
de cifrado CNG de bloques de cifrado (CBC))
Especificar compatibilidad de cifrado Habilitada (Guardar todos
arch. con form. próx.
generac.)
con salt
contraseña

USO OFICIAL

Word 2016 de “Configuración de usuario Plantillas administrativas Microsoft Word
usuario 2016 Opciones de Word Varios”
No usar traducción automática en línea Habilitada
Usar los diccionarios de traducción en línea Deshabilitada
57. Verifique el valor Utilizando el editor de objetos de directiva de grupo, verifique que la
de Skype directiva tiene los siguientes valores:
Empresarial 2016 “Configuración de usuario  Plantillas administrativas  Skype
de usuario Empresarial 2016  Directivas de características de Microsoft Lync”
Impedir que los usuarios ejecuten Microsoft Lync Habilitada
58. Verifique que Inicie sesión en el equipo Windows independiente con un usuario con
están privilegios de administrador y que se encuentre incluido en el grupo local
configurados los “Usuarios de shells”.
servicios de MS Ejecute la herramienta Windows PowerShell (x86) con privilegios de
Office 2016 administrador. Para ello vaya a la siguiente ruta:
“Menú inicio Todos los programas Accesorios Windows PowerShell”
Seleccione mediante botón derecho en Windows PowerShell (x86) la
opción “Ejecutar como administrador”.
En la shell abierta ejecute “services.msc”.
Compruebe que los siguientes servicios se encuentran configurados en
modo manual:
– Office Source Engine
– Servicio de caché de fuentes de Windows
Nota: Dependiendo de la versión instalada, aparecerá el servicio

“OSE” o “OSE64”.
Servicio (nombre corto) Servicio (nombre largo) Inicio Permiso OK/NOK

de Windows
59. Inicie sesión con Inicie sesión con un usuario que no sea administrador.
un usuario no
administrador.

USO OFICIAL
60. Compruebe que Pruebe a abrir alguna de las aplicaciones de MS Office 2016, como, por
las aplicaciones de ejemplo, MS Word, MS Excel o MS PowerPoint.
MS Office 2016 Compruebe que puede crear un nuevo documento y guardarlo.
funcionan
correctamente
61. Compruebe que Pruebe a abrir un documento desde una ubicación que no es de confianza,
los documentos por ejemplo, desde correo electrónico. El documento se deberá abrir en
de MS Office 2016 modo vista protegida, si no ha modificado las directivas de seguridad.
se abren en vista
protegida.
62. Verifique que no Verifique que los valores fundamentales dentro del centro de confianza no
puede modificar pueden ser modificados por el usuario:
parámetros del
– Editores de confianza.
Centro de
confianza. – Ubicaciones de confianza.
– Complementos.
– Configuración de ActiveX.
– Vista protegida.
– Configuración de bloqueos de archivos.
Para acceder a la configuración de Centro de confianza hágalo a través de
“Archivo Opciones” de cualquiera de las aplicaciones de la suite Office.

USO OFICIAL
63. Compruebe que Proteja un documento con contraseña. Para ello acceda al menú “Archivo
puede proteger un Información Cifrar con contraseña”.
documento con
contraseña y que
esta es robusta.
Compruebe que no puede introducir una contraseña sencilla, inferior a 12

caracteres y que se aplican también las características de seguridad
definidas en las credenciales de la organización.
64. Compruebe los Abra cualquiera de las aplicaciones de la suite Office, por ejemplo Word,
metadatos de los seleccione comenzar un documento en blanco y vaya al menú “Archivo
archivos. Información Propiedades” y compruebe que los datos corresponden a
los del usuario que inició la sesión.

USO OFICIAL
65. Compruebe la Abra cualquiera de las aplicaciones de la suite Office, por ejemplo, Word y
activación de vaya al menú “Archivo Cuenta” y compruebe la activación.
Office.
Nota: Aparecerá como activado si ha aplicado los pasos del “ANEXO

B.3 ACTIVACIÓN DE MS OFFICE 2016”.

USO OFICIAL
ANEXO B.3. ACTIVACIÓN DE MS OFFICE 2016

Microsoft Office 2016 se presenta en distintos conjuntos de aplicaciones de la suite según el uso que se le vaya
a dar. En ámbitos empresariales, se dispone de varias ediciones y licenciamientos, como se ha explicado en el
documento principal de esta guía.
En este caso se optó por la solución empresarial con licencias por volumen, sean de la edición Professional Plus
o Standard.
Debido a la necesidad del aislamiento de las redes de amplia seguridad se va a utilizar la activación telefónica
para evitar tener que conectar a Internet y el envío de información de cualquier índole, incluso de información tan
básica como esta.
Por lo indicado más arriba, en la siguiente guía paso a paso se va a activar un Microsoft Office 2016 Professional
Plus con licencia por volumen y en un equipo aislado de Internet (pertenezca o no a un dominio) utilizando una clave
MAK, sin infraestructura de red de dicho tipo de clave. Para la instalación de este producto no se utilizó ningún tipo
de personalización OCT ni fichero config.xml.
Paso Descripción
Inicie sesión con un administrador local.
Para asegurar la imposibilidad de acceso a redes no seguras de forma accidental, se debe configurar la
red para evitarlo.
Si en su entorno no hay conectividad a redes no seguras de forma predeterminada debe ignorar este
proceso y saltar al paso siguiente.
Si en su entorno hay conectividad a Internet de forma predeterminada y desea que la activación se
realice directamente contra los servidores de Microsoft debe ignorar el proceso de este paso y saltar al
paso siguiente.
A continuación, se desactivarán todas las conexiones de red. Para ello se debe abrir el menú “Inicio 
Panel de control  Centro de redes y recursos compartidos  Cambiar configuración del adaptador”,
donde sobre cada una de las conexiones que tengan acceso a Internet, se pulsará con el botón derecho,
y se seleccionará la opción “Desactivar”.

USO OFICIAL
Paso Descripción
Se solicitará la validación de la cuenta de administrador habitual, que, una vez realizada, terminará en
la indisponibilidad de la red.
Nota: Tenga cuidado con utilizar otros métodos que podrían no ser efectivos de forma
completa para evitar la salida a Internet. Por ejemplo, la eliminación de la puerta de enlace
predeterminada podría no ser efectiva si se utiliza un cliente de un proxy; la desconexión del
cable del equipo podría ser una insuficiente si hay métodos de conexión alternativos, como
una red wifi (en este caso se observa claramente la no existencia, al entrar en la ventana de
Conexiones de red); etc.
Para la activación necesitará una cuenta de administrador local o administrador de dominio,
no proceda a la desactivación hasta que no disponga de ella. Si es necesario consulte con el
administrador de su sistema.
Tenga en consideración que para poder visualizar los adaptadores de red y su configuración en
clientes independientes deberá iniciar los servicios “Conexiones de red (netman)” y “Servicios
de configuración de red (netsetupsvc)”. Para ello ejecute “Services.msc” en la consola de
PowerShell e inicie los servicios mencionados. Recuerde revertir este cambio cuando finalice
la configuración.
Ejecute cualquiera de las aplicaciones instaladas, que podrá encontrar a través del menú “Inicio 
Microsoft Office”, por ejemplo, Microsoft Word 2016.
En los dos pasos siguientes se encuentran dos posibles circunstancias, una corresponde cuando la
activación se esté realizando una vez finalizado el periodo de gracia que proporciona Microsoft entre la
instalación y la activación y cuando se esté dentro de ese periodo. Seleccione en función de sus
circunstancias.

USO OFICIAL
Paso Descripción
Si aparece la siguiente ventana es porque se ha cumplido el plazo dado por Microsoft desde que se
instaló el producto Office. En este caso acceda directamente a “Cambiar clave de producto”.
Si no aparece esta ventana ignore este paso y vaya al siguiente.

Nota: Esta ventana se mostrará cada vez que se inicie un producto de Office hasta que no se
active, si bien no se pierden funcionalidades del producto Professional Plus o Standard, en
contra de lo que ocurre con la licencia Professional donde se prohíbe la edición una vez llegado
este punto.
Si no se ha finalizado el periodo de activación normal, acceda a cualquiera de los productos de Office,

por ejemplo, Microsoft Word y abra un documento en blanco. Vaya al menú “Archivo  Cuenta”. En
ella se muestra la necesidad de activación.
Nota: Recuerde que si este mensaje estuviese en tonos rojizos es porque se ha traspasado el
tiempo de gracia que Microsoft ofrece entre la instalación y la necesidad de activación,
habitualmente 25 días.

USO OFICIAL
Paso Descripción
Pulse en “Cambiar clave de producto”.
A continuación, se solicitará el código de activación, escríbalo.
Si el código es correcto se mostrará una marca de acuerdo verde y si no lo fuese un aviso de error.
Una vez introducido el código de forma correcta presione el botón “Instalar”.

Nota: El código de activación lo deberá haber obtenido en la web de licencias por volumen de
Microsoft (Volume Licensing Service Center, VLSC):
https://www.microsoft.com/Licensing/servicecenter/default.aspx
Cuando se emite una licencia por volumen para una empresa se asocia a un correo electrónico.
Para poder concentrar sus acuerdos de licencia deberá registrarlos siempre con la misma
dirección de correo electrónico, la cual deberá proporcionar a su proveedor de licencias antes
del proceso de compra o modificarla a posteriori con un trámite telefónico con Microsoft.

USO OFICIAL
Paso Descripción
Al no poseer conectividad con Internet se producirá un problema de activación, que se muestra con un
código de error “0x80072EE7”.
Presione sobre el botón “Aceptar”.

Nota: Si posee conectividad con Internet la activación será inmediata. En este caso, habría
terminado el proceso y los siguientes pasos no aplicarían.
Podría aparecer la ventana de solicitud de activación con la opción telefónica desactivada. Si se le da

este caso deberá “Cancelar”, cerrar la aplicación desde la que está realizando la acción y volver a entrar
para que se habilite dicha posibilidad.
La ventana Asistente para la activación de Microsoft Office debe mostrar dos posibilidades: activación
por Internet o por teléfono.
Seleccione la opción “Deseo activar el software por teléfono” y presione “Siguiente”.

USO OFICIAL
Paso Descripción
A través del “Paso 1” (vea los pasos en la imagen de más abajo) deberá seleccionar el país o región desde
el que llama lo que proporcionará el número de teléfono habilitado por Microsoft para realizar el
proceso de instalación. En el caso de España los teléfonos habilitados son 91 114 14 64 y 900 150 889
(este último gratuito, también se puede llamar desde teléfono móvil, pero no desde un teléfono de un
operador extranjero).
Nota: La selección del país determina los teléfonos que se le proporcionan para la activación
telefónica no el código, por lo que deberá seleccionar el país en el que se encuentra para poder
conseguir un teléfono local.
En el caso que le aparezca el mensaje de “Este producto ya no se puede activar por teléfono”
como en el ejemplo, ignórelo y llame a uno de los teléfonos proporcionados anteriormente.
Puede obtener más información en el siguiente enlace:
https://support.office.com/es-es/article/error-cuando-se-activa-office-este-producto-ya-no-
se-puede-activar-por-tel%C3%A9fono-9b016cd2-0811-4cb3-b896-5a6a13177713
El sistema automático de Microsoft le solicitará por teléfono que facilite el “Id. de instalación” del
producto, el cual debe proporcionar en el “Paso 2” del asistente de activación tal y como se muestra en
la imagen anterior.
Nota: Es conveniente que el teléfono desde el que llama tenga habilitada la marcación por
tonos durante la conversación. Ciertos sistemas de telefonía, incluso telefonía IP, pudieran no
disponer de dicha funcionalidad, en este caso si no presiona ninguna tecla después de dos
peticiones seguidas el sistema le conectará con un operador.
Una vez que hayan verificado dicho identificador, le facilitarán el Id. de confirmación que permitirá la
activación del producto y que deberá introducir en el “Paso 3” tal y como se muestra en la imagen de
más arriba.
Completado el proceso, mostrará la pantalla indicando la activación satisfactoria, requiriéndose, para
que los cambios surtan efecto, se cierren todos los programas de MS Office 2016 que pudieran estar
abiertos.
Si ahora se vuelve a abrir cualquiera de los productos, por ejemplo Microsoft Word, se observará la
correcta activación.

USO OFICIAL
Paso Descripción
A continuación, abra un documento cualquiera o uno nuevo y acuda al menú “Archivo  Cuenta”.
En este punto se puede dar por activada la suite Microsoft Office 2016 completa, no requiriéndose
ninguna otra acción adicional.
Ahora se activarán todas las conexiones de red en el caso de que se hubieran desconectado
anteriormente, si no ha tenido que deshabilitar la red para seguir este procedimiento ignore este paso.
Para ello se debe abrir el menú “Inicio  Panel de control  Centro de redes y recursos compartidos
 Cambiar configuración del adaptador”, donde sobre cada una de las conexiones que tengan acceso
a Internet, se pulsará con el botón derecho, y se seleccionará la opción “Desactivar”.
Se solicitará la validación de la cuenta de administrador habitual, que una vez realizada terminará en la
disponibilidad de la red.
Nota: Tenga en cuenta que la activación se realiza con un equipo sin conexión a la red, por lo
que deberá proporcionar las credenciales de un administrador local.
Recuerde detener los servicios “Conexiones de red (netman)” y “Servicios de configuración de
red (netsetupsvc)” y establecer su estado de inicio en “Deshabilitado” en el caso que los haya
iniciado anteriormente. Para ello ejecute “Services.msc” en la consola de PowerShell.

USO OFICIAL
ANEXO B.4. PERSONALIZACIÓN DE LAS INSTALACIONES BASADAS EN

MICROSOFT WINDOWS INSTALLER
En este anexo se intenta dar una visión general y somera de las distintas posibilidades para personalizar una
instalación más allá de lo que se ha realizado en otros puntos de la guía, donde se intentan asegurar las aplicaciones
frente a posibles ataques o vulnerabilidades. Por ejemplo, la personalización de la instalación, más allá de las
directivas, permite instalar de forma rápida equipos con un conjunto de aplicaciones de la suite concreto.
Microsoft Office, desde su edición 2007, permite la personalización de la instalación por los siguientes, entre
otros, métodos:
a) Herramienta de personalización de Office (OCT) para Office 2016.

b) Usando el archivo “config.xml” para Office 2016.
Cada uno de ellos se puede usar de forma individual o se puede realizar la combinación de ellos que se considere
más conveniente para el entorno. Por ejemplo, es posible configurar la seguridad con una directiva, pero la selección
de aplicaciones de la suite a instalar con OCT.
HERRAMIENTA DE PERSONALIZACIÓN DE OFFICE

La herramienta de personalización de Office, OCT, se incorpora en las ediciones de Office adquiridas con licencias
por volumen, y por tanto orientada al ámbito empresarial y no del usuario final.
Nota: Para determinar si una instalación de Office 2016 es una versión de licencias por volumen,
compruebe el disco de instalación de Office 2016 para ver si contiene una carpeta denominada “Admin”.
Si existe dicha carpeta, el disco es una edición de licencias por volumen. De lo contrario, es una edición
comercial.
Le permitirá personalizar las siguientes características de Office:
a) Especificar opciones de instalación.

b) Personalizar el modo en el que se instalan las aplicaciones y características de Office.
c) Configurar los parámetros de usuario predeterminados.
d) Administrar contenido adicional: agregar o eliminar archivos, entradas del Registro o accesos directos.
e) Configurar las opciones de Outlook: definir el perfil predeterminado, agregar cuentas de correo y especificar
la configuración de Exchange.
Nota: Para conocer aspectos en profundidad sobre la herramienta de personalización de Office (OCT)
visite la siguiente URL:
https://docs.microsoft.com/es-es/deployoffice/oct/oct-2016-help-overview
Tenga en cuenta que la herramienta tiene versiones distintas según si se tiene instalada la versión de 32 bits o la
de 64 bits.
OCT permite crear un fichero de configuración que puede ser aplicado durante la instalación del producto o en
instalaciones existentes.

USO OFICIAL
La sección “Características  Modificar configuración del usuario“ de la herramienta es la análoga a las

plantillas de administración para el uso de directivas de grupo, GPO, y, al igual que es posible descargar las últimas
desde el sitio de Microsoft para actualizarlas es posible hacerlo con las carpetas de “Modificar configuración del
usuario”. Para ello, se deben obtener versiones de los ficheros “opax” y “.opal” y actualizar la OCT alojándolos en la
carpeta \admin del punto de distribución (sea una carpeta o un DVD). Puede consultar más al respecto en la URL:
https://docs.microsoft.com/es-es/deployoffice/deploy-office-365-proplus-from-a-local-source#step-3-create-a-
configuration-file-for-the-pilot-group
En la siguiente tabla, se muestra un ejemplo paso a paso donde se crea un fichero para personalizar la
implantación de Office posterior. El ejemplo se centra en crear un fichero para la selección del conjunto de
aplicaciones de la suite Office a instalar, permitiendo reducir las tareas administrativas (aunque se hace una pequeña
revisión por el resto de opciones).
Paso Descripción
Inicie sesión con un usuario administrador en un equipo que no tenga limitadas las principales opciones,
como la ejecución de “cmd.exe” o “PowerShell”, por ejemplo, para el caso de un dominio un usuario
del grupo de seguridad “Usuarios de shells”. Puede hacerse en un controlador de dominio, un servidor
o equipo cliente.
Para arrancar la Herramienta de personalización de Office, OCT, se debe ejecutar el comando de
instalación con el modificador “/admin”. Si el software de instalación se encuentra en una unidad
compartida, habitual para instalaciones masivas de productos, se puede acceder a este ejecutable en
esa ubicación.
En este caso se va a utilizar la versión de 32 bits (utilizando una imagen del producto que incluye solo
esta versión) accediendo en local. Para ello abra una ventana de “PowerShell” ejecutada como
administrador.
Nota: Tenga en cuenta que debe utilizar la versión de 32 bits, si esta es la que ha elegido para
su instalación, y la de 64 bits si fue esta otra su elección. Recuerde que en un mismo fichero no
se pueden mezclar productos de Office de estas dos opciones.

USO OFICIAL
Paso Descripción
Ejecute “D:\setup.exe /admin”.
Nota: La unidad “D:\” es el lector de DVD del equipo usado para instalación, adapte la unidad
a la de su equipo si no ha optado por la unidad compartida mencionada en pasos anteriores.
Con el paso anterior empieza la ejecución del asistente para la creación de un nuevo archivo de
personalización de instalación. Presione “Aceptar”.
La primera opción solicita información sobre la compatibilidad de los diferentes sistemas de archivos.
Seleccione “Mantener la configuración actual” y pulse “Aceptar”.
Nota: Tenga en cuenta que esta elección debe depender de las características de la
documentación de su organización. Si necesita compatibilidad con versiones anteriores de
Office o con documentos de otras suites debería consultar las ayudas y decidir en base a esa
información.

USO OFICIAL
Paso Descripción
La ventana de bienvenida muestra las posibilidades de la herramienta.
A partir de este momento, es necesario desplazarse por el catálogo de la izquierda en aquellos menús a
modificar para guardar en este archivo de instalación personalizada.
Nota: Tenga en cuenta que esta creación de fichero es un mero ejemplo y no se van a revisar
todos los puntos, pero se recomienda encarecidamente que lo haga con cada uno de ellos.
Sobre “Licencia e interfaz de usuario” es posible utilizar las distintas opciones (ver el anexo de
ACTIVACIÓN DE MS OFFICE 2016).

USO OFICIAL
Paso Descripción
En “Configuración de seguridad de Office” se pueden personalizar: la lista de certificados de editores de
confianza, la lista de ubicaciones de confianza, comportamiento ante macros y scripts, uso de
complementos y plantillas, inicialización de ActiveX, etc.
En este ejemplo se pueden configurar los valores análogos que se han utilizado en la instalación paso a
paso.

USO OFICIAL
Paso Descripción
Nota: En las imágenes solo se muestran algunas de las configuraciones, a modo de ejemplo.
Dentro de “Características  Modificar configuración del usuario” es posible establecer la mayoría de

valores que se necesiten para asegurar una instalación de Office. Todos ellos se corresponden con
entradas de directivas de grupo.
Esta sección de la herramienta es la análoga a las plantillas de administración para el uso de directivas
de grupo, GPO, y pueden ser actualizadas como se ha indicado al principio de esta sección.
Nota: En la imagen se muestra, a modo de ejemplo, la desactivación del acceso a Internet de

todos los productos de Office.
A modo de recomendación, se pueden crear plantillas base para su posterior modificación,
especialmente para en este punto de la herramienta, dado el mayor trabajo de este punto. Por
tanto, guardando una plantilla que solo incluya estas características comunes les ayudará a
crear nuevas a partir de ella.

USO OFICIAL
Paso Descripción
“Características  Establecer los estados de instalación de las características” permite elegir aquellas
aplicaciones y opciones de cada una de ellas que se desea incorporar a la instalación. No dispone de
todas las ramas, pero sí las principales.
Una vez haya terminado de configurar todas las opciones se debe proceder a guardar el fichero de
instalación utilizando el menú “Archivo  Guardar”.
Deberá elegir una ubicación para el fichero que se creará con la extensión “.msp”. Presione el botón
“Guardar”.

USO OFICIAL
Paso Descripción
Los ficheros que se creen con esta extensión quedan asociados a la herramienta de instalación de
Windows y cuando se ejecutan, por tanto, la llaman para su ejecución. Como ya se indicó, un fichero de
configuración de este tipo puede ser invocado durante la primera instalación o sobre un Office
previamente instalado.
Nota: Recuerde que para completar una instalación personalizada se puede utilizar OCT y/o
directivas de grupo, prevaleciendo la última en aplicarse, habitualmente la directiva.
El fichero creado podrá ser ubicado en un recurso compartido, por ejemplo, junto a los ficheros de instalación
de Office para ser invocados juntos o incorporado en el DVD de instalación (requiere crear uno nuevo que incluya el
fichero).
Para la instalación, utilizando el fichero recién creado, se debe invocar a “setup.exe” de la siguiente forma (todo
en una única línea).
\\[servidor]\[recursocompartido]\Office16\setup.exe /adminfile
\\[servidor]\[recursocompartido]\fichero.msp.
Nota: El servidor y el recurso compartido pueden ser el mismo o distintos, incluso podría invocarse, por
ejemplo, setup.exe desde el DVD y el fichero desde un servidor. Vea otras opciones de este ejecutable en
la dirección: https://docs.microsoft.com/es-es/DeployOffice/oct/oct-2016-help-overview.
PERSONALIZACIÓN DE LA INSTALACIÓN DE OFFICE POR MEDIO DEL FICHERO

CONFIG.XML
No es objeto de esta sección crear o utilizar el fichero “config.xml”, solamente explicar sus posibilidades para
que el lector tenga una visión de este método de personalización de la instalación de Office. Para ello, se debe
proceder a crearlo y después invocarlo desde la ejecución de “setup.exe”.
Se usa el archivo “config.xml” para realizar las tareas de instalación siguientes:
a) Especificar la ruta del punto de instalación de la red.

b) Seleccionar qué productos instalar.
c) Personalizar opciones del programa de instalación, como el registro y la ubicación del archivo de
personalización del programa de instalación y las actualizaciones de software.
d) Establecer las opciones de instalación, como el usuario y el nombre de la compañía.
e) Copiar el Origen de instalación local (LIS) en el equipo del usuario sin instalar Office.
f) Agregar o quitar idiomas de la instalación.

USO OFICIAL
Nota: Para conocer aspectos en profundidad sobre el fichero Config.xml visite la siguiente URL:
https://docs.microsoft.com/es-es/deployoffice/configuration-options-for-the-office-2016-deployment-
tool
Para editar el fichero “config.xml” se debe utilizar un editor de textos que no interprete el código xml, por
ejemplo, el Bloc de notas.
Para la instalación utilizando el fichero recién creado se debe invocar a “setup.exe” de la siguiente forma (todo
en una única línea).
\\[servidor]\[recursocompartido]\Office16\setup.exe /config
\\[servidor]\[recursocompartido]\config.xml.
En el caso del modificador “/config” el comando setup no admite rutas relativas, debe especificarse
completamente.
Nota: El servidor y el recurso compartido pueden ser el mismo o distintos, incluso podría invocarse, por
ejemplo, “setup.exe" desde el DVD y el fichero desde un servidor. Vea otras opciones de este ejecutable
en la dirección: https://docs.microsoft.com/es-es/DeployOffice/overview-of-the-office-2016-
deployment-tool.

USO OFICIAL
ANEXO B.5. TAREAS ADICIONALES DE CONFIGURACIÓN DE LA SEGURIDAD DE

MS OFFICE 2016
Este anexo se ha diseñado para ayudar a los operadores a realizar tareas adicionales de configuración de
seguridad sobre las distintas aplicaciones de MS Office 2016 y a realizar operaciones en el tratamiento de los
documentos, relacionados con la seguridad. Puede ser que algunas de ellas no sean requeridas en su organización o
incluso que algunas medidas de seguridad a implantar en su entidad no se recojan en este anexo, que se limita a
enumerar las principales y/o más habituales.
Determinadas tareas, de las que se indicarán más adelante, implican la necesidad de modificar los objetos de
Política de Grupo, locales o del dominio. Puesto que los escenarios que pueden encontrarse son diversos,
fundamentalmente en función de si el cliente Windows es independiente o del dominio. En el caso de realizar las
modificaciones en dominio, dichas acciones deberán realizarse sobre el controlador de dominio que haya utilizado
en el ANEXO B.1. Si por el contrario el equipo se trata de un cliente independiente deberá haber seguido los pasos
del ANEXO B.2.
ANEXO B.5.1. AGREGAR UBICACIONES DE CONFIANZA

Para que determinados ficheros, en los que se confía plenamente, chequeen automáticamente las opciones de
seguridad, como la carga de controles ActiveX o la ejecución de código VBA, sin que se requiera acción o muestre
aviso, será necesario definir ubicaciones de confianza. A través de dicha ubicación, se indica a las aplicaciones de MS
Office 2016 que los ficheros existentes en la misma, son de total confianza.
El establecimiento de dichas ubicaciones se realizará bien a través de la herramienta de administración de GPO,
si los equipos clientes pertenecieran al dominio, o bien a través de la política local, si el cliente fuera un equipo
independiente.
Debe tener en cuenta que las ubicaciones de confianza pueden establecerse a nivel general, para todas las
aplicaciones de Office 2016, o individualmente, en cada una de ellas. En este proceso de administración, que se
detalla a continuación, se mostrará cómo hacerlo a nivel general.
Podrá seleccionar, como ubicaciones de confianza, entre las siguientes opciones: rutas locales, rutas de red o
direcciones URL (como por ejemplo la dirección de MS SharePoint con el que cuente la organización).
Nota: Deberá definir las ubicaciones de confianza exclusivamente necesarias para el uso de esta
funcionalidad. Bajo ninguna circunstancia indique como ubicación de confianza una ruta externa a la
organización. Recuerde que, aunque existan rutas a nivel de red donde los usuarios depositan sus ficheros
(por ejemplo, un servidor de ficheros), esto no indica que todos los ficheros allí existentes tengan que ser
de confianza. Establezca una estrategia de alta seguridad para definir las ubicaciones de confianza.
Paso Descripción
En el caso de que los clientes, donde se quieran establecer ubicaciones de confianza, se encuentren en
dominio, ejecute la herramienta Administración de directivas de grupo.
En el caso de que los clientes sean independientes ejecute la herramienta “Editor de directivas de grupo
local”, gpedit.msc, en el equipo involucrado y salte al paso 4.

USO OFICIAL
Paso Descripción
En el caso de uso de la herramienta de administración de GPO, en un controlador de dominio expanda
el nodo “Administración de directivas de grupo  Bosque:[nombre de su bosque]  Dominios 
[nombre de su dominio]  Clientes Windows 10  Usuarios Windows 10”.
Edite la política “CCN-STIC-585 Incremental Office 2016-Usuarios”, pulsando botón derecho sobre la
misma y seleccionando la opción “Editar…”.
En el editor, expanda el nodo “Configuración de usuario  Directivas  Plantillas administrativas 

Microsoft Office 2016  Configuración de seguridad  Centro de confianza”.
Omita el siguiente paso, es para equipos individuales fuera del dominio.

En el caso de un cliente independiente expanda el nodo “Configuración de usuario  Plantillas
administrativas  Microsoft Office 2016  Configuración de seguridad  Centro de confianza”.
Sea en un equipo individual o en un cliente de un dominio, existe la posibilidad de establecer hasta 20
ubicaciones de confianza numeradas consecutivamente. Para establecer la primera ubicación edite
pulsando doble clic sobre la directiva “Ubicación de confianza nº 1” y de forma sucesiva hasta completar
cuantas necesite.

USO OFICIAL
Paso Descripción
Deberá establecer el valor de la directiva en “Habilitada”. No presione aún el botón “Aceptar”.
Introduzca en el campo “Ruta de acceso” la ubicación de confianza que corresponda. Esta puede ser de
tres tipos:
– Local. Por ejemplo, “C:\carpetalocal”.
– Red en formato UNC. Por ejemplo, “\\servidor\carpeta_ficheros_confianza”.
– URL de sitio web. Por ejemplo, https://sharepoint.dominio.local.
No presione aún el botón “Aceptar”.
Nota: El sistema no hace comprobación de la validez de la dirección introducida por lo que

deberá tener cuidado y tendrá que comprobar la sintaxis.

USO OFICIAL
Paso Descripción
Si el contenedor seleccionado, la carpeta compartida, contuviera otros subcontenedores con ficheros
que deban ser considerados también de confianza, seleccione la opción “Permitir subcarpetas:”.
Complete la acción de configuración de la directiva pulsando el botón “Aceptar” y continúe modificando

el resto de directivas en orden si necesita establecer más ubicaciones de confianza. Una vez que haya
concluido cierre la consola.
ANEXO B.5.2. AGREGAR UBICACIONES INSEGURAS

Al contrario que en la configuración anterior, pueden definirse rutas en las que se no se confía y, por lo tanto, se
abrirán siempre en vista protegida. Estas rutas prevalecen sobre las ubicaciones seguras.
El establecimiento de dichas ubicaciones se realizará bien a través de la herramienta de administración de GPO,

si los equipos clientes pertenecieran al dominio, o bien a través de la política local, si el cliente fuese un equipo
independiente.
Debe tener en cuenta que las ubicaciones inseguras pueden establecerse a nivel general para todas las
aplicaciones de Office 2016 o individualmente para determinadas de ellas. En este proceso de administración, que
se detalla a continuación, se mostrará cómo hacerlo a nivel general.
Podrá seleccionar, como ubicaciones inseguras, entre las siguientes opciones: rutas locales, rutas de red o
direcciones URL (como, por ejemplo, direcciones específicas de Internet).
Paso Descripción

USO OFICIAL
Paso Descripción
Edite la política “CCN-STIC-585 Incremental Office 2016 - Usuarios”, pulsando botón derecho sobre la
En el caso de uso de la herramienta de administración de GPO, expanda el nodo “Configuración de

usuario  Directivas  Plantillas administrativas  Microsoft Office 2016  Configuración de
seguridad  Centro de confianza  Vista protegida”.
Omita el siguiente paso, es para equipo individuales fuera del dominio.

En el caso de un cliente independiente, expanda el nodo “Configuración de usuario  Plantillas
administrativas  Microsoft Office 2016  Configuración de seguridad  Centro de confianza 
Vista protegida”.

USO OFICIAL
Paso Descripción
Sea en un equipo individual o en un cliente de un dominio, existe la posibilidad de establecer hasta 20
ubicaciones inseguras numeradas consecutivamente. Para establecer la primera ubicación edite
pulsando doble clic sobre la directiva “Ubicación insegura nº 1”, y de forma análoga y sucesiva si tuviese
más direcciones que configurar.
Deberá marcar el valor “Habilitada” e introducir la “Ruta de acceso”. Seleccione la opción “Permitir
subcarpetas” si el contenedor seleccionado contuviera otros subcontenedores con ficheros que deben
ser considerados como ubicación insegura.
Complete la directiva pulsando el botón “Aceptar” y continúe modificando el resto de directivas en

orden si necesita establecer más ubicaciones inseguras. Una vez que haya concluido cierre la consola.

USO OFICIAL
ANEXO B.5.3. ESPECIFICAR SERVIDORES DE MARCA DE TIEMPO

Determinadas operaciones de seguridad requieren que se establezca la marca tiempo en los ficheros. Para ello,
deberá definirla a través de las directivas los servidores de tiempo. Éstos podrán ser locales o remotos. Use
exclusivamente servidores de tiempo que sean de absoluta confianza y entornos de amplia seguridad. Se deberán
evitar los servidores remotos y que, por tanto, requieran conexión fuera de la organización. Si la sincronización de
relojes es una prioridad, deberá utilizar el servidor externo desde uno de sus servidores, por ejemplo, uno de los
controladores de dominio, y los demás equipos utilizarán a ese servidor, interno, como referencia, evitando
múltiples conexiones externas y desincronizaciones.
Paso Descripción

USO OFICIAL
Paso Descripción
usuario  Directivas  Plantillas administrativas  Microsoft Office 2016  Configuración de
seguridad  Firmas digitales”.
Omita el siguiente paso, es para equipos independientes fuera de cualquier dominio.

En el caso de un cliente independiente expanda el nodo “Configuración de usuario  Plantillas
administrativas  Microsoft Office 2016  Configuración de seguridad  Firmas digitales”.
Sea en un equipo individual o en un cliente de un dominio, para establecer la configuración edite
pulsando doble clic sobre la directiva “Especificar nombre de servidor de marca de tiempo”.

USO OFICIAL
Paso Descripción
Habilite la directiva seleccionando la opción “Habilitada”. Establezca el valor en formato de URL, tal y
como se muestra en la imagen.
Finalice la configuración de la directiva pulsando el botón “Aceptar” y cierre la consola.
ANEXO B.5.4. AGREGAR EXTENSIONES DE NIVEL 2 EN OUTLOOK 2016

Tal y como se estableció en el documento principal, sobre la seguridad de ficheros adjuntos en MS Outlook 2016
existen dos tipos de niveles de ficheros. Los ficheros con restricción de nivel 2 son todos aquellos que los usuarios
solo podrán abrir una vez que los hayan almacenado en el disco duro. Los ficheros con restricción de nivel no pueden
ser abiertos directamente desde la aplicación MS Outlook 2016. De forma predeterminada, no existe un listado de
tipo de ficheros con restricción de nivel 2. Si desea definir un listado de ficheros de tipo nivel 2 deberá establecerlo
a través de directivas, locales o de grupo, según la situación del equipo, dentro o fuera de un dominio.
Paso Descripción

USO OFICIAL
Paso Descripción

usuario  Directivas  Plantillas administrativas  Microsoft Outlook 2016  Seguridad 
Configuración del formulario de seguridad  Seguridad de datos adjuntos”.

En el caso de un cliente independiente expanda el nodo “Configuración de usuario  Directivas 
Plantillas administrativas  Microsoft Outlook 2016  Seguridad  Configuración del formulario de
seguridad  Seguridad de datos adjuntos”.

USO OFICIAL
Paso Descripción
Sea en un equipo individual o en un cliente de un dominio, para establecer el listado edite, pulsando
doble clic sobre la directiva, “Agregar extensiones de archivo al bloque como Nivel 2”.
Habilite la directiva seleccionando la opción “Habilitada” y agregue extensiones de ficheros sin el

carácter punto ”.” que se emplea habitualmente para separarlo del nombre de archivo. Separe las
extensiones con el carácter punto y coma “;”. En el ejemplo siguiente se incorporan a dicho bloque
ficheros ofimáticos.

USO OFICIAL
ANEXO B.5.5. AGREGAR COMPLEMENTOS DE CONFIANZA EN OUTLOOK 2016

Si bien los complementos que se instalan con Outlook 2016 quedarán marcados como de confianza, puede
necesitar hacer uso de determinados complementos para las funciones de gestión y trabajo con el correo
electrónico, por ejemplo, integración con ciertos sistemas de correo. De forma predeterminada, los complementos
no se podrán utilizar a no ser que los agregue como complemento de confianza. Para ello, deberá inicialmente
identificar aquellas librerías, ficheros .dll, en los que debe confiar. Deberá incluir estos ficheros como complemento
de confianza a través de las políticas de grupo o locales.
Paso Descripción

USO OFICIAL
Paso Descripción
usuario  Directivas  Plantillas administrativas  Microsoft Outlook 2016  Seguridad 
Configuración del formulario de seguridad  Seguridad de programación  Complementos de
confianza”.

En el caso de un cliente independiente expanda el nodo “Configuración de usuario  Directivas 
Plantillas administrativas  Microsoft Outlook 2016  Seguridad  Configuración del formulario de
seguridad  Seguridad de programación  Complementos de confianza”.
Sea en un equipo individual o en un cliente de un dominio, para establecer el listado edite, pulsando
doble clic sobre la directiva, “Configurar complementos de confianza”.

USO OFICIAL
Paso Descripción
Establezca la directiva en “Habilitada” y agregue los ficheros “.dll” de complementos que quiere
considerar como de confianza a través del botón “Mostrar…”
A continuación, se abrirá una lista donde deberá introducir el nombre del complemento y el valor hash
de dicho fichero.
Primero se debe realizar el proceso de obtención del mismo. Si ya dispone del hash salte al paso 19.
El valor hash deberá obtenerse con la herramienta de generación de hash de seguridad de Outlook 2007
(solo disponible en inglés) que puede descargar de la siguiente dirección de URL:
http://go.microsoft.com/fwlink/p/?LinkId=75742
Para descargarla e instalarla debe iniciar sesión como administrador en una máquina que disponga
acceso a Internet, si bien no es necesaria dicha conectividad para la ejecución.
El fichero bajado es un instalable llamado OutlookSecHashGen.EXE.
Ahora se debe proceder a la instalación. Independientemente de lo que se indica en el sitio de descarga
es posible utilizar la herramienta en equipos Windows cliente y Windows Server, tanto en 32 como en
64 bits.
La instalación debe realizarse en un equipo y con usuario que esté autorizado a la ejecución de
comandos, por ejemplo, en un controlador de dominio con una cuenta de administrador de dominio.
Cree la carpeta “C:\HasGento” (se le requerirán validaciones), y copie en él fichero de instalación
“OutlookSecHashGen.EXE”.

USO OFICIAL
Paso Descripción
Abra el ejecutor de comandos “Windows PowerShell (x86)”, el cual es accesible desde “Panel de inicio
 Windows PowerShell  Windows PowerShell (x86)” y ejecútelo como administrador (se le requerirá
validación de credenciales).
Nota: Debe utilizar esta herramienta en un equipo que tenga autorizada la ejecución de este
programa e iniciarla con una cuenta de administrador.
Cambie a la carpeta donde se encuentra el programa de instalación de la herramienta de generación de

hash y ejecute “.\OutlookSecHashGen.EXE”.
Nota: Microsoft proporciona esta herramienta únicamente en idioma inglés.
Autorice la instalación presionando en “Sí”:
Nota: Este aviso muestra los botones en español al ser parte del entorno del sistema operativo,
Windows 10, y no de la propia aplicación.

USO OFICIAL
Paso Descripción
Acepte el acuerdo de licencia haciendo clic en “Yes”:
A continuación, se solicita la carpeta de instalación. Se debe seleccionar la carpeta donde se ha alojado

el instalable, en este ejemplo “C:\HasGenTo”. Pulse sobre “OK”.
Finalizado el proceso, se ha completado la instalación. Presione el botón “Aceptar”. No cierre la ventana

de “PowerShell”.

USO OFICIAL
Paso Descripción
Desde la línea de comandos se debe ejecutar la línea de comandos “CreateHash.bat /register” para
instalar la herramienta.
No cierre esta ventana, desde ella se procederá a obtener los “hash” objeto de este anexo.
Nota: Es muy importante que la ruta y el fichero se encuentren en formato 8.3 (sin espacios).
Para conocer el nombre de un fichero o carpeta en formato 8.3 puede utilizar el comando del
sistema “cmd C:\” y posteriormente “dir /X”.
Para salir introduzca “exit”.
Debido a que la herramienta de obtención del hash trabaja con nombres 8.3 y el sistema, instalado bajo
las premisas de las guías CCN-STIC, no crea el nombre corto en los nuevos ficheros instalados, se debe
copiar la dll de la que se desea obtener el hash en una carpeta que cumpla con las reglas 8.3.
Para el ejemplo se va a copiar el fichero en la carpeta C:\HasGenTo, ejecutando: copy "C:\Program files
(x86)\Security Internal\IntSec.dll" C:\HasGenTo\.
Nota: El hash obtenido no depende de la carpeta ni de otros aspectos externos al fichero en sí

mismo, por lo que esta acción no tiene efectos y la secuencia obtenida será válida en todo caso.
El dichero dll mostrado es un ejemplo, utilice el fichero del que desee obtener dicho hash.

USO OFICIAL
Paso Descripción
Para obtener el hash de una determinada dll se debe utilizar la siguiente sintaxis.
“CreateHash.bat [ruta+fichero]”.
Ya que se ha copiado “IntSec.dll” en la propia carpeta se debe ejecutar la línea de comandos
“CreateHash.bat IntSec.dll”.
Guarde la cadena de hash en un bloc de notas o en el portapapeles.

Borre las copias de los ficheros que haya hecho en carpetas para la obtención del hash para evitar
errores.
Si no va a obtener nuevos hashes deberá desinstalar la herramienta ejecutando “CreateHash.bat
/unregister” desde una ventana de PowerShell y borrando la carpeta donde se instaló, en el ejemplo
“C:\HasGenTo”.
Nota: No tenga en cuenta el valor del hash del ejemplo. Incluso para el mismo fichero, pero en
distintas instalaciones o versiones podría diferir. Deberá obtener los valores hash asociados a
sus ficheros utilizando el proceso indicado.
Ahora es posible volver a la edición de la directiva donde deberá incluir los valores hash de los
complementos que se desean autorizar para Outlook 2016.
Agregue tantos complementos como sean necesarios.


USO OFICIAL
ANEXO B.5.6. LIMPIEZA DE METADATOS DE DOCUMENTOS

Los documentos portan información adicional al contenido, oculta o visible, que puede suponer una filtración de
información significativa. Para ello, MS Office 2016 incorpora, a través de sus herramientas, mecanismos para la
limpieza de metadatos de los documentos. Se muestra a continuación, como ejemplo, cómo realizar la eliminación
de metadatos en un documento creado con la aplicación MS Word 2016.
Paso Descripción
Antes de cerrar un documento deberá prepararlo para su exposición limpia de metadatos. Para ello
acceda al menú “Archivo” de MS Word 2016.
Haga uso de la función “Información  Comprobar si hay problemas  Inspeccionar documento”.
Nota: En la imagen superior se aprecian los valores de algunos de los metadatos, tales como el
nombre del autor , el último editor, fechas, horas, etc.
Si aparece la opción de que el archivo contiene cambios que no se guardaron, pulse el botón “Sí”.

USO OFICIAL
Paso Descripción
Deje marcado todo el contenido y pulse el botón “Inspeccionar”:
Todavía no se está realizando la limpieza por lo que esta acción no supone ningún riesgo de borrado
accidental de información.
Se iniciará la inspección del documento y se identificarán todos aquellos elementos que se encuentran
en el fichero y son susceptibles de mostrar información relevante, durante este proceso se abre una
ventana de progreso durante unos segundos.

USO OFICIAL
Paso Descripción
Finalizada la inspección, se mostrará un resumen de aquellos apartados con información que ha
encontrado y ofrecerá la posibilidad de quitar los datos, sean visibles o no.
Quite, al menos, del documento la información correspondiente a:

– Propiedades del documento e información personal.
– Contenido invisible.
– Texto oculto.
Revise el resto de elementos para evaluar si debe ser eliminado también, por ofrecer información
relevante del usuario, los sistemas informáticos o detalles de la propia organización.
Para eliminar un contenido seleccione el botón correspondiente “Quitar todo”. En el ejemplo “Quitar
todo” de las “Propiedades del documento e información personal”.
Nota: Tenga en cuenta que ciertos cambios realizados desde esta ventana no son reversibles,
como se avisa, y debería recuperar una versión anterior para recuperarlos.
Una vez quitado el contenido, se mostrará un mensaje con el resultado de la acción.
Podría volver a revisar el documento en busca de datos que no hubieran podido ser eliminados por
cualquier circunstancia. En este caso se cierra la ventana pulsando sobre “Cerrar”.

USO OFICIAL
Paso Descripción
Cuando haya eliminado todos los datos relevantes, guarde el documento y compruebe que se han
eliminado. En este ejemplo, se vuelve a la ventana de información del documento donde se puede
observar que no figura el dato del autor ni otros similares.
ANEXO B.5.7. PROTECCIÓN DE FICHERO CON CONTRASEÑA

Si desea evitar que el fichero pueda ser abierto por cualquiera que pueda tener acceso al mismo, pero sí que lo
abran determinadas personas, puede protegerlo por medio de una contraseña. Esta protección, además de impedir
su apertura, cifra su contenido para garantizar la seguridad frente a un ataque de tipo offline, donde el atacante
consigue acceder al contenido del archivo sin conocer la contraseña ya que, aunque consiguiera el acceso,
encontraría contenido ilegible. La política de seguridad aplicada establece la necesidad de introducir una contraseña
de al menos 12 caracteres con las características de complejidad con las que cuenta el sistema de credenciales del
dominio o el equipo local en el caso de que el cliente sea independiente. Se muestra como ejemplo la protección de
un documento con contraseña con la aplicación MS Word 2016.
Paso Descripción
Para proteger un fichero con contraseña acceda al menú “Archivo” de MS Word 2016 y haga uso de la
función “Información  Proteger documento  Cifrar con contraseña”.

USO OFICIAL
Paso Descripción
Introduzca la contraseña deseada, teniendo en cuenta las restricciones definidas para tipo de
credenciales, pulse “Aceptar”, entonces deberá volver a repetir la contraseña para garantizar que la ha
introducido correctamente. Después vuelva a pulsar “Aceptar”.
Nota: Si utiliza una contraseña que no cumpla con los requerimientos mínimos, por ejemplo
una longitud inferior a 12 caracteres, le será requerido el cambio hasta que se atenga a ellos.
A partir de ese momento será necesario utilizar la contraseña para abrir el documento, como así lo indica
el panel de información del documento.
Nota: Este cifrado es independiente y distinto del que se puede generar con el propio sistema
de archivos del sistema operativo Windows 10 pero, a diferencia de este, el cifrado de Office
permite abrir el documento en cualquier ordenador a cualquier persona que conozca la
contraseña.
Puede guardar los cambios y cerrar el fichero.

Cuando vaya a abrir el documento, la aplicación correspondiente, en este ejemplo Microsoft Word, le
solicitará la contraseña de acceso. Introdúzcala y presione “Aceptar”.

USO OFICIAL
ANEXO B.5.8. AGREGAR FIRMA DIGITAL

Para garantizar la integridad y procedencia de un documento puede agregar una firma digital al mismo.
Microsoft Word 2016 permite incluir firmas invisibles (en el documento, aunque sí en las propiedades del mismo)
o visibles. En este segundo caso, se requiere incluir una línea de firma, de forma análoga a como se haría en un
documento firmado en papel.
Tenga en cuenta que una vez que un documento es firmado no es posible su modificación sin que se produzca
una alteración y, por tanto, inutilizando la firma. En ese caso Word 2016 opta por eliminar las firmas.
La firma del documento se realiza utilizando un certificado digital. Contendrá la clave pública de dicho certificado
para poder comprobar la veracidad de la misma a cualquier usuario que abra el documento, sin tener que buscar el
origen del certificado.

USO OFICIAL
La firma puede ser con un certificado verificado por una entidad global autorizada y reconocida (por ejemplo,
Verisign o Camerfirma) o por una entidad de ámbito local (por ejemplo, una autoridad certificadora del domino
local), pero en ese caso la verificación solo será posible a otros usuarios que tengan acceso a dicha entidad
certificadora, habitualmente otros usuarios de nuestra empresa o administración.
Existen certificados que pueden ser reconocidos de forma global por los usuarios pero que aun así el certificado
raíz no esté incluido en el repositorio de firmas de forma predeterminada requiriéndose, en ese caso, que los
administradores incluyan por directivas dicho certificado en los clientes, para evitar mensajes de aviso hacia los
usuarios. En esta categoría se encuentran, por ejemplo, los certificados de la FNMT.
Puede obtener información amplia sobre firma digital de documentos en Office 2016 en la siguiente URL:
https://docs.microsoft.com/es-es/deployoffice/security/use-digital-signatures-with-office
FIRMA INVISIBLE DE UN DOCUMENTO DE WORD

Paso Descripción
Guarde todos los cambios del documento y antes de cerrarlo agregue la firma digital. Para ello acceda
al menú archivo de MS Word 2016 y haga uso de la función “Información  Proteger documento 
Agregar una firma digital”.
Nota: Desde este menú se incluyen firmas invisibles en el documento.
Si aparece el aviso de más abajo es debido a que no posee un certificado, válido para la firma, instalado.
En este punto, Microsoft ofrece la posibilidad de utilizar un proveedor externo para comprar un
certificado que permita la forma digital. Pulse el botón “No” del mensaje. Pulsar “No”, al no poseer un
certificado digital, cerrará la ventana.
Nota: Si requiere un certificado válido consulte con el administrador de su sistema o con los
manuales de uso de su entidad para obtenerlo.

USO OFICIAL
Paso Descripción
Si dispone de un certificado personal válido instalado en el equipo aparecerá la opción para firmar con
él. En el botón “Cambiar…” podrá seleccionar el certificado concreto a utilizar, si dispone de más de
uno.
Deberá completar aquellos datos que sean necesarios, siempre teniendo en cuenta que los datos que
se incluyan en esta ventana serán visibles para todos los usuarios que tengan acceso al documento. Una
vez aportada toda la información puede presionar “Firmar” para completar el proceso.
Llegado al punto, el sistema pedirá permiso para utilizar del certificado en la firma y se deberá utilizar la
contraseña de protección del repositorio.
Nota: Esta petición de permiso deriva de la protección del repositorio de certificados que se
crea al alojar el primer certificado personal. Deberá disponer de la contraseña para poder
continuar. Si no le aparece este mensaje es porque las directivas le permitieron guardar
certificados sin protección del contenedor de ellos.
Se verá una barra de progreso de la firma del documento y posteriormente el siguiente mensaje. Pulse
“Aceptar” para finalizar el proceso de firma.
Nota: La firma no asegura la confidencialidad de la información, solo la autenticidad del

firmante y la no alteración del contenido firmado. Si desea proteger el documento deberá
optar por utilizar una contraseña y cifrado del archivo.

USO OFICIAL
Paso Descripción
Concluido el proceso, el documento quedará marcado como firmado y final, ya que cualquier alteración
posterior inutilizaría la firma.
Nota: El documento se guarda automáticamente sin solicitar autorización.
Si se vuelve a editar se mostrará una notificación.
Si se selecciona “Editar de todas formas” avisará de la eliminación de las firmas.

USO OFICIAL
FIRMA VISIBLE DE UN DOCUMENTO DE WORD

Si desea firmar un documento y que, además de autentificarlo y asegurar su integridad, se vea junto al contenido
los datos de firma deberá crear una línea de firma.
Para crear una línea de firma, no es necesario disponer de un certificado, pero sí para incluir en dicha línea la
firma digital.
La inclusión de una línea de firma en un documento no lo marca como final hasta que no sea incluida la firma.
La firma digital es útil para documentos oficiales que requieren un creador y una firma posterior.
A continuación, se muestra cómo crear una línea de firma, por ejemplo, en Microsoft Word.
Paso Descripción
Abra el documento al cual se le quiere incluir la línea de firma.
En el menú “Insertar”, seleccione el botón “Línea de firma”.
Deberá completar aquellos campos que sean necesarios, siempre teniendo en cuenta que los datos que
se incluyan en esta ventana serán visibles para todos los usuarios que tengan acceso al documento.
Acepte para incluir la firma.
La firma se incluirá como un recuadro de texto en la posición del cursor.
Nota: La línea de firma todavía no incluye firma alguna.

USO OFICIAL
Paso Descripción
Llegado al punto, el sistema pedirá permiso para utilizar el certificado en la firma, pulse sobre “Ver
firmas…”. y se deberá teclear la contraseña de protección del repositorio.
Nota: Esta petición de permiso deriva de la protección del repositorio de certificados que se
crea al alojar el primer certificado personal. Deberá disponer de la contraseña para poder
continuar. Si no le aparece este mensaje es porque las directivas le permitieron guardar
certificados sin protección del contenedor de ellos.
La línea de firma puede ser editada en cualquier momento, cambiando sus parámetros, siempre que se
haga antes de la firma en sí. Para ello, posicionando el ratón sobre el cuadro seleccione la opción
“Configuración de firma”.
Para firmar el documento se debe seleccionar “Firmar…” con el botón derecho del ratón sobre el cuadro
de la línea de firma.

USO OFICIAL
Paso Descripción
Se muestra un cuadro de firma muy similar al de la firma invisible, pero con una previsualización del
aspecto final. Complete los detalles que considere convenientes y seleccione el certificado a utilizar en
el botón “Cambiar…”, en caso de poseer más de uno.
Nota: En el cuadro de firma puede incluir una imagen, por ejemplo su firma escaneada, si bien
debe recordar que el firmado no protege dicho archivo de un uso posterior fraudulento.
Se verá una barra de progreso de la firma del documento y posteriormente el siguiente mensaje. Pulse
“Aceptar” para finalizar el proceso de firma.
Nota: La firma no asegura la confidencialidad de la información, solo la autenticidad del

firmante y la no alteración del contenido firmado. Si desea proteger el documento deberá
optar por utilizar una contraseña y cifrado del archivo.

USO OFICIAL
Paso Descripción
La firma será incluida en el documento y se agregará la fecha de firma. El documento quedará marcado
como final y, a partir de aquí, cualquier edición terminará con el borrado de la firma.
Nota: Al cerrar el documento solicitará grabar ya que el proceso de firma lo incluye cuando es
marcado como final.
Si se selecciona “Editar de todas formas” avisará de la eliminación de las firmas.
Puede comprobarse las firmas del documento, una vez que éste se abra a través de la opción de archivo
“Información  Ver firmas” o desde el aviso en línea.
Las firmas digitales aparecerán en el margen derecho de la ventana.

USO OFICIAL
CREAR UN ID DIGITAL PROPIO

Si no dispone de ningún certificado válido para la firma, pero quiere asegurar que un documento de su creación
no sea alterado sin su conocimiento puede utilizar un Id digital propio, creado por Ud. mismo. Este certificado propio
no le valdrá para asegurar la identidad del autor ya que cualquiera puede crear uno en su nombre y al no estar
respaldado por una entidad superior, los demás usuarios reciben un mensaje de aviso. Por tanto, este tipo de
certificados pueden ayudar a comprobar la integridad, pero no la autenticidad.
Existen limitaciones de uso de este tipo de certificados, solo pudiéndose alojar uno por contenedor.
En el siguiente paso a paso se detalla cómo crear un Id digital propio y utilizarlo para firmar un documento de
Office 2016.
Paso Descripción
Para crear un certificado digital propio se debe ejecutar como administrador el programa “SelfCert.exe”
en la siguiente ruta: “C:\Program files (x86)\Microsoft Office\Office16”.
Nota: Es recomendable contar con uno de tipo personal generado por el servicio de entidad
certificadora de la organización o de un tercero de confianza, como la Fábrica Nacional de
Moneda y Timbre. El Id digital propio solo lo podrá usar para garantizar la integridad y
autenticidad de sus propios documentos y a lo demás para asegurar la integridad siempre que
confíen de su certificado por conocimiento de su persona.
La ruta del programa es para la versión de 32 bits, la utilizada en esta guía.
Dicho certificado solo puede generarlo un administrador del sistema.
Dele nombre a su Id digital propio y pulse el botón “Aceptar”.
Nota: Se recomienda, encarecidamente, leer el contenido de la ventana superior.

USO OFICIAL
Paso Descripción
Se mostrará un mensaje de conformidad con la creación del certificado. Pulse el botón “Aceptar”.
El certificado estará disponible en el contenedor del equipo y podrá ser usado para firmar desde los
aplicativos de Microsoft Office 2016. Por ejemplo, desde Microsoft Excel.
Al seleccionarlo se mostrará un mensaje de aviso. Pulse “Sí” para volver a la ventana “Firmar” y para
terminar haga clic en “Firmar”.
El último aviso confirma la firma del documento. Presione “Aceptar”.

USO OFICIAL
Paso Descripción
La firma se muestra con aviso debido a la naturaleza propia del Id digital, o certificado.
Pulsando en “Firmas recuperables  Ver firmas” podemos volver al libro y ver las firmas digitales en el
margen derecho.
En la siguiente imagen se puede ver el detalle de la apariencia de la ventana.

CCN-STIC-585 RC AnexoB

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCN-STIC-585 RC AnexoB

Cargado por

Copyright:

Formatos disponibles

USO OFICIAL

Guía de Seguridad de las TIC

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

 Centro Criptológico Nacional, 2019

Centro Criptológico Nacional USO OFICIAL ii

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

Félix Sanz Roldán

Centro Criptológico Nacional USO OFICIAL iii

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

ANEXO B. CONFIGURACIÓN SEGURA DE OFFICE 2016 EN REDES CLASIFICADAS .................6

Centro Criptológico Nacional USO OFICIAL iv

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

INSTALACIÓN DE LA SUITE MS OFFICE 2016 PROFESSIONAL PLUS EN UN EQUIPO WINDOWS

Centro Criptológico Nacional USO OFICIAL v

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

ANEXO B. CONFIGURACIÓN SEGURA DE OFFICE 2016 EN REDES

Centro Criptológico Nacional USO OFICIAL 6

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

PRODUCTOS Y COMPONENTES DEL PROCESO DE INSTALACIÓN DE

1.1. CARACTERÍSTICAS COMPARTIDAS DE MS OFFICE

Componente Descripción Recomendado

Centro Criptológico Nacional USO OFICIAL 7

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

Componente Descripción Recomendado

Centro Criptológico Nacional USO OFICIAL 8

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

1.2. HERRAMIENTAS DE OFFICE

Componente Descripción Recomendado

Centro Criptológico Nacional USO OFICIAL 9

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

1.3. MS ACCESS 2016

Componente Descripción Recomendado

1.4. MS EXCEL 2016

Centro Criptológico Nacional USO OFICIAL 10

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

Componente Descripción Recomendado

Centro Criptológico Nacional USO OFICIAL 11

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

1.5. MS SKYPE EMPRESARIAL

Skype no dispone de opciones de instalación en la versión y edición objeto de este documento.

No instale este producto si no es requerido expresamente en su empresa.

1.6. MS ONEDRIVE PARA LA EMPRESA 2016

OneDrive no dispone de opciones de instalación en la versión y edición objeto de este documento.

1.7. MS ONENOTE 2016

Componente Descripción Recomendado

Centro Criptológico Nacional USO OFICIAL 12

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

1.8. MS OUTLOOK 2016

Componente Descripción Recomendado

Centro Criptológico Nacional USO OFICIAL 13

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

1.9. MS POWERPOINT 2016

Componente Descripción Recomendado

1.10. MS PUBLISHER 2016

Componente Descripción Recomendado

1.11. MS VISIO 2016 VIEWER

1.12. MS WORD 2016

Centro Criptológico Nacional USO OFICIAL 14

CCN-STIC-585 Anexo B – Seguridad en Microsoft Office 2016 sobre MS Windows 10 v1.0

Componente Descripción Recomendado

PLANIFICACIÓN DE LA SEGURIDAD EN MS OFFICE 2016

2.1. CONFIGURACIÓN DE BLOQUEO DE TIPO DE FORMATO DE ARCHIVO EN