Удаление и сброс паролей файлов в Office 2013
Применимо к: Office 2013, Office 365 ProPlus
Последнее изменение раздела: 2016-12-16
Сводка. В этой статье описывается, как использовать средство Office 2013 DocRecrypt для разблокировки защищенных паролем файлов Word, Excel и PowerPoint в формате OOXML.
Аудитория: ИТ-специалисты
Используйте групповую политику, чтобы применять изменения реестра, которые связывают сертификат с документами, защищенными паролем. Эти сведения о сертификате встроены в заголовок файла. Затем, если пользователь забудет или потеряет пароль, воспользуйтесь средством командной строки DocRecrypt и закрытым ключом, чтобы разблокировать файл и, при необходимости, задать новый пароль.
Если вам нужна информация о паролях в персональной копии Office 2013, см. статью, посвященную защите документа, книги или презентации с помощью паролей, разрешений и других ограничений. См. статью Удаление пароля документа, чтобы ознакомиться с дополнительным примером. |
|
Если вы — ИТ-специалист, и вам нужно узнать, как удалить или сбросить пароли в файлах Office 2013 в своей организации, например если сотрудник уволился, а вы не знаете пароля, то вы находитесь в нужном месте, продолжайте читать. |
Важно! |
---|
Эта статья входит в состав набора План идентификации, проверки подлинности и авторизации в Office 2013 для ИТ-специалистов. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, плакатов и видеозаписей, помогающих оценить Office 2013. |
В этой статье
Общие сведения
Настройка клиентских компьютеров
Настройка компьютера ИТ-администратора
Использование средства Office DocRecrypt
Файлы Office 2010 и 2007
Обзор: удаление или сброс пароля файла в Office 2013 с помощью средства DocRecrypt
Существует много причин, по которым пользователи могут захотеть защитить документ Word, Excel или PowerPoint паролем. Например:
несколько пользователей в дочерней организации работают над групповым бюджетом, но не хотят, чтобы эти данные были видны головной организации, пока они не закончат;
консультанты работают с клиентами, которым по условиям соглашения об уровне обслуживания необходимо обеспечить защиту конфиденциальных данных, даже когда они находятся вне области контроля клиентов;
учителя хотят убедиться, что тесты, созданные в Word, не могут быть раскрыты;
журналисты или ученые, которые работают над презентацией перед известными исследователями, хотят убедиться, что их открытия не станут общедоступными преждевременно.
Ранее, если создатель пароля для файла забывал пароль или покидал организацию, считалось, что доступ к файлу восстановить нельзя. Используя Office 2013 и криптоключ, созданный с помощью хранилища сертификатов частного ключа компании, ИТ-администратор может "разблокировать" файл для пользователя, а затем отменить защиту паролем или назначить новый пароль для файла. Вы, ИТ-администратор, являетесь хранителем криптоключа. Вы можете автоматически один раз передать сведения об открытом ключе на клиентские компьютеры с помощью раздела реестра, который можно создать вручную или с помощью сценария групповой политики. Если пользователь создает файл Office 2013Word, Excel или PowerPoint, защищенный паролем, в заголовок файла добавляется открытый ключ. Затем ИТ-специалист может использовать средство Office DocRecrypt, чтобы удалить пароль, связанный с файлом, а затем, при необходимости, защитить файл новым паролем. Для этого у ИТ-специалиста должны быть все следующие элементы:
новое средство Office DocRecrypt;
файл Word, Excel или PowerPoint с внедренным открытым ключом;
разрешения и доступ к открытому и закрытому ключу, которые связаны с сертификатом.
Безопасность закрытого ключа
Эта функция не предоставляет корпоративный процесс для распространения закрытого ключа или управления им, определения места его хранения, а также разрешений, необходимых для запроса взлома или сброса пароля, определения расположения файла после восстановления доступа к нему. Эти решения необходимо принять в соответствии со стандартами и процедурами вашей организации.
Принимая это во внимание, мы рекомендуем использовать следующие политики, чтобы обеспечить высокий уровень безопасности защищенных паролем файлов:
Никогда не передавайте закрытый ключ на клиентский компьютер! Это наиболее важная рекомендация.
Заблокируйте хранилище сертификатов с закрытым ключом и сертификатом, который использовался для создания криптоключа и открытых ключей.
Убедитесь, что ни один пользователь не может скомпрометировать службы инфраструктуры открытого ключа (PKI). Кроме того, мы рекомендуем распределить роли управления сертификатами среди различных пользователей в организации.
Если вы не будете следовать этим рекомендациям, безопасность всех новых файлов, защищенных паролем, может быть под угрозой. Ваша компания должна была определить модель администрирования служб сертификатов Active Directory (AD CS) и стратегию управления инфраструктурой центра сертификации (CA), которая включается в себя, например, хранение закрытого ключа и сертификатов на внешнем ресурсе. Дополнительные сведения см. в статье, посвященной реализации администрирования на основе ролей.
Примечание |
---|
Сертификат, используемый для DocRecrypt, может быть обычным сертификатом пользователя для проверки подлинности. Основная цель сертификата — возможность шифрования документа. |
Как можно найти правильный сертификат?
Так как на компьютере ИТ-специалиста могут размещаться многие сертификаты закрытого ключа, может возникнуть вопрос: "Как найти нужный сертификат?". Средство Office 2013 DocRecrypt сначала выполняет поиск в логическом хранилище, а затем в хранилище текущего пользователя диспетчера сертификатов (certmgr.msc). В каждом хранилище средство ищет сертификаты, для которых не требуется PIN-код системы Windows. Затем средство ищет сертификаты, которым этот PIN-код необходим.
Особые соображения
Только файлы Open Office XML Средство Office DocRecrypt работает только с документами Office в формате Open XML (DOCX-, PPTX- и XLSX-файлы).
Ранее зашифрованные файлы Средство Office DocRecrypt нельзя использовать для восстановления файлов, которые были защищены паролем до развертывания сертификата и криптоключа. Однако если пользователь откроет ранее защищенный файл в Office 2013 после развертывания сертификата и криптоключа, а затем сохранит его, криптоключ будет при этом добавлен в файл. С этого момента вы сможете удалить или сбросить пароль файла с помощью средства Office DocRecrypt.
Другие способы защиты файлов Word, Excel и PowerPoint Сведения о способах защиты файлов Word, Excel и PowerPoint см. в статье Защита документа, книги или презентации с помощью паролей, разрешений и других ограничений.
Имейте в виду, что пользователи могут независимо друг от друга применить любой из этих методов защиты. Если ИТ-администратор удалил пароль, другие параметры защиты сохранятся, так как удаление пароля на них не влияет.
Существуют дополнительные факторы, которые могут повлиять на возможность удаления пароля файла. Дополнительные сведения и советы см. в следующей таблице.
Особенности удаления пароля в файле
Проблема | Совет |
---|---|
Файл отмечен как доступный только для чтения или скрытый. |
Средство Office DocRecrypt не работает с файлами, которые отмечены как доступные только для чтения или скрытые. Но вы можете удалить соответствующий параметр, расшифровать файл и опять сделать его доступным только для чтения или скрытым после поиска. |
Файл хранится в нескольких местах. |
Средство Office DocRecrypt удаляет защиту паролем только для определенного экземпляра файла, который вы указываете. Но вы также должны удалить защиту паролем для файлов в массиве RAID и других конфигурациях жестких дисков. |
Файл находится в общей книге. |
Средство Office DocRecrypt не работает для совместно редактируемых файлов, содержащих внедренные файлы. |
Файл подписан цифровой подписью. |
Удаление защиты паролем для файла с цифровой подписью не нарушает действие подписи. |
Имя файла начинается с дефиса ("-"). |
Если имя файла, который вы хотите найти в средстве Office DocRecrypt, содержит дефис, заключите имя файла в кавычки. |
Запрашивающая сторона не имеет разрешений на открытие файла. |
ИТ-администратор определяет, обладает ли пользователь, запросивший расшифровку файла, полномочиями для просмотра его содержимого после удаления или сброса пароля. Кроме того, если с защищенным паролем файлом связан список управления доступом, при расшифровке эта связь будет удалена. Вам потребуется восстановить ее после завершения процесса. |
Файл или целевая папка доступны только для чтения. |
Убедитесь в том, что защищенный паролем файл и целевая папка доступны для чтения и записи. |
Сертификат был отозван или просрочен. |
ИТ-отдел должен убедиться в том, что сертификаты закрытого ключа являются допустимыми и актуальными. Кроме того, помните, что средство Office DocRecrypt не проверяет состояние отзыва сертификата закрытого ключа. |
Защищенный паролем файл находится в облаке. |
Для расшифровки файла его нужно скопировать на жесткий диск или общий сетевой ресурс, доступный для чтения и записи. |
Настройка клиентских компьютеров для удаления защиты паролем
Чтобы ИТ-отдел мог удалить пароль для защищенного файла Word, PowerPoint или Excel, при развертывании Office 2013 в организации сначала необходимо передать открытые ключи сертификата и изменить реестр на клиентских компьютерах. Это можно сделать двумя способами:
с помощью административного шаблона групповой политики, что лучше всего подходит для большого числа клиентских компьютеров или компьютеров в корпоративной сети;
вручную, изменив реестр клиентского компьютера, что более оптимально для одного или небольшого числа клиентских компьютеров.
Примечание |
---|
Для работы во всех наборах Наборы приложений Office 2013 можно использовать мышь, сочетания клавиш и сенсорные жесты. Дополнительные сведения об использовании сочетаний клавиш и сенсорных жестов в службах и продуктах Office см. в следующих статьях: Сочетания клавиш, Справочник по сенсорному управлению в Office. |
Настройка нескольких клиентских компьютеров для защиты паролем с помощью объекта групповой политики
Скачайте административный шаблон групповой политики (ADMX/ADML) на веб-странице Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office
Откройте шаблон в редакторе локальной групповой политики и перейдите к параметрам криптоключа. Откройте узел Конфигурация пользователя, а затем выберите Административные шаблоны, Microsoft Office 2013, Параметры безопасности и Условные сертификаты.
Для настройки доступно 20 криптоключей с именами "Криптоключ n".
Выберите криптоключ и в контекстном меню (открывается щелчком правой кнопкой мыши) щелкните Изменить, чтобы настроить криптоключ.
Появится диалоговое окно Криптоключ n.
Чтобы настроить и включить этот ключ, нажмите кнопку Включено. Чтобы отключить ключ позднее, вернитесь в диалоговое окно Криптоключ n и нажмите кнопку Отключено.
В поле Хэш сертификата введите хэш, который используется как уникальный идентификатор сертификата ("отпечаток"). Например, если отпечаток сертификата — 9131517191121d94d143117fc126213c1781d21c, установите для хэша сертификата это значение. Этот хэш-код может содержать пробелы, если вы хотите сделать его более удобным для чтения.
Введите комментарий с подробными сведениями об этом сертификате (при необходимости).
Нажмите кнопку ОК.
Дополнительные сведения о шаблонах, центре развертывания Office, групповой политике и сценариях запуска групповой политики см. в следующих разделах:
Файлы административных шаблонов (ADMX/ADML) Office 2013 и центр развертывания Office
Принудительное применение параметров с помощью групповой политики в Office 2010
Развертывание Office 2010 с использованием скриптов запуска компьютера из групповой политики
Настройка одного клиентского компьютера для защиты паролем с помощью новых параметров реестра
Чтобы удалить пароль для файла Word, PowerPoint или Excel, необходимо создать раздел реестра, указав сертификаты открытого ключа, которые должны быть доступны для защищенных паролем файлов.
Примечание |
---|
Подробные инструкции по созданию раздела реестра см. в справке, доступной в меню "Справка" редактора реестра (regedit.exe). |
Создайте раздел в редакторе реестра на клиентском компьютере по следующему пути:
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts
Создайте этот раздел вручную или с помощью пакетного REG-файла. Сведения о создании REG-файла с использованием regedit.exe см. в статье Создание REG-файла.
Создание раздела в реестре клиентского компьютера
Элемент реестра Описание Имя ключа
Это должно быть имя EscrowCerts.
Тип данных
ключа
Родительский раздел
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\
В раздел, созданный на шаге 1, добавьте данные о сертификате открытого ключа, как показано в следующей таблице. Создайте одну запись для каждого сертификата открытого ключа, который должен быть доступен для защищенных паролем файлов.
Добавление данных сертификата открытого ключа
Элемент реестра Описание Имя ключа
Уникальное определяемое пользователем имя, которое описывает сертификат открытого ключа. Например, EscrowCert01, EscrowCert02 и т. д.
Тип
STRING
Значение
Хэш-значение, которое используется как уникальный идентификатор сертификата ("отпечаток") в диалоговом окне Сертификат Windows. Например, если отпечаток сертификата — 9131517191121d94d143117fc126213c1781d21c, установите для хэша это значение. Этот хэш-код может содержать пробелы, если вы хотите сделать его более удобным для чтения.
После создания записей реестра передайте сертификат на клиентский компьютер. Сертификат открытого ключа должен храниться в диспетчере сертификатов Windows (certmgr.msc) в хранилище текущего пользователя, в логическом или личном хранилище. Сведения о передаче сертификатов открытого ключа на клиентские компьютеры с помощью групповой политики см. в статье о распространении сертификатов для клиентских компьютеров с помощью групповой политики.
Важно! ИТ-администратор должен убедиться, что сертификат, используемый для этого процесса, является допустимым и действительным.
Если пользователи решили защитить паролем файлы, созданные в Office 2013Word, PowerPoint или Excel, соответствующие данные открытого ключа сохраняются в заголовке файла. Администратор может использовать открытый ключ и соответствующий закрытый ключ позже, если потребуется удалить защиту паролем.
Настройка компьютера ИТ-администратора с ключом и средством DocRecrypt
На компьютере ИТ-администратора необязательно должен находиться раздел и подраздел в реестре, как и копия сертификата открытого ключа. Но на компьютере ИТ-администратора необходимы следующие компоненты:
пара из совпадающих закрытого ключа и сертификата;
средство Office DocRecrypt.
Настройка компьютера ИТ-администратора
С помощью мастера импорта сертификата импортируйте соответствующий закрытый ключ в сертификат в диспетчере сертификатов Windows.
Скачайте и установите средство Office DocRecrypt. Оно доступно в Центре загрузки Майкрософт.
При установке средства Office DocRecrypt на 64-разрядном компьютере оно устанавливается в следующую папку:
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
При установке средства Office DocRecrypt на 32-разрядном компьютере оно устанавливается в следующую папку:
- %ProgramFiles%\Microsoft Office\DOCRECRYPT
Вот и все. Все на месте, и вы готовы к удалению пароля для файла Word, Excel или PowerPoint, если пользователь попросит вас об этом.
Использование средства Office DocRecrypt
Используйте средство DocRecrypt, которое теперь установлено на компьютере ИТ-администратора, чтобы удалить пароль файла и назначить новый пароль.
Использование средства DocRecrypt
Выполните следующие действия, чтобы запустить DocRecrypt из командной строки. Также вы можете выполнять команды DocRecrypt в автоматическом режиме из пакетного файла или сценария.
Откройте командную строку Office DocRecrypt с помощью следующей команды:
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]
В следующей таблице описаны параметры средства DocRecrypt.
Параметры DocRecrypt
Параметр Описание -p <новый_пароль>
(Необязательный параметр) Это новый пароль, который будет назначен входному файлу или выходному файлу, если указано имя выходного файла.
-i <входной_файл_или_папка>
Это файл или папка, содержащая файлы, заблокированные из-за того, что пароль неизвестен. Если указать папку, средство Office DocRecrypt будет игнорировать файлы не в формате Office Open XML.
-o <выходной_файл_или_папка>
(Необязательный параметр) Это имя нового выходного файла или папки для файлов, которые будут созданы на основе входных файлов. Опять же, все файлы не в формате Office Open XML игнорируются.
-q
(Необязательный параметр) Указывает, что вы хотите запустить средство Office DocRecrypt в режиме без уведомлений, обычно в сценарии. В этом режиме пользовательский интерфейс не отображается, а если для сертификата ИТ-администратор должен ввести PIN-код, возникает ошибка. Если для вашего сертификата необходимо ввести PIN-код, не используйте режим без уведомлений.
Например:
Чтобы удалить пароль из файла, используйте следующий код:
DocRecrypt -i lockedfile
Чтобы удалить пароль и назначить новый пароль 12345, используйте следующий код:
DocRecrypt -p 12345 -i lockedfile
Чтобы удалить пароль, создать новый файл и назначить для него новый пароль 12345, используйте следующий код:
DocRecrypt -p 12345 -i lockedfile -o newfile
Когда файлы будут защищены паролем с помощью Office 2013, пароли не будут удаляться.
Файлы Office 2010 и 2007
Когда клиентские компьютеры в вашей организации будут настроены с помощью средства Office DocRecrypt (по отдельности или с помощью групповой политики), создаваемые в будущем файлы Word 2013, Excel 2013 и PowerPoint 2013 (DOCX, XLSX и PPTX), а также имеющиеся защищенные паролем файлы Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 и PowerPoint 2010, которые пользователи редактируют в Office 2013, можно будет разблокировать с помощью средства DocRecrypt. Кроме того, с помощью этого средства можно сбрасывать их пароли. Когда к защищенному паролем файлу будет добавлен ключ escrow, его можно будет разблокировать или сбросить, даже если его редактировали в Office 2007 или Office 2010.
См. также
План идентификации, проверки подлинности и авторизации в Office 2013