規劃 Office 2013 的密碼編譯和加密設定
適用版本: Office 2013, Office 365 ProPlus
上次修改主題的時間: 2016-12-16
摘要:說明 Office 2013 中您可用來將資料加密的設定,並提供與舊版 Office 之相容性的資訊。
對象: IT 專業人員
Office 2013 包含一些設定,可讓您控制使用 Access 2013、Excel 2013、OneNote 2013、PowerPoint 2013、Project 2013 及 Word 2013 時加密資料的方式。
本文探討 Office 2013 中的密碼編譯及加密、說明您可用來加密資料的設定,並提供與舊版 Office 之相容性的資訊。如需 Outlook 2013 的詳細資訊,請參閱<規劃 Outlook 2010 的電子郵件訊息密碼編譯>。
|
本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。 您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。 |
.jpg "Office 安全性之指南的藍圖箭號")
規劃加密設定時,請考慮下列事項:
除非您組織的安全性模型要求有跟預設設定不一樣的加密設定,否則建議您不要變更預設加密設定。
建議您強制執行密碼的長度與複雜度,以便確保加密資料時使用的是強式密碼。如需詳細資訊,請參閱<規劃 Office 2013 的密碼複雜性設定>。
建議您不要使用 RC4 加密。如需詳細資訊,請參閱本文稍後的<與舊版 Office 的相容性>。
並沒有系統管理設定可強迫使用者將文件加密,但是有項系統管理設定可防止使用者新增密碼至文件,從而防止文件遭到加密。如需詳細資訊,請參閱本文稍後的<密碼編譯和加密設定>。
將文件儲存在信任位置並不影響加密設定。如果將已加密的文件儲存在信任位置,使用者仍必須提供密碼才能開啟文件。
如果您允許使用者以密碼保護文件,但他們之後忘記或遺失了密碼,您可使用 DocRecrypt 工具來重設或移除密碼。如需詳細資訊,請參閱<在 Office 2013 中移除或重設檔案密碼>一文。
本文內容:
關於 Office 2010 的密碼編譯和加密
密碼編譯和加密設定
與舊版 Office 的相容性
關於 Office 2010 的密碼編譯和加密
可搭配 Office 使用的密碼編譯演算法,取決於可透過 Windows 作業系統中之 API (應用程式開發介面) 存取的演算法而定。Office 2013 除了繼續支援密碼編譯 API (CryptoAPI),也同時支援 CNG (CryptoAPI: Next Generation),後者從 2007 Microsoft Office system Service Pack 2 (SP2) 就開始提供。
CNG 容許更靈活的加密,讓您可以指定在文件加密期間使用主機電腦上支援的加密和雜湊演算法。CNG 也容許擴充性更佳的加密,讓您可以使用協力廠商加密模組。
Office 使用 CryptoAPI 時,加密演算法取決於 Windows 作業系統內附的密碼編譯服務提供者 (CSP) 中有什麼可用。下列登錄機碼會包含電腦上已安裝之 CSP 的清單:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
下列 CNG 加密演算法 (或系統上安裝的任何其他 CNG 加密延伸模組) 都可與 2007 Office System SP2、Office 2010 或 Office 2013 搭配使用:
AES、DES、DESX、3DES、3DES_112 及 RC2
下列 CNG 雜湊演算法 (或系統上安裝的任何其他 CNG 加密延伸模組) 都可與 2007 Office System SP2、Office 2010 或 Office 2013 搭配使用:
MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384 及 SHA512
雖然 Office 2013 有些設定可以變更加密執行方式,但當您加密 Open XML 格式檔案 (.docx, .xslx, .pptx 等等) 時,預設值 (AES (進階加密標準)、128 位元金鑰長度、SHA1 及 CBC (加密區塊鏈結)) 可提供強大的加密,對大部分組織來說應已足夠。AES 加密是業界目前最強的標準演算法,並由美國國家安全局 (NSA) 選為美國政府所根據的標準。Windows XP SP2、Windows Vista、Windows 7、Windows 8、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 都支援 AES 加密。
密碼編譯和加密設定
下表列出您可用於能存取 CryptoAPI 之 Office 版本的加密演算法設定。適用版本包括直至 Office 2013 (含) 的 Office 版本。
可用於 CryptoAPI 的加密演算法設定
| 設定 | 描述 |
|---|---|
受密碼保護的 Office Open XML 檔案的加密類型 |
此設定可讓您從可用的密碼編譯服務提供者 (CSP) 中指定 Open XML 檔案的加密類型。當您使用自訂 COM 加密增益集時,此設定為必要項目。如果您使用 2007 Office System SP1 或是使用舊於 Microsoft Office Word、Excel 及 PowerPoint 檔案格式相容性套件的相容性套件版本,且您想將加密演算法變更為預設值以外的設定,則此設定也是必要項目。 |
受密碼保護的 Office 97-2003 檔案之加密類型 |
此設定可讓您從可用的密碼編譯服務提供者 (CSP) 中指定 Office 97–2003 ( 二進位) 檔案的加密類型。此設定唯一支援的加密演算法是 RC4,但不建議使用此項目。 |
在 Office 2013 中,如果您必須變更 [受密碼保護的 Office Open XML 檔案的加密類型] 設定,請先啟用 [指定加密相容性] 設定並選取 [使用舊版格式] 選項。[指定加密相容性] 設定可用於 Access 2013、Excel 2013、PowerPoint 2013 和 Word 2013。
下表列出當您使用 Office 2013 時,可用於變更加密演算法的設定。這些設定套用至 Access 2013、Excel 2013、OneNote 2013、PowerPoint 2013、Project 2013 和 Word 2013。
.gif "注意事項") 附註: |
|---|
| 下列所有設定 (但 [為 CNG 內容指定參數] 和 [指定 CNG 亂數產生器演算法] 除外) 都適用,即使您使用的是支援 Office 2013 但不提供 CNG 支援的作業系統 (例如 Windows XP SP3) 也適用。在這種情況下,Office 2013 將使用 CryptoAPI 而不是 CNG。只有在您使用 Office 2013 來加密 Open XML 檔案時才會套用這些設定。 |
使加密演算法變更的設定
| 設定 | 描述 |
|---|---|
設定 CNG 加密演算法 |
可讓您設定所使用的 CNG 加密演算法。預設值為 AES。 |
設定 CNG 加密鏈結模式 |
可讓您設定所使用的加密鏈結模式。預設值為 [加密區塊鏈結 (CBC)]。 |
設定 CNG 加密金鑰長度 |
可讓您設定在建立加密金鑰時要使用的位元組數目。預設值為 128 位元。 |
指定加密相容性 |
可讓您指定相容性格式。預設值為 [使用新一代格式]。 |
為 CNG 內容指定參數 |
可讓您指定應對 CNG 內容使用的加密參數。若要使用此設定,需先使用 CryptoAPI: Next Generation (CNG) 建立 CNG 內容。如需詳細資訊,請參閱<CNG 密碼編譯設定函數>。 |
指定 CNG 雜湊演算法 |
可讓您指定所使用的雜湊演算法。預設值為 SHA1。 |
設定 CNG 密碼微調計數 |
讓您指定微調 (重新雜湊) 密碼檢查器的次數。預設值為 100000。 |
指定 CNG 亂數產生器演算法 |
可讓您設定要使用的 CNG 亂數產生器。預設值為 RNG (亂數產生器)。 |
指定 CNG Salt 長度 |
可讓您指定應使用之 Salt 的位元組數目。Salt 是對密碼和雜湊的額外輸入。預設值為 16。 |
下表列出可針對 Excel 2013、PowerPoint 2013 和 Word 2013 進行設定的額外 CNG 設定。
Excel 2013、PowerPoint 2013 和 Word 2013 的專用 CHG 設定
| 設定 | 描述 |
|---|---|
密碼變更時使用新金鑰 |
可讓您指定當密碼變更時是否應使用新的加密金鑰。預設為密碼變更時不使用新金鑰。 |
您可使用下表所列出的設定,防止使用者新增密碼至文件。如此可防止使用者將文件加密。
用來防止使用者以密碼來保護文件的設定
| 設定 | 描述 |
|---|---|
停用開啟 UI 的密碼 |
此設定可控制 Office 2013 使用者是否可以新增密碼至文件。預設為使用者可以新增密碼。 |
| 附註: |
|---|
| 如需如何在 Office 自訂工具 (OCT) 和 Office 2013 系統管理範本中進行安全性設定的詳細資訊,請參閱<使用 OCT 或群組原則設定 Office 2013 的安全性>。 |
與舊版 Office 的相容性
如果您必須加密 Office 文件,建議您將文件儲存為 Open XML 格式檔案 (.docx, .xlsx, .pptx 等等),而非 Office 97–2003 格式 (.doc, .xls, .ppt 等等)。用於二進位文件 (.doc, .xls, .ppt) 的加密使用的是 RC4。但如<Office 文件密碼編譯結構規格>中<安全性考量>第 4.3.2 和 4.3.3 節中所述,不建議使用 RC4。以舊版 Office 二進位格式儲存的文件只能使用 RC4 加密,以便維持與舊版 Office 的相容性。預設的 (也是建議的) 加密演算法 AES,將用於加密 Open XML 格式檔案。
Office 2013、Office 2010 和 2007 Office System 可讓您將文件儲存為 Open XML 格式檔案。此外,如果您有 Office XP 或 Office 2003,可以使用相容性套件將文件儲存為 Open XML 格式檔案。
以 Office 2013 來加密並儲存為 Open XML 格式檔案的文件,只能以 Office 2013、Office 2007 SP2 以及 Office 2003 加 Office 2007 SP2 相容性套件來讀取。若要確保與所有舊版 Office 相容,您可以在 HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ 下建立名為 CompatMode 的登錄機碼 (如果此登錄機碼尚不存在),並將其設為 0 以將其停用。您可以在 <application> 處輸入值,代表您要設定此登錄機碼的特定 Office 應用程式。例如,您可以輸入 Access、Excel、PowerPoint 或 Word。請務必了解,當您將 CompatMode 設為 0 時,Office 2013 會使用與 Office 2007 相容的加密格式,而不是以 Office 2013 加密 Open XML 格式檔案時預設會提供的增強安全性。如果您因考量相容性而必須做此設定,建議您同時使用可提供增強安全性 (如 AES 加密) 的協力廠商加密模組。
如果您的組織使用適用於 Word、Excel 及 PowerPoint 檔案格式的 Microsoft Office 相容性套件來加密 Open XML 格式檔案,您應該檢閱下列資訊:
依預設,相容性套件會使用下列設定來加密 Open XML 格式檔案:
Microsoft Enhanced RSA 與 AES Cryptographic Provider (原型),AES-128,128 (Windows XP Professional 作業系統上)。
Microsoft Enhanced RSA 與 AES Cryptographic Provider,AES 128,128 (Windows Server 2003 和 Windows Vista 作業系統上)。
使用者不會收到相容性套件是使用這些加密設定的通知。
舊版 Office 如果安裝了相容性套件,其圖形化使用者介面可能會針對 Open XML 格式檔案來顯示錯誤的加密設定。
使用者無法使用舊版 Office 的圖形化使用者介面來變更 Open XML 格式檔案的加密設定。
| 附註: |
|---|
| 如需原則設定的最新資訊,請參閱<Office 2013 的群組原則系統管理範本檔案 (ADMX、ADML) 和 Office 自訂工具 (OCT) 檔案>一文。 |
另請參閱
Office 2013 安全性的內容藍圖
Office 2013 安全性概觀
使用 OCT 或群組原則設定 Office 2013 的安全性
在 Office 2013 中移除或重設檔案密碼