Quitar o restablecer contraseñas de archivos en Office 2016
Resumen: explica cómo usar la herramienta DocRecrypt de Office 2016 para desbloquear archivos de Word, Excel y PowerPoint con formato OOXML protegidos por contraseña.
Use la directiva de grupo para insertar cambios en el Registro que asocian un certificado con documentos protegidos por contraseña. Esta información del certificado se inserta en el encabezado del archivo. Más tarde, si olvida o pierde la contraseña, use la herramienta de la línea de comandos DocRecrypt y la clave privada para desbloquear el archivo y, de manera opcional, asignar una nueva contraseña.
Nota:
- Si desea información sobre las contraseñas en una copia personal de Office 2016, vea Proteger un documento con una contraseña o Proteger un archivo de Excel.
- Si es un profesional de TI que busca quitar o restablecer contraseñas en archivos de Office 2016 dentro de su organización, por ejemplo, si un empleado ha abandonado la organización y no conoce la contraseña, está en el lugar correcto, así que siga leyendo. |
Información general: quitar o restablecer la contraseña de un archivo en Office 2016 mediante la herramienta DocRecrypt
Hay muchas razones por las que es posible que los usuarios quieran o tengan que proteger con contraseña un documento de Word, Excel o PowerPoint. Por ejemplo:
Varias personas de una organización inmediata quieren trabajar en un presupuesto de grupo, pero no quieren que esos números sean visibles para la organización mayor hasta que terminen.
Los consultores trabajan con clientes que requieren, a través de un contrato de nivel de servicio, que sus datos confidenciales permanezcan protegidos cuando ya no estén bajo el control del cliente.
Los profesores quieren asegurarse de que las pruebas que se crean en Word no se pueden poner en peligro.
Los profesionales de los medios de comunicación, y los científicos que trabajan en presentaciones a investigadores clave en sus campos, quieren asegurarse de que sus avances no se filtren al público antes de sus anuncios principales.
Anteriormente, si el creador original de la contraseña de un archivo la olvidaba o abandonaba la organización, el archivo no se podía recuperar. Un administrador de TI puede desbloquear un archivo para un usuario con Office 2016 y una clave de custodia. Esta clave procede del almacén de certificados de clave privada de su empresa o organización. Después del desbloqueo, el administrador puede quitar la protección con contraseña o establecer una nueva contraseña para el archivo. Usted, el administrador de TI, es el encargado de la clave de custodia, que se genera a partir del almacén de certificados de clave privada de su empresa o organización. Puede insertar en modo silencioso la información de la clave pública en los equipos cliente uno por uno mediante una configuración de clave del Registro que se crea de forma manual, o bien puede crearla a través de un script de directiva de grupo. Más adelante, cuando un usuario cree un archivo de Word, Excel o PowerPoint protegido por contraseña, esta clave pública se incluirá en el encabezado del archivo. Luego, un profesional de TI puede usar la herramienta DocRecrypt de Office para quitar la contraseña adjunta al archivo y, de manera opcional, proteger el archivo con una contraseña nueva. El profesional de TI debe tener todo lo siguiente para quitar la contraseña:
La nueva herramienta DocRecrypt de Office
El archivo de Word, Excel o PowerPoint que tiene una clave pública insertada
Permiso y acceso a las claves públicas y privadas asociadas con el certificado
Proteger la clave privada
Esta característica no controla el proceso corporativo para controlar y distribuir una clave privada. Tampoco define dónde almacenar la clave, los permisos necesarios para las solicitudes de restablecimiento de contraseña o la ubicación del archivo después de la restauración. Los estándares y procesos de su organización deben guiar estas decisiones.
Para mantener un alto nivel de seguridad en los archivos protegidos con contraseña, se recomienda adoptar estas directivas:
Nunca inserte la clave privada en un equipo cliente. Esta recomendación es la más importante.
Bloquee el almacén de certificados que tiene la clave privada y el certificado que se utilizó para generar la clave de custodia y las claves públicas.
Asegúrese de que ningún individuo pueda poner en peligro los servicios de infraestructura de clave pública (PKI). Además, se recomienda distribuir los roles de administración de certificados a diferentes personas de la organización.
Si no sigue estas recomendaciones de forma coherente, se puede poner en peligro la seguridad de todos los nuevos archivos protegidos con contraseña. Su empresa u organización ya debe contar con un modelo de administración de Servicios de certificados de Active Directory (AD CS) bien definido y una estrategia de infraestructura de entidad de certificación (CA) que incluya, por ejemplo, almacenamiento externo de certificados y claves privadas. Para obtener más información, vea el tema sobre la implementación de la administración basada en roles.
Nota:
El certificado usado para DocRecrypt puede ser un certificado de usuario normal con la autenticación de usuario como finalidad prevista. El principal objetivo del certificado es cifrar el documento.
¿Cómo se encuentra el certificado correcto?
Dado que muchos certificados de clave privada pueden encontrarse en un equipo de TI, es justo preguntarse cómo se puede detectar el certificado correcto. En el administrador de certificados (certmgr.msc), la herramienta DocRecrypt de Office 2016 primero busca en el almacén lógico y, luego, en el del usuario actual. En cada uno de estos almacenes, la herramienta busca primero los certificados que no requieren un PIN de cumplimiento del sistema de Windows. A continuación, busca en los certificados que requieren uno.
Consideraciones especiales
Solo archivos Office Open XML La herramienta DocRecrypt de Office solo funciona en documentos con formato Office Open XML, como archivos docx, pptx y xlsx.
Archivos cifrados anteriormente La herramienta DocRecrypt de Office no se puede usar para recuperar archivos protegidos con contraseña antes de implementar el certificado y la clave de custodia. Después de implementar el certificado y la clave de custodia, un usuario puede abrir un archivo de Office 2016 protegido anteriormente y guardarlo. Esta acción agrega la clave de custodia al archivo. A partir de ese momento, puede quitar o restablecer la contraseña del archivo mediante la herramienta DocRecrypt de Office.
Otras formas de proteger archivos de Word, Excel y PowerPoint Para otras formas de proteger archivos de Word, Excel y PowerPoint, vea Agregar o quitar protección en el documento, libro o presentación.
Los usuarios pueden aplicar de forma independiente cualquiera de estos métodos de protección. Si un administrador de TI quita una contraseña, el resto de la configuración de protección permanece en su lugar. La eliminación de la contraseña no afecta a esta otra configuración.
Hay algunos factores que pueden afectar a la capacidad de quitar la contraseña en un archivo. Para obtener información detallada y consejos, consulte la tabla siguiente.
Consideraciones al quitar la contraseña de un archivo
| Problema | Consejo |
|---|---|
| El archivo está marcado como de solo lectura o está oculto. |
La herramienta DocRecrypt de Office no funciona en archivos marcados como de solo lectura u ocultos. Pero puede quitar la configuración, descifrar el archivo y luego volver a ocultarlo o establecerlo como de solo lectura después de la búsqueda. |
| El archivo está almacenado en varios lugares. |
La herramienta DocRecrypt de Office solo quita la protección con contraseña en la instancia específica del archivo a la que se hace referencia. Pero también debe quitarla en los archivos a los que se hace referencia en RAID o en otras configuraciones de disco duro. |
| El archivo se encuentra en un libro compartido. |
La herramienta DocRecrypt de Office no funciona en archivos creados conjuntamente que contienen archivos incrustados. |
| El archivo está firmado digitalmente. |
Quitar la protección con contraseña de un archivo firmado digitalmente no afecta a la validez de la firma digital. |
| El nombre del archivo comienza con un guión ("-"). |
Si el nombre del archivo que desea buscar con la herramienta DocRecrypt de Office contiene un guión, escríbalo entre comillas. |
| El solicitante no tiene permisos para abrir el archivo. |
El administrador de TI comprueba si la persona que pide descifrar un archivo tiene derecho a acceder a su contenido una vez que se quita o cambia la contraseña. De forma similar, si un archivo protegido por contraseña tiene asociada una lista de control de acceso, el proceso de descifrado quita la asociación. Debe restablecerla posteriormente. |
| El archivo o la ubicación de destino son de solo lectura. |
Asegúrese de que tanto el archivo protegido con contraseña como la ubicación de destino sean de lectura y escritura. |
| El certificado se ha revocado o ha expirado. |
El departamento de TI debe asegurarse de que los certificados de clave privada sean válidos y estén actualizados. Además, la herramienta DocRecrypt de Office no comprueba el estado de revocación de certificados de clave privada. |
| El archivo protegido con contraseña se encuentra en la nube. |
El archivo debe copiarse a un disco duro o un recurso compartido UNC de lectura y escritura para poder descifrarlo. |
Configurar equipos cliente para la eliminación de la protección con contraseña
Para permitir que el departamento de TI elimine una contraseña de un archivo de Word, PowerPoint o Excel protegido con contraseña, al implementar Office 2016 en la organización, primero debe insertar las claves públicas del certificado y llevar a cabo algunas acciones en el Registro de los equipos cliente. Hay dos formas de hacerlo:
A través de una plantilla administrativa de directiva de grupo, que es la mejor opción para equipos cliente empresariales o para varios equipos.
Modificando manualmente el Registro de un equipo cliente, que es la mejor opción para unos pocos equipos cliente o para un único equipo.
Para configurar varios equipos cliente para la protección con contraseña con un objeto de directiva de grupo
Descargue los archivos directiva de grupo plantilla administrativa (ADMX/ADML) del Centro de descarga de Microsoft.
Abra la plantilla en el Editor de directivas de grupo local y desplácese a la configuración de clave de custodia. Abra la rama Configuración de usuario y elija Plantillas administrativas, Microsoft Office 2016, Configuración de seguridad y Certificados de custodia.
Hay disponibles 20 claves de custodia para configurar, cada una de las cuales se denomina Clave de custodia n.º n.
Seleccione una clave de custodia y, luego, en el menú contextual (clic con el botón secundario), elija Editar para configurarla.
Aparece el cuadro de diálogo Clave de custodia n.º n.
Para configurar y habilitar esta clave, seleccione el botón Habilitada. Si más adelante quiere deshabilitarla, vuelva al cuadro de diálogo Clave de custodia n.º n y seleccione el botón Deshabilitada.
En el cuadro Hash de certificado, escriba el hash de certificado que se usa como identificador único del certificado, también conocido como "huella digital". Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, establezca el valor hash del certificado en ese número. Este hash puede incluir espacios para que sea más fácil de leer.
Escriba un comentario para proporcionar más detalles sobre este certificado en particular, si es necesario. Es opcional.
Elija Aceptar.
Para configurar un único equipo cliente para la protección con contraseña con la nueva configuración del Registro
Para poder eliminar una contraseña de un archivo de Word, PowerPoint o Excel, debe crear una clave del Registro para indicar los certificados de clave pública que quiere poner a disposición para la protección de archivos con contraseña.
Nota:
Para obtener instrucciones específicas acerca de cómo crear una clave del Registro, consulte la ayuda disponible desde el menú Ayuda del Editor del Registro (regedit.exe).
En el Editor del Registro, cree una clave en el Registro del equipo cliente en la siguiente ruta del Registro:
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts
Cree esta nueva clave manualmente o mediante un archivo por lotes reg. Para crear un archivo .reg con regedit.exe, vea el tema sobre cómo crear un archivo .reg.
Crear una clave en el Registro del equipo cliente
| Elemento del Registro | Descripción |
|---|---|
| Nombre de la clave |
Debe ser EscrowCerts. |
| Tipo de datos |
clave |
| Elemento primario |
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\ |
En la nueva clave que creó en el paso 1, agregue la información del certificado de clave pública, como se muestra en la siguiente tabla. Cree una entrada para cada certificado de clave pública que desee poner a disposición para la protección de archivos con contraseña.
Agregar información del certificado de clave pública
| Elemento del Registro | Descripción |
|---|---|
| Nombre de la clave |
Nombre único definido por el usuario que describe el certificado de clave pública. Por ejemplo, EscrowCert01, EscrowCert02, etc. |
| Tipo |
STRING |
| Valor |
El hash que se utiliza como identificador único del certificado, también conocido como "huella digital" en el cuadro de diálogo de certificados de Windows. Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, configure el valor en ese número. Este hash puede incluir espacios para que sea más fácil de leer. |
Cuando las entradas del Registro estén en su lugar, inserte el certificado en el equipo cliente. El certificado de clave pública debe almacenarse en el Administrador de certificados de Windows (certmgr.msc) en el almacén de certificados (lógico, del usuario actual o personal). Para obtener información detallada acerca de la inserción de certificados de clave pública en equipos cliente mediante la directiva de grupo, vea el tema sobre cómo distribuir certificados a equipos cliente mediante la directiva de grupo.
Importante
El administrador de TI debe asegurarse de que el certificado que se utilizó para este proceso es válido y no ha expirado.
Cuando los usuarios deciden proteger con contraseña los archivos que crean en Word, PowerPoint o Excel de Office 2016, se guarda en el encabezado del archivo la información de la clave pública correspondiente. Más adelante, el administrador puede usar esta clave pública y la clave privada coincidente si se le pide que elimine la protección con contraseña.
Configurar el equipo del administrador de TI que tiene la clave y la herramienta DocRecrypt
El equipo administrador de TI no tiene que tener la clave y la subclave en el registro, ni tampoco tiene que tener una copia del certificado de clave pública. Pero sí necesita lo siguiente:
El certificado y la clave privada coincidente
La herramienta DocRecrypt de Office
Para configurar el equipo de TI que tiene la clave y la herramienta DocRecrypt
Use al Asistente para importación de certificados para importar la clave privada correspondiente al certificado en el Administrador de certificados de Windows.
Descargue e instale la herramienta DocRecrypt de Office. Esta herramienta está disponible en el Centro de descarga de Microsoft.
Al instalar la herramienta DocRecrypt de Office en un equipo de 64 bits, se instala en la siguiente ubicación:
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
Al instalar la herramienta DocRecrypt de Office en un equipo de 32 bits, se instala en la siguiente ubicación:
- %programfiles%\Microsoft Office\DOCRECRYPT
Eso es todo. Todas las piezas están en su lugar y está listo para quitar la contraseña en un archivo de Word, Excel o PowerPoint la próxima vez que un usuario le pida que lo haga.
Usar la herramienta DocRecrypt de Office
Use la herramienta DocRecrypt, que ya está instalada en el equipo del administrador de TI, para quitar la contraseña del archivo y asignar una nueva.
Para usar la herramienta DocRecrypt
Siga estas instrucciones para usar la herramienta DocRecrypt desde la línea de comandos. También puede ejecutar los comandos de DocRecrypt en modo silencioso desde un archivo por lotes o un script.
Desplácese hasta la línea de comandos de la herramienta DocRecrypt de Office y ábrala utilizando la sintaxis siguiente:
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]
En la siguiente tabla, se describen las opciones de la herramienta DocRecrypt.
Opciones de la herramienta DocRecrypt
| Parámetro | Descripción |
|---|---|
| -p <nueva_contraseña> |
(Opcional) Esta es la nueva contraseña que se asigna al archivo de entrada o al archivo de salida si se proporciona un nombre de archivo de salida. |
| -i <carpeta_o_archivodeentrada> |
Este es el archivo o la carpeta que contiene los archivos que están bloqueados porque no se conoce la contraseña. Si especifica una carpeta, la herramienta DocRecrypt de Office omite los archivos que no tienen formato Office Open XML. |
| -o <carpeta_o_archivodesalida> |
(Opcional) Este es el nombre de un nuevo archivo o carpeta de salida para los archivos que se crearán a partir de los archivos de entrada. De nuevo, se omiten los archivos que no tienen formato Office Open XML. |
| -q |
(Opcional) Indica que desea ejecutar la herramienta DocRecrypt de Office en modo silencioso, por lo general, en un script. El modo silencioso no muestra una interfaz de usuario y se produce un error si un certificado requiere que el administrador de TI escriba un PIN. Si el certificado requiere un PIN, no use el modo silencioso. |
Por ejemplo:
Para quitar la contraseña de un archivo, use este código:
DocRecrypt -i lockedfile
Para quitar la contraseña y asignar una nueva, 12345, use este código:
DocRecrypt -p 12345 -i lockedfile
Para quitar la contraseña, crear un nuevo archivo y asignarle una nueva contraseña, 12345, use este código:
DocRecrypt -p 12345 -i lockedfile -o newfile
Una vez que los archivos están protegidos con contraseña mediante Office 2016, no se quitarán las contraseñas.
Archivos de Office 2010 y 2007
Cuando los equipos cliente de la organización se hayan configurado usando la herramienta Office DocRecrypt (individualmente o con una directiva de grupo), los archivos futuros de Word 2016, Excel 2016 o PowerPoint 2016 (archivos docx, xlsx y pptx), así como los archivos de Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 o PowerPoint 2010 protegidos por contraseña que los usuarios editen en Office 2016, se pueden desbloquear o su contraseña restablecer con la herramienta DocRecrypt. Cuando se agrega una clave de custodia a un archivo protegido por contraseña, se puede desbloquear o restablecer aunque se haya editado en Office 2007 o en Office 2010.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de