Quitar o restablecer contraseñas de archivos en Office 2016

  • Artículo
  • Tiempo de lectura: 14 minutos

Resumen: explica cómo usar la herramienta DocRecrypt de Office 2016 para desbloquear archivos de Word, Excel y PowerPoint con formato OOXML protegidos por contraseña.

Use la directiva de grupo para insertar cambios en el Registro que asocian un certificado con documentos protegidos por contraseña. Esta información del certificado se inserta en el encabezado del archivo. Más tarde, si olvida o pierde la contraseña, use la herramienta de la línea de comandos DocRecrypt y la clave privada para desbloquear el archivo y, de manera opcional, asignar una nueva contraseña.

Nota:

  • Si desea información sobre las contraseñas en una copia personal de Office 2016, vea Proteger un documento con una contraseña o Proteger un archivo de Excel.
  • Si es un profesional de TI que busca quitar o restablecer contraseñas en archivos de Office 2016 dentro de su organización, por ejemplo, si un empleado ha abandonado la organización y no conoce la contraseña, está en el lugar correcto, así que siga leyendo. |

Información general: quitar o restablecer la contraseña de un archivo en Office 2016 mediante la herramienta DocRecrypt

Hay varias razones por las que un usuario puede querer o necesitar proteger un documento de Word, Excel o PowerPoint con contraseña. Por ejemplo:

  • Varias personas de parte de una organización quieren crear un presupuesto de grupo, pero no desean que el resto de la organización conozca los números hasta que hayan terminado.

  • Los consultores trabajan con clientes que requieren, a través de un contrato de nivel de servicio, que sus datos confidenciales permanezcan protegidos cuando ya no estén bajo el control del cliente.

  • Los profesores necesitan asegurarse de que nadie tenga acceso a los exámenes que crean en Word.

  • Los profesionales de los medios de comunicación, así como los científicos que trabajan en presentaciones sobre investigaciones importantes en sus campos, necesitan asegurarse de que sus descubrimientos no se filtrarán al público antes de que ellos decidan revelar la gran noticia.

Anteriormente, si el creador original de la contraseña de un archivo la olvidaba o abandonaba la organización, el archivo no se podía recuperar. Con Office 2016 y una clave de custodia, generada desde el almacén de certificados de clave privada de la organización o empresa, los administradores de TI pueden "desbloquear" el archivo para un usuario y luego quitar la protección con contraseña del archivo o asignarle a este una contraseña nueva. Usted, el administrador de TI, es el encargado de la clave de custodia, que se genera a partir del almacén de certificados de clave privada de su empresa o organización. Puede insertar en modo silencioso la información de la clave pública en los equipos cliente uno por uno mediante una configuración de clave del Registro que se crea de forma manual, o bien puede crearla a través de un script de directiva de grupo. Más adelante, cuando un usuario cree un archivo de Word, Excel o PowerPoint protegido por contraseña, esta clave pública se incluirá en el encabezado del archivo. Luego, un profesional de TI puede usar la herramienta DocRecrypt de Office para quitar la contraseña adjunta al archivo y, de manera opcional, proteger el archivo con una contraseña nueva. Para ello, debe contar con todo lo que se indica a continuación:

  • La nueva herramienta DocRecrypt de Office

  • El archivo de Word, Excel o PowerPoint que tiene una clave pública insertada

  • Permiso y acceso a las claves públicas y privadas asociadas con el certificado

Proteger la clave privada

Esta característica no prescribe un proceso corporativo para la administración y distribución de una clave privada, el lugar en el que se debe almacenar dicha clave, los permisos y la autorización necesarios para solicitar el restablecimiento o la descodificación de una contraseña ni el lugar en el que debe encontrarse el archivo una vez restaurado. Estas decisiones dependen de los procesos y estándares de su organización.

Dicho esto, para mantener un alto nivel de seguridad de los archivos protegidos con contraseña, se recomienda que la organización adopte estas directivas:

  • Nunca inserte la clave privada en un equipo cliente. Esta es nuestra recomendación más importante.

  • Bloquee el almacén de certificados que tiene la clave privada y el certificado que se utilizó para generar la clave de custodia y las claves públicas.

  • Asegúrese de que ningún individuo pueda poner en peligro los servicios de infraestructura de clave pública (PKI). Además, se recomienda distribuir los roles de administración de certificados a diferentes personas de la organización.

Si no sigue estas recomendaciones de forma coherente, puede verse afectada la seguridad de todos los archivos protegidos con contraseña nuevos. Su empresa u organización ya debe contar con un modelo de administración de Servicios de certificados de Active Directory (AD CS) bien definido y una estrategia de infraestructura de entidad de certificación (CA) que incluya, por ejemplo, almacenamiento externo de certificados y claves privadas. Para obtener más información, vea el tema sobre la implementación de la administración basada en roles.

Nota:

El certificado usado para DocRecrypt puede ser un certificado de usuario normal con la autenticación de usuario como finalidad prevista. El principal objetivo del certificado es cifrar el documento.

¿Cómo se encuentra el certificado correcto?

Como puede haber muchos certificados de clave privada en un equipo de TI, es razonable preguntarse cómo se puede hallar el certificado correcto. En el administrador de certificados (certmgr.msc), la herramienta DocRecrypt de Office 2016 primero busca en el almacén lógico y, luego, en el del usuario actual. En cada uno de estos almacenes, busca en primer lugar los certificados que no requieren un PIN de cumplimiento del sistema de Windows. Luego busca los que sí requieren uno.

Consideraciones especiales

Solo archivos Office Open XML La herramienta DocRecrypt de Office solo funciona en documentos con formato Office Open XML, como archivos docx, pptx y xlsx.

Archivos cifrados anteriormente La herramienta DocRecrypt de Office no se puede usar para recuperar archivos protegidos con contraseña antes de implementar el certificado y la clave de custodia. Sin embargo, después de implementar el certificado y la clave de custodia, si un usuario abre un archivo protegido anteriormente en Office 2016 y, a continuación, lo guarda, la clave de custodia se agrega al archivo en ese momento. A partir de ese momento, podrá quitar o restablecer la contraseña del archivo mediante la herramienta DocRecrypt de Office.

Otras formas de proteger archivos de Word, Excel y PowerPoint Para otras formas de proteger archivos de Word, Excel y PowerPoint, vea Agregar o quitar protección en el documento, libro o presentación.

Tenga en cuenta que los usuarios pueden aplicar cualquiera de estos métodos de protección de forma independiente. Si un administrador de TI quita una contraseña, se seguirá aplicando cualquier otra configuración de protección. La eliminación de la contraseña no afecta al resto de las configuraciones.

Hay algunos factores que pueden impedirle quitar la contraseña de un archivo. Para obtener información detallada y consejos, consulte la tabla siguiente.

Consideraciones al quitar la contraseña de un archivo

Problema Consejo
El archivo está marcado como de solo lectura o está oculto.
La herramienta DocRecrypt de Office no funciona en archivos marcados como de solo lectura u ocultos. Pero puede quitar la configuración, descifrar el archivo y luego volver a ocultarlo o establecerlo como de solo lectura después de la búsqueda.
El archivo está almacenado en varios lugares.
La herramienta DocRecrypt de Office solo quita la protección con contraseña en la instancia específica del archivo a la que se hace referencia. Pero también debe quitarla en los archivos a los que se hace referencia en RAID o en otras configuraciones de disco duro.
El archivo se encuentra en un libro compartido.
La herramienta DocRecrypt de Office no funciona en archivos con co-autoría que contienen archivos insertados.
El archivo está firmado digitalmente.
Quitar la protección con contraseña de un archivo firmado digitalmente no afecta a la validez de la firma digital.
El nombre del archivo comienza con un guión ("-").
Si el nombre del archivo que desea buscar con la herramienta DocRecrypt de Office contiene un guión, escríbalo entre comillas.
El solicitante no tiene permisos para abrir el archivo.
El administrador de TI determina si la persona que solicita el descifrado de un archivo está realmente autorizada para ver su contenido cuando la contraseña se quita o se reasigna. De forma similar, si un archivo protegido por contraseña tiene asociada una lista de control de acceso, el proceso de descifrado quita la asociación. Debe restablecerla posteriormente.
El archivo o la ubicación de destino son de solo lectura.
Asegúrese de que tanto el archivo protegido con contraseña como la ubicación de destino sean de lectura y escritura.
El certificado se ha revocado o ha expirado.
El departamento de TI debe asegurarse de que los certificados de clave privada sean válidos y estén actualizados. Además, tenga en cuenta que la herramienta DocRecrypt de Office no comprueba el estado de revocación del certificado de clave privada.
El archivo protegido con contraseña se encuentra en la nube.
El archivo debe copiarse a un disco duro o un recurso compartido UNC de lectura y escritura para poder descifrarlo.

Configurar equipos cliente para la eliminación de la protección con contraseña

Para permitir que el departamento de TI elimine una contraseña de un archivo de Word, PowerPoint o Excel protegido con contraseña, al implementar Office 2016 en la organización, primero debe insertar las claves públicas del certificado y llevar a cabo algunas acciones en el Registro de los equipos cliente. Hay dos formas de hacerlo:

  • A través de una plantilla administrativa de directiva de grupo, que es la mejor opción para equipos cliente empresariales o para varios equipos.

  • Modificando manualmente el Registro de un equipo cliente, que es la mejor opción para unos pocos equipos cliente o para un único equipo.

Para configurar varios equipos cliente para la protección con contraseña con un objeto de directiva de grupo

  1. Descargue los archivos directiva de grupo plantilla administrativa (ADMX/ADML) del Centro de descarga de Microsoft.

  2. Abra la plantilla en el Editor de directivas de grupo local y desplácese a la configuración de clave de custodia. Abra la rama Configuración de usuario y elija Plantillas administrativas, Microsoft Office 2016, Configuración de seguridad y Certificados de custodia.

    Hay disponibles 20 claves de custodia para configurar, cada una de las cuales se denomina Clave de custodia n.º n.

  3. Seleccione una clave de custodia y, luego, en el menú contextual (clic con el botón secundario), elija Editar para configurarla.

    Aparece el cuadro de diálogo Clave de custodia n.º n.

  4. Para configurar y habilitar esta clave, seleccione el botón Habilitada. Si más adelante quiere deshabilitarla, vuelva al cuadro de diálogo Clave de custodia n.º n y seleccione el botón Deshabilitada.

  5. En el cuadro Hash de certificado, escriba el hash de certificado que se usa como identificador único del certificado, también conocido como "huella digital". Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, establezca el valor hash del certificado en ese número. Este hash puede incluir espacios para que sea más fácil de leer.

  6. Escriba un comentario para proporcionar más detalles acerca de este certificado en concreto, si es necesario. Esto es opcional.

  7. Elija Aceptar.

Para configurar un único equipo cliente para la protección con contraseña con la nueva configuración del Registro

Para poder eliminar una contraseña de un archivo de Word, PowerPoint o Excel, debe crear una clave del Registro para indicar los certificados de clave pública que quiere poner a disposición para la protección de archivos con contraseña.

Nota:

Para obtener instrucciones específicas acerca de cómo crear una clave del Registro, consulte la ayuda disponible desde el menú Ayuda del Editor del Registro (regedit.exe).

  • En el Editor del Registro, cree una clave en el Registro del equipo cliente en la siguiente ruta del Registro:

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts

    Cree esta nueva clave manualmente o mediante un archivo por lotes reg. Para crear un archivo .reg con regedit.exe, vea el tema sobre cómo crear un archivo .reg.

    Crear una clave en el Registro del equipo cliente

Elemento del Registro Descripción
Nombre de la clave
 Debe ser EscrowCerts.
Tipo de datos
 clave
Elemento primario
 Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\

  • En la nueva clave que creó en el paso 1, agregue la información del certificado de clave pública, como se muestra en la siguiente tabla. Cree una entrada para cada certificado de clave pública que desee poner a disposición para la protección de archivos con contraseña.

    Agregar información del certificado de clave pública

Elemento del Registro Descripción
Nombre de la clave
 Nombre único definido por el usuario que describe el certificado de clave pública. Por ejemplo, EscrowCert01, EscrowCert02, etc.
Tipo
 STRING
Valor
 El hash que se utiliza como identificador único del certificado, también conocido como "huella digital" en el cuadro de diálogo de certificados de Windows. Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, configure el valor en ese número. Este hash puede incluir espacios para que sea más fácil de leer.

  • Cuando las entradas del Registro estén en su lugar, inserte el certificado en el equipo cliente. El certificado de clave pública debe almacenarse en el Administrador de certificados de Windows (certmgr.msc) en el almacén de certificados (lógico, del usuario actual o personal). Para obtener información detallada acerca de la inserción de certificados de clave pública en equipos cliente mediante la directiva de grupo, vea el tema sobre cómo distribuir certificados a equipos cliente mediante la directiva de grupo.

    Importante

    El administrador de TI debe asegurarse de que el certificado que se utilizó para este proceso es válido y no ha expirado.

Cuando los usuarios deciden proteger con contraseña los archivos que crean en Word, PowerPoint o Excel de Office 2016, se guarda en el encabezado del archivo la información de la clave pública correspondiente. Más adelante, el administrador puede usar esta clave pública y la clave privada coincidente si se le pide que elimine la protección con contraseña.

Configurar el equipo del administrador de TI que tiene la clave y la herramienta DocRecrypt

No es necesario que el equipo del administrador de TI tenga la clave y la subclave en el Registro, ni una copia del certificado de clave pública. Pero sí necesita lo siguiente:

  • El certificado y la clave privada coincidente

  • La herramienta DocRecrypt de Office

Para configurar el equipo de TI que tiene la clave y la herramienta DocRecrypt

  1. Use al Asistente para importación de certificados para importar la clave privada correspondiente al certificado en el Administrador de certificados de Windows.

  2. Descargue e instale la herramienta DocRecrypt de Office. Esta herramienta está disponible en el Centro de descarga de Microsoft.

  • Al instalar la herramienta DocRecrypt de Office en un equipo de 64 bits, se instala en la siguiente ubicación:

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT

  • Al instalar la herramienta DocRecrypt de Office en un equipo de 32 bits, se instala en la siguiente ubicación:

    • %programfiles%\Microsoft Office\DOCRECRYPT

Eso es todo. Ya se encuentra cada pieza en su lugar y está listo para quitar la contraseña de un archivo de Word, Excel o PowerPoint la próxima vez que un usuario se lo pida.

Usar la herramienta DocRecrypt de Office

Use la herramienta DocRecrypt, que ya está instalada en el equipo del administrador de TI, para quitar la contraseña del archivo y asignar una nueva.

Para usar la herramienta DocRecrypt

Siga estas instrucciones para usar la herramienta DocRecrypt desde la línea de comandos. También puede ejecutar los comandos de DocRecrypt en modo silencioso desde un archivo por lotes o un script.

  • Desplácese hasta la línea de comandos de la herramienta DocRecrypt de Office y ábrala utilizando la sintaxis siguiente:

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    En la siguiente tabla, se describen las opciones de la herramienta DocRecrypt.

    Opciones de la herramienta DocRecrypt

Parámetro Descripción
-p <nueva_contraseña>
(Opcional) Esta es la nueva contraseña que se asignará al archivo de entrada, o bien al archivo de salida si se proporciona un nombre de archivo de salida.
-i <carpeta_o_archivodeentrada>
Este es el archivo o la carpeta que contiene los archivos que están bloqueados porque no se conoce la contraseña. Si especifica una carpeta, la herramienta DocRecrypt de Office pasará por alto los archivos que no tengan formato Office Open XML.
-o <carpeta_o_archivodesalida>
(Opcional) Este es el nombre de un nuevo archivo o carpeta de salida para los archivos que se crearán a partir de los archivos de entrada. Como se mencionó anteriormente, se pasarán por alto los archivos que no tengan formato Office Open XML.
-q
 (Opcional) Indica que desea ejecutar la herramienta DocRecrypt de Office en modo silencioso, por lo general, en un script. El modo silencioso no muestra una interfaz de usuario y produce un error si un certificado requiere que el administrador de TI escriba un PIN. Si el certificado requiere un PIN, no use el modo silencioso.

Por ejemplo:

Para quitar la contraseña de un archivo, use este código:

DocRecrypt -i lockedfile

Para quitar la contraseña y asignar una nueva, 12345, use este código:

DocRecrypt -p 12345 -i lockedfile

Para quitar la contraseña, crear un nuevo archivo y asignarle una nueva contraseña, 12345, use este código:

DocRecrypt -p 12345 -i lockedfile -o newfile

Cuando los archivos se hayan protegidos con contraseña usando Office 2016, las contraseñas no se quitarán.

Archivos de Office 2010 y 2007

Cuando los equipos cliente de la organización se hayan configurado usando la herramienta Office DocRecrypt (individualmente o con una directiva de grupo), los archivos futuros de Word 2016, Excel 2016 o PowerPoint 2016 (archivos docx, xlsx y pptx), así como los archivos de Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 o PowerPoint 2010 protegidos por contraseña que los usuarios editen en Office 2016, se pueden desbloquear o su contraseña restablecer con la herramienta DocRecrypt. Cuando se agrega una clave de custodia a un archivo protegido por contraseña, se puede desbloquear o restablecer aunque se haya editado en Office 2007 o en Office 2010.