删除或重置 Office 2013 中的文件密码
适用于: Office 2013, Office 365 ProPlus
上一次修改主题: 2016-12-16
摘要: 说明如何使用 Office 2013 DocRecrypt 工具解锁受密码保护的 OOXML 格式 Word、Excel 和 PowerPoint 文件。
目标用户: IT 专业人员
使用组策略推送注册表更改,这些更改可将证书与受密码保护的文档关联起来。此证书信息嵌入在文件标题中。如果忘记或丢失密码,请使用 DocRecrypt 命令行工具和私钥解锁文件并(可选)指定新密码。
|
如果要了解有关 Office 2013 个人副本中密码的信息,请参阅使用密码和权限保护文档。 有关其他示例,请参阅从文档中删除密码。 |
|
如果您作为 IT 专业人员要删除或重置组织内 Office 2013 文件的密码,例如,如果某个员工已离开组织但您不知道密码,那么这篇文章适合您,请继续阅读。 |
.jpg "您是用户吗?")
.jpg "您是管理员吗?")
.gif "重要说明") 重要说明: |
|---|
| 本文是面向 IT 专业人员的对于 Office 2013 标识、身份验证和授权的路线图的一部分。可以使用此路线图作为起点来获取可帮助您评估 Office 2013 标识的文章、下载、海报和视频。 |
本文内容:
概述
设置客户端计算机
设置 IT 管理员计算机
使用 Office DocRecrypt 工具
Office 2010 和 2007 文件
概述:使用 DocRecrypt 工具删除或重置 Office 2013 中的密码
有很多原因让用户希望或必须对 Word、Excel 或 PowerPoint 文档进行密码保护。例如:
中间组织中的多个员工在制定组预算,但在完成之前不希望上级组织看到这些数字。
顾问在服务等级协议下与客户合作,但客户要求其敏感数据在脱离自己控制时仍处于受保护状态。
教师希望确保自己使用 Word 创建的试卷不会被泄漏。
媒体专业人员以及正在准备针对本领域主要研究人员的演示文档的科学家希望确保他们的科研成果在正式公布之前不会泄漏给公众。
以前,如果文件密码的原始创建者忘记了密码或者离职了,则文件将无法恢复。现在,通过 Office 2013 以及使用公司或组织的私钥证书存储生成的托管密钥,IT 管理员可以“解锁”用户的文件,然后选择不为文件设置密码保护或为文件指定新密码。IT 管理员负责保管使用公司或组织的私钥证书存储生成的托管密钥。您可以通过注册表项设置一次性将公钥信息静默推送到客户端计算机,注册表项设置可以手动创建,也可以通过组策略脚本创建。用户稍后创建受密码保护的 Office 2013Word、Excel 或 PowerPoint 文件时,此公钥会包含在文件标题中。IT 专业人员可以使用 Office DocRecrypt 工具删除附加到文件的密码,然后选择使用新密码保护文件。为此,IT 专业人员满足以下所有条件:
新的 Office DocRecrypt 工具
具有嵌入式公钥的 Word、Excel 或 PowerPoint 文件
访问与证书关联的公钥和密钥的权限
保护私钥的安全
此功能并未规定一个公司流程来管理和分发私钥、该私钥的存储位置、请求破解或重置密码所需的任何权限和授权以及文件在还原后应放在哪里。这些决定应在组织的标准和流程指导下制定。
也就是说,为了保持受密码保护的文件的高度安全性,我们建议贵组织采取以下策略:
永远不要将私钥推送到客户端计算机!这是我们最重要的建议。
锁定包含私钥以及用于生成托管密钥和公钥的证书的证书存储。
确保没有人可以损害公钥基础结构 (PKI) 服务。我们还建议您对组织内的不同用户分配证书管理角色。
如果没有始终遵守这些建议,所有受密码保护的新文件可能会受到损害。贵公司或组织应该已经具备清晰的 Active Directory 证书服务 (AD CS) 管理模型和证书颁发机构 (CA) 基础结构战略,其中包含私钥和证书的场外存储。有关详细信息,请参阅实现基于角色的管理。
.gif "注意") 注意: |
|---|
| 用于 DocRecrypt 的证书可以是用于具有预期目的的用户身份验证的常规用户证书。该证书的主要目的是能够对文档进行加密。 |
如何找到正确的证书?
由于很多私钥证书可能位于 IT 计算机上,因此不难理解我们为何要问如何找到正确的证书。在证书管理器 (certmgr.msc) 中,Office 2013 DocRecrypt 工具首先搜索逻辑存储,然后搜索当前用户存储。在每个存储中,工具首先搜索不需要 Windows System 实施 PIN 码的证书。然后搜索需要 Windows System 实施 PIN 码的证书。
特殊考虑事项
仅 Open Office XML 文件 Office DocRecrypt 工具仅对 Office Open XML 格式的文档有效,如 docx、pptx 和 xlsx 文件。
之前加密的文件Office DocRecrypt 工具不能用于恢复在部署证书和托管密钥之前已受密码保护的文件。但是,当您部署证书和托管密钥之后,如果某个用户在 Office 2013 中打开之前受保护的文件然后保存该文件,托管密钥将会添加到该文件。自此,您即可使用 Office DocRecrypt 工具删除或重置文件密码。
保护 Word、Excel 和 PowerPoint 文件的其他方式 有关保护 Word、Excel 和 PowerPoint 文件的其他方式,请参阅使用密码、权限和其他限制保护文档、工作簿或演示文稿。
请注意,用户可以分别应用这些保护方法中的任意一种。如果密码被 IT 管理员删除,任何其他保护设置将保留。删除密码不会影响其他设置。
有些因素会影响删除文件密码的功能。有关详细信息和建议,请参阅下表。
删除文件密码时的注意事项
| 问题 | 建议 |
|---|---|
文件标记为只读或隐藏。 |
Office DocRecrypt 工具对标记为只读或隐藏的文件不起作用。但是,您可以删除设置,解密文件,然后在搜索之后将其设置回只读或隐藏。 |
文件存储在多个位置。 |
Office DocRecrypt 工具仅删除您引用的特定文件实例的密码保护。但是,您还应该删除 RAID 上引用的文件的密码保护或其他硬盘配置。 |
文件位于共享工作簿中。 |
Office DocRecrypt 工具对包含嵌入式文件的共同撰写文件不起作用。 |
文件已进行数字签名。 |
从数字签名文件中删除密码保护,不会损害该数字签名的有效性。 |
文件名以连字符 (“-“) 开头。 |
如果您想使用 Office DocRecrypt 工具搜索的文件的名称中包含连字符,请将文件名放在引号内。 |
请求者没有打开该文件的权限。 |
IT 管理员会确定请求对文件进行解密的用户在删除或重新指定密码后是否确实有权查看文件内容。同样,如果受密码保护的文件具有相关联的访问控制列表,解密过程将删除此关联。稍后您必须恢复原样。 |
文件或目标位置为只读。 |
确保受密码保护的文件和目标位置为读/写。 |
证书已被吊销或已过期。 |
您的 IT 部门必须确保您的私钥证书为有效且最新的状态。 另外请注意,Office DocRecrypt 工具不会检查私钥证书是否为吊销状态。 |
受密码保护的文件位于云。 |
要对它进行解密,必须将文件复制到硬盘或读/写的 UNC 共享。 |
设置客户端计算机以删除密码保护
要使 IT 部门可以删除受密码保护的 Word、PowerPoint 或 Excel 文件的密码,当您将 Office 2013 部署到组织时,您必须先推送证书公钥,并在客户端计算机上执行某些注册表操作。有两种方法可以实现此目的:
通过组策略管理模板,这是多台或企业客户端计算机的最佳选择,或者
通过手动更改客户端计算机的注册表,这是单台计算机或少量客户端计算机的最佳选择。
| 注意: |
|---|
| 可以使用鼠标、键盘快捷方式或触摸完成所有 Office 2013 套件中的任务。若要了解如何结合使用 Office 产品和服务与键盘快捷方式和触摸,请参阅 Keyboard shortcuts(键盘快捷方式)和 Office 触摸指南。 |
使用组策略对象将多台客户端计算机设置为进行密码保护
下载组策略管理模板 (ADMX/ADML),该模板位于 Office 2013 管理模板文件 (ADMX/ADML) 和 Office 自定义工具
在本地组策略编辑器中打开模板,浏览到托管密钥设置。打开“用户配置分支,然后依次选择“管理模板” 、“Microsoft Office 2013”、“安全设置”和“托管证书”。
具有 20 个托管密钥可供配置,每个密钥命名为托管密钥 #n。
选择一个托管密钥,然后从快捷菜单(右键单击)中选择“编辑”以配置托管密钥。
此时将显示“托管密钥 #n”对话框。
要设置并启用此密钥,请选择“已启用”按钮。如果您想稍后禁用此密钥,请返回到“托管密钥 #n”对话框并选择“已禁用”按钮。
在“证书哈希”框中,输入用作证书唯一标识符的证书哈希,也称为“指纹”。例如,如果您的证书指纹为 9131517191121d94d143117fc126213c1781d21c,请将证书哈希值设置为此数字。如果您希望让此哈希可读性更好,可包含空格。
如有必要,请输入注释,提供有关此特定证书的更多详细信息。这是可选操作。
选择“确定”。
有关模板、Office 自定义工具、组策略和组策略启动脚本的详细信息,请参阅以下主题:
使用新的注册表设置来设置单台客户端计算机进行密码保护
为了能够删除 Word、PowerPoint 或 Excel 文件的密码,您必须创建一个注册表项,指明您想用于对文件进行密码保护的公钥证书。
| 注意: |
|---|
| 有关如何创建注册表项的具体说明,请参阅注册表编辑器 (regedit.exe)“帮助”菜单中的“帮助”。 |
在注册表编辑器中,在客户端计算机注册表中创建一个注册表项,注册表路径如下:
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts
此新的注册表项可手动创建,也可通过 .reg 批处理文件创建。要使用 regedit.exe 创建 .reg 文件,请参阅创建 .reg 文件。
在客户端计算机注册表中创建注册表项
注册表元素 说明 注册表项名称
这必须是 EscrowCerts。
数据类型
注册表项
父
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\
在您在步骤 1 创建的新注册表项中,如下表所示添加公钥证书信息。为您希望将其用于为文件提供密码保护的每个公钥证书创建一个注册表项。
添加公钥证书信息
注册表元素 说明 注册表项名称
用于描述公钥证书的唯一用户自定义名称。例如,EscrowCert01、EscrowCert02,依次类推。
类型
STRING
值
用作证书唯一标识符的哈希,在“Windows 证书”对话框中也称为“哈希”。例如,如果您证书指纹是 9131517191121d94d143117fc126213c1781d21c,则将此值设置为此数字。如果您希望让此哈希可读性更好,可包含空格。
注册表项就绪后,将证书推送到客户端计算机。公钥证书应存储在 Windows 证书管理器 (certmgr.msc) 的“证书 – 当前用户或逻辑、个人”存储中。有关通过组策略将公钥证书推送到客户端计算机的详细信息,请参阅通过组策略将证书分发到客户端计算机。
重要说明:IT 管理员必须确保用于此过程的证书有效且尚未过期。
当用户决定对在 Office 2013Word、PowerPoint 或 Excel 中创建的文件进行密码保护时,相应的公钥信息将保存在文件标题中。稍后管理员可以使用此公钥和匹配的私钥来删除密码保护(如果需要)。
设置具备注册表项和 DocRecrypt 工具的 IT 管理员计算机
IT 管理员计算机的注册表中不一定必须具有注册表项和子项,也不一定必须具有公钥证书副本。但是,IT 管理员计算机需满足以下条件:
匹配的私钥/证书对
Office DocRecrypt 工具
设置 IT 计算机
使用证书导入向导来导入与 Windows 证书管理器中的证书匹配的私钥。
下载并安装 Office DocRecrypt 工具。此工具位于 Microsoft 下载中心。
当您在 64 位计算机上安装 Office DocRecrypt 工具时,它将安装在以下位置:
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
当您在 32 位计算机上安装 Office DocRecrypt 工具时,它将安装在以下位置:
- %programfiles%\Microsoft Office\DOCRECRYPT
就是这样。所有方面均已就绪,下次有用户提出要求时,您就可以删除 Word、Excel 或 PowerPoint 文件的密码了。
使用 Office DocRecrypt 工具
使用安装在 IT 管理员计算机上的 DocRecrypt 工具删除文件密码并指定一个新密码。
使用 DocRecrypt 工具
按照以下说明从命令行使用 DocRecrypt 工具。您也可以从批处理文件或脚本静默运行 DocRecrypt 命令。
使用以下语法导航到 Office DocRecrypt 工具命令行并将其打开:
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]DocRecrypt 工具选项如下表所述。
DocRecrypt 工具选项
参数 说明 -p <new_password>
(可选)这是分配给输入文件或输出文件(前提是提供了输出文件名称)的新密码。
-i <inputfile_or_folder>
这是包含由于密码未知而锁定的文件的文件或文件夹。如果您指定文件夹,Office DocRecrypt 工具将忽略任何不为 Office Open XML 格式的文件。
-o <outputfile_or_folder>
(可选)这是新输出文件或包含从输入文件创建的文件的文件夹的名称。同样,任何不为 Office Open XML 格式的文件将被忽略。
-q
(可选)指明您希望在安静模式下运行 Office DocRecrypt 工具,通常是在脚本中。安静模式不会显示 UI,且当证书要求 IT 管理员输入 PIN 码时将失败。如果您的证书需要 PIN 码,请勿使用安静模式。
例如:
若要从文件中删除密码,请使用以下代码:
DocRecrypt -i lockedfile若要删除密码并指定新密码 12345,请使用以下代码:
DocRecrypt -p 12345 -i lockedfile若要删除密码,创建新文件并向该文件指定新密码 12345,请使用以下代码:
DocRecrypt -p 12345 -i lockedfile -o newfile
使用 Office 2013 对文件进行密码保护后,系统将不会删除密码。
Office 2010 和 2007 文件
使用 Office DocRecrypt 工具(单独使用或者通过组策略使用)对组织中的客户端计算机进行配置后,未来的所有 Word 2013、Excel 2013 或 PowerPoint 2013 文件(docx、xlsx 和 pptx 文件),以及用户在 Office 2013 中编辑且所有受密码保护的现有 Office Word 2007、Word 2010、Office Excel 2007、Excel 2010、Office PowerPoint 2007 或 PowerPoint 2010 文件都可以通过 DocRecrypt 工具解锁或进行密码重置。将托管密钥添加到受密码保护的文件中时,即使该密钥已在 Office 2007 或 Office 2010 中进行了编辑,也可以进行解锁或重置。