規劃 Office 2010 的密碼編譯及加密設定
適用版本: Office 2010
上次修改主題的時間: 2016-11-29
Microsoft Office 2010 包含的設定可讓您控制使用 Microsoft Access 2010、Microsoft Excel 2010、Microsoft OneNote 2010、Microsoft PowerPoint 2010、Microsoft Project 2010 及 Microsoft Word 2010 時加密資料的方式。本文討論 Office 2010 中的密碼編譯及加密、說明可用以加密資料的設定,以及提供與 Microsoft Office 之先前版本的相容性資訊。如需 Microsoft Outlook 2010 的相關資訊,請參閱<規劃 Outlook 2010 的電子郵件訊息密碼編譯>。
在您規劃加密設定時,請考慮下列指導方針:
除非您組織的安全性模型需要與預設設定不同的加密設定,否則建議您不要變更預設加密設定。
建議您強制執行密碼長度及複雜性,協助確保在加密資料時使用強式密碼。如需詳細資訊,請參閱<2007 Office system 系統管理範本檔案 (ADM、ADMX、ADML) 與 Office 自訂工具更新>。
建議您不要使用 RC4 加密。如需詳細資訊,請參閱本文稍後的<與 Office 之先前版本的相容性>。
沒有系統管理設定可讓您強制使用者加密文件。不過,具有系統管理設定可讓您移除將密碼新增至文件的功能,因此,禁止加密文件。如需詳細資訊,請參閱本文稍後的<密碼編譯及加密設定>。
將文件儲存至信任位置,不會影響加密設定。如果文件已加密並儲存至信任位置,則使用者必須提供密碼才能開啟文件。
本文內容:
關於 Office 2010 中的密碼編譯及加密
密碼編譯及加密設定
與 Office 之先前版本的相容性
關於 Office 2010 中的密碼編譯及加密
與 Office 搭配使用的可用加密演算法,取決於可以透過 Windows 作業系統 API (應用程式開發介面) 存取的演算法。Office 2010 除了維護密碼編譯 API (CryptoAPI) 支援之外,同時也支援 CNG (CryptoAPI:新一代),後者在 2007 Microsoft Office 系統 (含 Service Pack 2 (SP2)) 中初次出現。
CNG 允許進行較靈活的加密,可以指定主機電腦上支援的不同加密及雜湊演算法,供文件加密程序期間使用。CNG 也允許進行較佳的擴充性加密,可以使用協力廠商的加密模組。
Office 使用 CryptoAPI 時,加密演算法會取決於 Windows 作業系統的 CSP (密碼編譯服務提供者) 中所提供的演算法。下列登錄機碼包含安裝於電腦上的 CSP 清單:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
下列 CNG 加密演算法或系統上安裝的任何其他 CNG 加密延伸模組,都可以與 Office 2010 或 2007 Office System SP2 搭配使用:
AES、DES、DESX、3DES、3DES_112 及 RC2
下列 CNG 雜湊演算法或系統上安裝的任何其他 CNG 加密延伸模組,都可以與 Office 2010 或 2007 Office System SP2 搭配使用:
MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384 及 SHA512
雖然具有 Office 2010 設定可以變更加密的執行方式,但是當您加密 Open XML 格式檔案 (.docx, .xslx, .pptx 等) 時,預設值 (AES (進階加密標準))、128 位元金鑰長度、SHA1 及 CBC (加密區塊鏈結)) 提供強式加密,且應可適用於大部分的組織。AES 加密是國家安全局 (NSA) 所提供及採用作為美國政府標準使用的最嚴謹之業界標準演算法。Windows XP SP2、Windows Vista、Windows 7、Windows Server 2003 及 Windows Server 2008 支援 AES 加密。
密碼編譯及加密設定
下表列出使用可存取 CryptoAPI 之 Microsoft Office 版本時可用於變更加密演算法的設定。這包含 Office 2010 (含) 以前的 Office 版本。
| 設定 | 描述 |
|---|---|
受密碼保護的 Office Open XML 檔案的加密類型 |
此設定可讓您指定可用密碼編譯服務提供者 (CSP) 之 Open XML 檔案的加密類型。當您使用自訂 COM 加密增益集時,需要此設定。如需詳細資訊,請參閱《2007 Office System 加密開發指南》,其為 SharePoint Server 2007 SDK(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=107614&clcid=0x404)(可能為英文網頁) 的一部分。如果您使用 2007 Office System SP1 或使用比 Microsoft Office Word、Excel 及 PowerPoint 檔案格式相容性套件 (https://go.microsoft.com/fwlink/?linkid=78517&clcid=0x404) 還舊的相容性套件版本,並且想將加密演算法變更為非預設值,也需要此設定。 |
受密碼保護的 Office 97-2003 檔案之加密類型 |
此設定可讓您指定可用密碼編譯服務提供者 (CSP) 之 Office 97-2003 (二進位) 檔案的加密類型。使用此設定時唯一支援的加密演算法為 RC4,但如同先前所述,不建議您使用此演算法。 |
在 Office 2010 中,如果您必須變更 [受密碼保護的 Office Open XML 檔案的加密類型] 設定,則必須先啟用 [指定加密相容性] 設定,並選取 [使用舊版格式] 選項。[指定加密相容性] 設定適用於 Access 2010、Excel 2010、PowerPoint 2010 及 Word 2010。
下表列出使用 Office 2010 版本時可用於變更加密演算法的設定。這些設定適用於 Access 2010、Excel 2010、OneNote 2010、PowerPoint 2010、Project 2010 及 Word 2010。
注意
即使使用 Office 2010 支援的作業系統 (如不支援 CNG 的 Windows XP SP3),下列所有設定 (不含 [為 CNG 內容指定參數] 及 [指定 CNG 亂數產生器演算法] 設定) 還是適用。在此情況下,Office 2010 使用 CryptoAPI,而非 CNG。只有在使用 Office 2010 加密 Open XML 檔案時,才套用這些設定。
| 設定 | 描述 |
|---|---|
設定 CNG 加密演算法 |
此設定可讓您設定所使用的 CNG 加密演算法。預設值為 AES。 |
設定 CNG 加密鏈結模式 |
此設定可讓您設定所使用的加密鏈結模式。預設值為 [加密區塊鏈結 (CBC)]。 |
設定 CNG 加密金鑰長度 |
此設定可讓您設定建立加密金鑰時所使用的位元數目。預設值為 128 個位元。 |
指定加密相容性 |
此設定可讓您指定相容性格式。預設值為 [使用新一代格式]。 |
為 CNG 內容指定參數 |
此設定可讓您指定應該用於 CNG 內容的加密參數。若要使用此設定,則必須先使用 CryptoAPI:新一代 (CNG) 建立 CNG 內容。如需詳細資訊,請參閱 CNG 密碼編譯設定功能(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=192996&clcid=0x404)(可能為英文網頁)。 |
指定 CNG 雜湊演算法 |
此設定可讓您指定所使用的雜湊演算法。預設值為 SHA1。 |
設定 CNG 密碼微調計數 |
此原則設定可讓您指定微調 (重新雜湊) 密碼檢查器的次數。預設值為 100000。 |
指定 CNG 亂數產生器演算法 |
此設定可讓您設定所使用的 CNG 亂數產生器。預設值為 RNG (亂數產生器)。 |
指定 CNG Salt 長度 |
此設定可讓您指定應該使用的 Salt 位元組數目。預設值為 16。 |
除了上表所列的 CNG 設定之外,還可以針對 Excel 2010、PowerPoint 2010 及 Word 2010 設定下表所列的 CNG 設定。
| 設定 | 描述 |
|---|---|
密碼變更時使用新金鑰 |
此設定可讓您指定是否在密碼變更時使用新的加密金鑰。預設值為密碼變更時不使用新的金鑰。 |
您可以使用下表所列的設定,以移除將密碼新增至文件的功能,因此禁止加密文件。
| 設定 | 描述 |
|---|---|
停用開啟 UI 的密碼 |
此設定可控制 Office 2010 使用者是否可將密碼新增至文件。使用者預設可以新增密碼。 |
注意
如需如何在 Office 自訂工具 (OCT) 和 Office 2010 系統管理範本中設定安全性設定的相關資訊,請參閱<設定 Office 2010 的安全性>。
與 Office 之先前版本的相容性
若您必須加密 Office 文件,建議您將文件儲存為 Open XML 格式檔案 (.docx, .xlsx, .pptx 等),而非 Office 97-2003 格式 (.doc, .xls, .ppt 等)。二進位文件 (.doc, .xls, .ppt) 所使用的加密,使用 RC4。不建議使用 (如 Office 文件密碼編譯結構規格(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=192287\&clcid=0x404)(可能為英文網頁) 的<安全性考量>第 4.3.2 及 4.3.3 節所述)。以舊式 Office 二進位格式儲存的文件,只能使用 RC4 進行加密,以維護與舊版 Microsoft Office 的相容性。AES (預設及建議的加密演算法) 用於加密 Open XML 格式檔案。
Office 2010 及 2007 Office System 可讓您將文件儲存為 Open XML 格式檔案。此外,若您有 Microsoft Office XP 或 Office 2003,您可以使用相容性套件,將文件儲存為 Open XML 格式檔案。
儲存為 Open XML 格式檔案且使用 Office 2010 進行加密的文件,只能使用 Office 2010、Office 2007 SP2 及 Office 2003 (含 Office 2007 SP2 相容性套件) 進行讀取。為確保能與所有舊版 Office 相容,您可以在 HKCU\Software\Microsoft\Office\14.0\<應用程式>\Security\Crypto\ (稱為 CompatMode) 下,建立登錄機碼 (若尚未存在),以及將其設定為 0 予以停用。您可以輸入的 <應用程式> 值代表設定此登錄機碼的特定 Office 應用程式。例如,您可以輸入 Access、Excel、PowerPoint 或 Word。重要的是了解將 CompatMode 設定為 0 時,Office 2010 會使用 Office 2007 相容加密格式,而非使用 Office 2010 加密 Open XML 格式檔案時預設所提供的加強安全性。若是基於相容性原因而需要設定此設定,則建議您也使用可進行加強安全性 (如 AES 加密) 的協力廠商加密模組。
若您的組織為 Word、Excel 和 PowerPoint 檔案格式使用 Microsoft Office 相容性套件加密 Open XML 格式檔案,則應檢閱下列資訊:
相容性套件預設會使用下列設定來加密 Open XML 格式檔案:
Microsoft Enhanced RSA 與 AES Cryptographic Provider (Prototype),AES 128,128 (在 Windows XP Professional 作業系統上)。
Microsoft Enhanced RSA 與 AES Cryptographic Provider,AES 128,128 (在 Windows Server 2003 及 Windows Vista 作業系統上)。
未將相容性套件使用這些加密設定的資訊通知使用者。
若安裝了相容性套件,則較早版本的 Office 之圖形使用者介面,可能會為 Open XML 格式檔案顯示不正確的加密設定。
使用者無法使用舊版 Office 的圖形使用者介面,變更 Open XML 格式檔案的加密設定。
注意
如需原則設定的最新資訊,請參閱 Microsoft Excel 2010 活頁簿 Office2010GroupPolicyAndOCTSettings_Reference.xls (位於 Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 及 Office 自訂工具(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x404)(可能為英文網頁) 下載頁面的<此下載中的檔案>區段中)。
See Also
Concepts
Office 2010 安全性概觀
設定 Office 2010 的安全性
Other Resources
Office 文件密碼編譯結構規格(可能為英文網頁)
TechNet 上的 Office 2010 安全性資源中心(可能為英文網頁)