Planen von Kryptografie- und Verschlüsselungseinstellungen für Office 2013
Gilt für: Office 2013, Office 365 ProPlus
Letztes Änderungsdatum des Themas: 2016-12-16
Zusammenfassung: Erläutert die Einstellungen, mit denen Sie Daten in Office 2013 verschlüsseln können, und stellt Informationen zur Kompatibilität mit früheren Office-Versionen bereit.
Zielgruppe: IT-Spezialisten
Office 2013 bietet Einstellungen, mit denen Sie die Verschlüsselung von Daten steuern können, wenn Sie Access 2013, Excel 2013, OneNote 2013, PowerPoint 2013, Project 2013 und Word 2013 verwenden.
In diesem Artikel werden Kryptografie und Verschlüsselung in Office 2013 erläutert, die Einstellungen zum Verschlüsseln von Daten beschrieben sowie Informationen zur Kompatibilität mit früheren Versionen von Office bereitgestellt. Informationen zu Outlook 2013 finden Sie unter Planen der Kryptografie für E-Mail-Messaging in Outlook 2010.
|
Dieser Artikel ist Bestandteil der Leitfaden für die Office 2013-Sicherheit. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Poster und Videos, mit deren Hilfe Sie die Sicherheit von Office 2013 bewerten. Sie interessieren sich für Sicherheitsinformationen zu einzelnen Office 2013-Anwendungen? Sie finden diese Informationen, indem Sie auf Office.com nach "2013-Sicherheit" suchen. |
.jpg "Übersichtspfeil für Anleitung zur Office-Sicherheit.")
Berücksichtigen Sie folgende Punkte bei der Planung von Verschlüsselungseinstellungen:
Es empfiehlt sich, die Standardverschlüsselungseinstellungen nicht zu ändern, sofern das Sicherheitsmodell Ihrer Organisation nicht Verschlüsselungseinstellungen erfordert, die von den Standardeinstellungen abweichen.
Es empfiehlt sich, die Kennwortlänge und -komplexität zu erzwingen, damit beim Verschlüsseln von Daten sichere Kennwörter verwendet werden. Weitere Informationen finden Sie unter Planen von Kennwortkomplexitätseinstellungen für Office 2013.
Es empfiehlt sich, keine RC4-Verschlüsselung zu verwenden. Weitere Informationen finden Sie unter Kompatibilität mit früheren Office-Versionen weiter unten in diesem Artikel.
Es gibt keine Verwaltungseinstellung, die Benutzer zum Verschlüsseln von Dokumenten zwingt. Allerdings gibt es eine Verwaltungseinstellung, die Benutzer daran hindert, Dokumenten Kennwörter hinzuzufügen, und daher verhindert, dass Dokumente verschlüsselt werden. Weitere Informationen finden Sie unter Kryptografie- und Verschlüsselungseinstellungen weiter unten in diesem Artikel.
Das Speichern von Dokumenten an vertrauenswürdigen Speicherorten hat keinen Einfluss auf die Verschlüsselungseinstellungen. Wenn ein Dokument verschlüsselt ist und an einem vertrauenswürdigen Ort gespeichert wird, muss zum Öffnen des Dokuments trotzdem ein Kennwort angegeben werden.
Wenn Sie Benutzern erlauben, Dokumente durch ein Kennwort zu schützen und sie das Kennwort vergessen oder verlieren, können Sie das Kennwort mit dem DocRecrypt-Tool zurücksetzen oder entfernen. Weitere Informationen finden Sie im Artikel Entfernen oder Zurücksetzen von Dateikennwörtern in Office 2013.
Inhalt dieses Artikels:
Informationen zu Kryptografie und Verschlüsselung in Office 2010
Kryptografie- und Verschlüsselungseinstellungen
Kompatibilität mit früheren Office-Versionen
Informationen zu Kryptografie und Verschlüsselung in Office 2010
Die Verschlüsselungsalgorithmen, die Ihnen für die Verwendung mit Office zur Verfügung stehen, richten sich nach den Algorithmen, auf die über die Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) des Betriebssystems Windows zugegriffen werden kann. Office 2013 unterstützt nicht nur die Kryptografie-API (CryptoAPI), sondern auch CNG (CryptoAPI: Next Generation), die erstmals in 2007 Microsoft Office System mit Service Pack 2 (SP2) zur Verfügung gestellt wurde.
CNG erlaubt nicht nur eine agilere Verschlüsselung, bei der auf dem Hostcomputer unterstützte Verschlüsselungs- und Hashalgorithmen für die Verwendung während des Dokumentverschlüsselungsprozesses angegeben werden können. CNG ermöglicht auch eine bessere Erweiterungsverschlüsselung, bei der Verschlüsselungsmodule von Drittanbietern verwendet werden können.
Wenn Office CryptoAPI verwendet, richten sich die Verschlüsselungsalgorithmen nach denen, die in einem Kryptografiedienstanbieter (Crypto Service Provider, CSP) verfügbar sind. Dieser ist Bestandteil des Betriebssystems Windows. Der folgende Registrierungsschlüssel enthält eine Liste der auf einem Computer installierten CSPs:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
Die folgenden CNG-Verschlüsselungsalgorithmen oder jede andere auf dem System installierte CNG-Verschlüsselungserweiterung kann mit 2007 Office System SP2, Office 2010 oder Office 2013 verwendet werden:
AES, DES, DESX, 3DES, 3DES_112 und RC2
Die folgenden CNG-Hashalgorithmen oder jede andere auf dem System installierte CNG-Verschlüsselungserweiterung kann mit 2007 Office System SP2, Office 2010, oder Office 2013 verwendet werden:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 und SHA512
Es gibt zwar Office 2013-Einstellungen, mit denen die Durchführung der Verschlüsselung geändert werden kann, wenn Sie Dateien im Open XML-Format (.docx, .xslx, .pptx usw.) speichern, die Standardwerte – AES (Advanced Encryption Standard), 128-Bit-Schlüssellänge, SHA1 und CBC (Blockchiffreverkettung, Cipher Block Chaining) – bieten jedoch eine sichere Verschlüsselung und müssten für die meisten Organisationen ausreichen. Die AES-Verschlüsselung ist der sicherste Algorithmus nach Industriestandard, der verfügbar ist. Er wurde von der National Security Agency (NSA) als Standard für die US-Regierung ausgewählt. Die AES-Verschlüsselung wird unter Windows XP SP2, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012 unterstützt.
Kryptografie- und Verschlüsselungseinstellungen
Die folgende Tabelle enthält die Einstellungen für Verschlüsselungsalgorithmen, die Sie in Verbindung mit Office-Versionen verwenden können, die auf die CryptoAPI zugreifen. Dazu gehören Office-Versionen bis und einschließlich Office 2013.
Verschlüsselungseinstellungen für die Verwendung mit CryptoAPI
| Einstellung | Beschreibung |
|---|---|
Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien |
Mit dieser Einstellung können Sie einen Verschlüsselungstyp für Open XML-Dateien aus den verfügbaren Kryptografiedienstanbietern (Cryptographic Service Provider, CSP) auswählen. Diese Einstellung ist erforderlich, wenn Sie ein benutzerdefiniertes COM-Verschlüsselungs-Add-In verwenden. Diese Einstellung ist ebenfalls erforderlich, wenn Sie 2007 Office System SP1 oder eine Version des Compatibility Pack verwenden, die älter ist als das Microsoft Office Compatibility Pack für Word, Excel und PowerPoint-Dateiformate, und einen anderen als den standardmäßig eingestellten Verschlüsselungsalgorithmus verwenden möchten. |
Verschlüsselungstyp für kennwortgeschützte Office 97-2003-Dateien |
Mit dieser Einstellung können Sie einen Verschlüsselungstyp für Office 97–2003-(Binär-)Dateien der verfügbaren Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) angeben. RC4 ist der einzige Verschlüsselungsalgorithmus, der mit dieser Einstellung unterstützt wird. Die Verwendung dieses Algorithmus wird nicht empfohlen. |
Wenn Sie in Office 2013 die Einstellung Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien ändern müssen, aktivieren Sie zunächst die Einstellung Verschlüsselungskompatibilität angeben, und wählen Sie dann die Option Format aus Vorversion verwenden aus. Die Einstellung Verschlüsselungskompatibilität angeben ist für Access 2013, Excel 2013, PowerPoint 2013 und Word 2013 verfügbar.
Die folgende Tabelle enthält die Einstellungen, die zum Ändern der Verschlüsselungsalgorithmen verfügbar sind, wenn Sie Office 2013 verwenden. Diese Einstellungen gelten für Access 2013, Excel 2013, OneNote 2013, PowerPoint 2013, Project 2013 und Word 2013.
Tipp
Alle der folgenden Einstellungen, mit Ausnahme von Parameter für CNG-Kontext festlegen und Algorithmus für CNG-Zufallszahlen-Generator angeben, können angewendet werden, auch dann, wenn Sie ein unterstütztes Betriebssystem für Office 2013 (z. B. Windows XP SP3), verwenden, das CNG nicht unterstützt. In diesem Fall verwendet Office 2013 die CryptoAPI anstelle von CNG. Diese Einstellungen gelten nur, wenn Sie Office 2013 zum Verschlüsseln von Open XML-Dateien verwenden.
Einstellungen, die den Verschlüsselungsalgorithmus ändern
| Einstellung | Beschreibung |
|---|---|
CNG-Chiffrieralgorithmus festlegen |
Hiermit können Sie den verwendeten CNG-Chiffrieralgorithmus konfigurieren. Der Standardwert ist AES. |
CNG-Chiffreverkettungsmodus konfigurieren |
Hiermit können Sie den verwendeten Chiffreverkettungsmodus konfigurieren. Die Standardeinstellung ist CBC (Blockchiffreverkettung, Cipher Block Chaining). |
Länge des CNG-Chiffrierschlüssels festlegen |
Hiermit können Sie die Anzahl der Bits festlegen, die beim Erstellen des Chiffrierschlüssels verwendet werden soll. Der Standardwert ist 128 Bit. |
Verschlüsselungskompatibilität angeben |
Hiermit können Sie das Kompatibilitätsformat festlegen. Die Standardeinstellung ist Format der nächsten Generation verwenden. |
Parameter für CNG-Kontext festlegen |
Hiermit können Sie die Verschlüsselungsparameter angeben, die für den CNG-Kontext verwendet werden sollen. Um diese Einstellung verwenden zu können, muss zunächst ein CNG-Kontext mit CryptoAPI: Next Generation (CNG) erstellt werden. Weitere Informationen finden Sie unter CNG Cryptographic Configuration Functions (Funktionen für die CNG-Kryptografiekonfiguration). |
CNG-Hashalgorithmus angeben |
Hiermit können Sie den verwendeten Hashalgorithmus angeben. Der Standardwert ist SHA1. |
Anzahl für CNG-Kennwortwechsel festlegen |
Hiermit können Sie angeben, wie oft der Kennwortverifizierer gewechselt (neu gehasht) werden soll. Der Standardwert ist 100000. |
Algorithmus für CNG-Zufallszahlen-Generator angeben |
Hiermit können Sie den CNG-Zufallszahlen-Generator angeben, der verwendet werden soll. Der Standardwert ist RNG (Random Number Generator, Zufallszahlen-Generator). |
Länge für CNG-Salt angeben |
Hiermit können Sie die Anzahl der Salt-Bytes angeben, die verwendet werden soll. Salt ist eine zusätzliche Eingabe zu Kennwort und Hash. Der Standardwert ist 16. |
Die folgende Tabelle enthält zusätzliche CNG-Einstellungen, die für Excel 2013, PowerPoint 2013 und Word 2013 konfiguriert werden können.
Excel 2013-, PowerPoint 2013- und Word 2013-spezifische CHG-Einstellung
| Einstellung | Beschreibung |
|---|---|
Bei Kennwortänderung neuen Schlüssel verwenden |
Hiermit können Sie angeben, ob ein neuer Verschlüsselungsschlüssel verwendet werden soll, wenn das Kennwort geändert wird. Standardmäßig wird bei einer Kennwortänderung kein neuer Schlüssel verwendet. |
Sie können mit der in der folgenden Tabelle aufgeführten Einstellung verhindern, dass Benutzer Dokumente durch ein Kennwort schützen. Dadurch werden Benutzer daran gehindert, Dokumente zu verschlüsseln.
Einstellung, um Benutzer daran zu hindern, ein Dokument durch ein Kennwort zu schützen
| Einstellung | Beschreibung |
|---|---|
Kennwort zum Öffnen der Benutzeroberfläche deaktivieren |
Mit dieser Einstellung wird gesteuert, ob Office 2013-Benutzer Dokumente durch ein Kennwort schützen können. Standardmäßig können Benutzer Kennwörter hinzufügen. |
Tipp
Informationen zum Konfigurieren von Sicherheitseinstellungen im Office-Anpassungstool (OAT) und zu den administrativen Vorlagen von Office 2013 finden Sie unter Konfigurieren der Sicherheit mithilfe des OAT oder Gruppenrichtlinien für Office 2013.
Kompatibilität mit früheren Office-Versionen
Wenn Sie Office-Dokumente verschlüsseln müssen, empfiehlt es sich, die Dokumente im Open XML-Format (.docx, .xlsx, .pptx usw.) und nicht im Office 97–2003-Format (.doc, .xls, .ppt usw.) zu speichern. Die für Binärdokumente (.doc, .xls, .ppt) verwendete Verschlüsselung verwendet RC4. Diese Verschlüsselung wird nicht empfohlen (siehe Abschnitte 4.3.2 und 4.3.3 unter „Überlegungen zur Sicherheit“ der Spezifikation für die Office-Dokumentkryptografiestruktur). In älteren Office-Binärformaten gespeicherte Dokumente können nur mit RC4 verschlüsselt werden, damit sie weiterhin mit älteren Versionen von Office kompatibel sind. Der empfohlene Verschlüsselungsalgorithmus AES, der gleichzeitig der Standardverschlüsselungsalgorithmus ist, wird zum Verschlüsseln von Dateien im Open XML-Format verwendet.
In Office 2013, Office 2010 und 2007 Office System können Sie Dokumente im Open XML-Format speichern. Wenn Sie über Office XP oder Office 2003 verfügen, können Sie mit dem Compatibility Pack zudem Dokumente im Open XML-Format speichern.
Im Open XML-Format gespeicherte und mit Office 2013 verschlüsselte Dokumente können nur von Office 2013, Office 2007 SP2 und Office 2003 mit dem Compatibility Pack für Office 2007 SP2 gelesen werden. Um eine Kompatibilität mit allen früheren Office-Versionen sicherzustellen, können Sie unter HKCU\Software\Microsoft\Office\14.0\<Anwendung>\Security\Crypto\ einen Registrierungsschlüssel mit dem Namen CompatMode erstellen (sofern noch nicht vorhanden) und ihn deaktivieren, indem Sie ihn auf 0 festlegen. Die Werte, die Sie für <Anwendung> eingeben können, stehen für die spezifische Office-Anwendung, für die Sie diesen Registrierungsschlüssel konfigurieren. Sie können beispielsweise Access, Excel, PowerPoint oder Word eingeben. Wichtig: Wenn Sie CompatMode auf 0 festlegen, verwendet Office 2013 ein Office 2007-kompatibles Verschlüsselungsformat anstelle der erhöhten Sicherheit, die standardmäßig bereitgestellt wird, wenn Sie Dateien mit Office 2013 im Open XML-Format verschlüsseln. Wenn Sie diese Einstellung aus Kompatibilitätsgründen konfigurieren, empfiehlt es sich, zudem ein Verschlüsselungsmodul eines Drittanbieters zu verwenden, das eine erhöhte Sicherheit erlaubt (z. B. AES-Verschlüsselung).
Wenn Ihre Organisation den Microsoft Office Compatibility Pack für Word-, Excel- und PowerPoint-Dateiformate verwendet, um Dateien im Open XML-Format zu verschlüsseln, sollten Sie die folgenden Informationen lesen:
Der Compatibility Pack verwendet standardmäßig die folgenden Einstellungen zum Verschlüsseln von Dateien im Open XML-Format:
Microsoft Enhanced RSA und AES Cryptographic Provider (Prototyp),AES 128,128 (unter dem Betriebssystem Windows XP Professional)
Microsoft Enhanced RSA und AES Cryptographic Provider,AES 128,128 (unter den Betriebssystemen Windows Server 2003 und Windows Vista)
Benutzer werden nicht darüber informiert, dass der Compatibility Pack diese Verschlüsselungseinstellungen verwendet.
Die grafische Benutzeroberfläche früherer Office-Versionen zeigt möglicherweise falsche Verschlüsselungseinstellungen für Dateien im Open XML-Format an, wenn das Compatibility Pack installiert ist.
Die grafische Benutzeroberfläche früherer Office-Versionen kann nicht verwendet werden, um die Verschlüsselungseinstellungen für Dateien im Open XML-Format zu ändern.
Tipp
Neueste Informationen zu Richtlinieneinstellungen finden Sie im Artikel Administrative Vorlagendateien für Gruppenrichtlinien (ADMX, ADML) und Dateien des Office-Anpassungstools (OCT) für Office 2013.
Siehe auch
Leitfaden für die Office 2013-Sicherheit
Übersicht über die Sicherheit in Office 2013
Konfigurieren der Sicherheit mithilfe des OAT oder Gruppenrichtlinien für Office 2013
Entfernen oder Zurücksetzen von Dateikennwörtern in Office 2013