Planen von Einstellungen für Kryptografie und Verschlüsselung für Office 2010

 

Gilt für: Office 2010

Letztes Änderungsdatum des Themas: 2015-03-09

In Microsoft Office 2010 gibt es Einstellungen, mit denen Sie die Verschlüsselung von Daten steuern können, wenn Sie Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 und Microsoft Word 2010 verwenden. In diesem Artikel finden Sie eine Erläuterung der Kryptografie und Verschlüsselung in Office 2010, eine Beschreibung der Einstellungen zum Verschlüsseln von Daten sowie Informationen zur Kompatibilität mit früheren Versionen von Microsoft Office. Informationen zu Microsoft Outlook 2010 finden Sie unter Planen der Kryptografie für E-Mail-Messaging in Outlook 2010.

Berücksichtigen Sie beim Planen der Verschlüsselungseinstellungen die folgenden Richtlinien:

  • Es wird empfohlen, die Standardverschlüsselungseinstellungen nicht zu ändern, außer das Sicherheitsmodell Ihrer Organisation erfordert von den Standardeinstellungen abweichende Verschlüsselungseinstellungen.

  • Es wird empfohlen, eine bestimmte Länge und Komplexität für Kennwörter zu erzwingen, damit zum Verschlüsseln von Daten sichere Kennwörter verwendet werden. Weitere Informationen finden Sie unter Administrative Vorlagendateien (ADM, ADMX, ADML) für 2007 Office System und Updates für das Office-Anpassungstool.

  • Es wird empfohlen, die RC4-Verschlüsselung nicht zu verwenden. Weitere Informationen finden Sie unter Kompatibilität mit früheren Versionen von Office weiter unten in diesem Artikel.

  • Es gibt keine administrative Einstellung, mit der Benutzer zum Verschlüsseln von Dokumenten gezwungen werden können. Allerdings gibt es eine administrative Einstellung, mit der verhindert wird, dass Dokumenten Kennwörter hinzugefügt werden können, wodurch die Verschlüsselung von Dokumenten unterbunden wird. Weitere Informationen finden Sie unter Einstellungen für Kryptografie und Verschlüsselung weiter unten in diesem Artikel.

  • Das Speichern von Dokumenten in vertrauenswürdigen Speicherorten hat keine Auswirkungen auf Verschlüsselungseinstellungen. Wenn ein Dokument verschlüsselt ist und in einem vertrauenswürdigen Speicherort gespeichert wird, muss der Benutzer zum Öffnen des Dokuments ein Kennwort eingeben.

Inhalt dieses Artikels:

  • Informationen zur Kryptografie und Verschlüsselung in Office 2010

  • Einstellungen für Kryptografie und Verschlüsselung

  • Kompatibilität mit früheren Versionen von Office

Informationen zur Kryptografie und Verschlüsselung in Office 2010

Die verfügbaren Verschlüsselungsalgorithmen für Office hängen von den Algorithmen ab, auf die über die Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) im Windows-Betriebssystem zugegriffen werden kann. Office 2010 unterstützt neben der Kryptografie-API (CryptoAPI) auch CNG (CryptoAPI: Next Generation), die in 2007 Microsoft Office System mit Service Pack 2 (SP2) erstmalig zur Verfügung gestellt wurde.

CNG ermöglicht eine flexiblere Verschlüsselung, bei der verschiedene auf dem Hostcomputer unterstützte Verschlüsselungs- und Hashalgorithmen für die Verwendung während des Dokumentverschlüsselungsprozesses angegeben werden können. CNG ermöglicht außerdem die Verschlüsselung mit besserer Erweiterbarkeit, bei der Verschlüsselungsmodule anderer Hersteller verwendet werden können.

Wenn CryptoAPI von Office verwendet wird, hängen die Verschlüsselungsalgorithmen von den Verschlüsselungsalgorithmen ab, die in einem Kryptografiedienstanbieter (Crypto Service Provider, CSP), der Bestandteil des Windows-Betriebssystems ist, verfügbar sind. Der folgende Registrierungsschlüssel enthält eine Liste der auf einem Computer installierten CSPs:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

Die folgenden CNG-Verschlüsselungsalgorithmen oder jede andere auf dem System installierte CNG-Chiffriererweiterung kann für Office 2010 oder 2007 Office System SP2 verwendet werden:

AES, DES, DESX, 3DES, 3DES_112 und RC2

Die folgenden CNG-Hashalgorithmen oder jede andere auf dem System installierte CNG-Chiffriererweiterung kann für Office 2010 oder 2007 Office System SP2 verwendet werden:

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 und SHA512

Es gibt Office 2010-Einstellungen, mit denen die Verschlüsselungsweise geändert werden kann. Bei der Verschlüsselung von Dateien im Open XML-Format (DOCX, XSLX, PPTX usw.) ermöglichen allerdings die Standardwerte – erweiterter Verschlüsselungsstandard (Advanced Encryption Standard, AES), 128-Bit-Schlüssellänge, SHA1 und CBC (Cipher Block Chaining, Blockchiffreverkettung) – ein starke Verschlüsselung und sollten für die meisten Organisationen geeignet sein. Die AES-Verschlüsselung ist der stärkste verfügbare Algorithmus gemäß Industriestandard und wurde von der National Security Agency (NSA) als Standard für die US-Regierung ausgewählt. Die AES-Verschlüsselung wird unter Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008 unterstützt.

Einstellungen für Kryptografie und Verschlüsselung

Die folgende Tabelle enthält eine Auflistung der Einstellungen, die zum Ändern der Verschlüsselungsalgorithmen verfügbar sind, wenn Sie Microsoft Office-Versionen verwenden, die auf CryptoAPI zugreifen. Hierzu zählen Office-Versionen bis einschließlich Office 2010.

Einstellung Beschreibung

Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien

Mithilfe dieser Einstellung können Sie einen Verschlüsselungstyp für Open XML-Dateien unter den verfügbaren Kryptografiedienstanbietern (Crypto Service Providers, CSPs) angeben. Diese Einstellung ist erforderlich, wenn Sie ein benutzerdefiniertes COM-Verschlüsselungs-Add-In verwenden. Weitere Informationen finden Sie im "2007 Office System Encryption Developers Guide" (Entwicklerhandbuch für die Verschlüsselung in 2007 Office System), der im Rahmen des SharePoint Server 2007 SDK (https://go.microsoft.com/fwlink/?linkid=107614&clcid=0x407) verfügbar ist. Diese Einstellung ist auch erforderlich, wenn Sie 2007 Office System SP1 oder eine Compatibility Pack-Version verwenden, die älter als das Microsoft Office Compatibility Pack für Dateiformate von Word, Excel und PowerPoint (https://go.microsoft.com/fwlink/?linkid=78517&clcid=0x407) ist, und Sie für den Verschlüsselungsalgorithmus einen anderen als den Standardwert einstellen möchten.

Verschlüsselungstyp für kennwortgeschützte Office 97-2003-Dateien

Mithilfe dieser Einstellung können Sie einen Verschlüsselungstyp für Office 97-2003-Dateien (Binär) unter den verfügbaren Kryptografiedienstanbietern (Crypto Service Providers, CSPs) angeben. Bei Verwendung dieser Einstellung wird nur der Verschlüsselungsalgorithmus RC4 unterstützt, von dem wie weiter oben erwähnt abgeraten wird.

In Office 2010 müssen Sie, falls die Einstellung Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien geändert werden muss, zuerst die Einstellung Verschlüsselungskompatibilität angeben aktivieren und die Option Format aus Vorversion verwenden auswählen. Die Einstellung Verschlüsselungskompatibilität angeben ist für Access 2010, Excel 2010, PowerPoint 2010 und Word 2010 verfügbar.

Die folgende Tabelle enthält eine Auflistung der Einstellungen, die zum Ändern der Verschlüsselungsalgorithmen verfügbar sind, wenn Sie Office 2010 verwenden. Diese Einstellungen gelten für Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 und Word 2010.

Hinweis

Alle nachfolgenden Einstellungen mit Ausnahme von Parameter für CNG-Kontext festlegen und Algorithmus für CNG-Zufallszahlen-Generator angeben gelten, auch wenn Sie ein unterstütztes Betriebssystem für Office 2010 verwenden, wie z. B. Windows XP SP3, von dem CNG nicht unterstützt wird. In diesem Fall verwendet Office 2010 CryptoAPI anstelle von CNG. Diese Einstellungen gelten nur, wenn Sie Office 2010 für die Verschlüsselung von Open XML-Dateien verwenden.

Einstellung Beschreibung

CNG-Chiffrieralgorithmus festlegen

Mit dieser Einstellung können Sie den verwendeten CNG-Chiffrieralgorithmus konfigurieren. Die Standardeinstellung ist AES.

CNG-Chiffreverkettungsmodus konfigurieren

Mit dieser Einstellung können Sie den verwendeten CNG-Chiffreverkettungsmodus konfigurieren. Die Standardeinstellung ist CBC (Blockchiffreverkettung, Cipher Block Chaining).

Länge des CNG-Chiffrierschlüssels festlegen

Mit dieser Einstellung können Sie die Anzahl der zu verwendenden Bits zum Erstellen des Chiffrierschlüssels konfigurieren. Die Standardeinstellung ist 128 Bits.

Verschlüsselungskompatibilität angeben

Mit dieser Einstellung können Sie das Kompatibilitätsformat angeben. Die Standardeinstellung ist Format der nächsten Generation verwenden.

Parameter für CNG-Kontext festlegen

Mit dieser Einstellung können Sie die Verschlüsselungsparameter angeben, die für den CNG-Kontext verwendet werden sollen. Zur Verwendung dieser Einstellung muss zunächst mithilfe von CryptoAPI: Next Generation (CNG) ein CNG-Kontext erstellt werden. Weitere Informationen finden Sie unter Funktionen für die CNG-Kryptografiekonfiguration (https://go.microsoft.com/fwlink/?linkid=192996&clcid=0x407).

CNG-Hashalgorithmus angeben

Mit dieser Einstellung können Sie den verwendeten Hashalgorithmus angeben. Die Standardeinstellung ist SHA1.

Anzahl für CNG-Kennwortwechsel festlegen

Mit dieser Einstellung können Sie angeben, wie oft der Kennwortverifizierer gewechselt (neu gehasht) werden soll. Die Standardeinstellung ist 100000.

Algorithmus für CNG-Zufallszahlen-Generator angeben

Mit dieser Einstellung können Sie den zu verwendenden CNG-Zufallszahlen-Generator konfigurieren. Die Standardeinstellung ist RNG (Zufallszahlen-Generator).

Länge für CNG-Salt angeben

Mit dieser Einstellung können Sie die Anzahl der zu verwendenden Salt-Bytes angeben. Die Standardeinstellung ist 16.

Neben den in der vorherigen Tabelle aufgelisteten CNG-Einstellungen kann die CNG-Einstellung aus der folgenden Tabelle für Excel 2010, PowerPoint 2010 und Word 2010 konfiguriert werden.

Einstellung Beschreibung

Bei Kennwortänderung neuen Schlüssel verwenden

Mit dieser Einstellung können Sie angeben, ob ein neuer Verschlüsselungsschlüssel verwendet werden soll, wenn das Kennwort geändert wird. Standardmäßig wird bei Kennwortänderungen kein neuer Verschlüsselungsschlüssel verwendet.

Mit der Einstellung in der folgenden Tabelle können Sie verhindern, dass Dokumenten Kennwörter hinzugefügt werden, wodurch die Verschlüsselung von Dokumenten unterbunden wird.

Einstellung Beschreibung

Kennwort zum Öffnen der Benutzeroberfläche deaktivieren

Mit dieser Einstellung wird gesteuert, ob Office 2010-Benutzer Dokumenten Kennwörter hinzufügen können. Standardmäßig können Benutzer Kennwörter hinzufügen.

Hinweis

Weitere Informationen zum Konfigurieren von Sicherheitseinstellungen im Office-Anpassungstool (OAT) und mithilfe von administrativen Vorlagen für Office 2010 finden Sie unter Konfigurieren der Sicherheit für Office 2010.

Kompatibilität mit früheren Versionen von Office

Wenn Sie Office-Dokumente verschlüsseln müssen, wird empfohlen, die Dokumente nicht im Office 97-2003-Format (DOC, XLS, PPT usw.), sondern als Dateien im Open XML-Format (DOCX, XLSX, PPTX usw.) zu speichern. Bei der Verschlüsselung von Binärdokumenten (DOC, XLS, PPT) wird RC4 verwendet, wovon wie in den Abschnitten 4.3.2 und 4.3.3 zu Sicherheitsüberlegungen der Spezifikation zur Kryptografiestruktur von Office-Dokumenten (https://go.microsoft.com/fwlink/?linkid=192287\&clcid=0x407) beschrieben abgeraten wird. Dokumente, die in den älteren Office-Binärformaten gespeichert werden, können nur mit RC4 verschlüsselt werden, um die Kompatibilität mit älteren Versionen von Microsoft Office zu erhalten. AES, die Standardeinstellung und der empfohlene Verschlüsselungsalgorithmus, wird zum Verschlüsseln von Dateien im Open XML-Format verwendet.

In Office 2010 und 2007 Office System können Dokumente als Dateien im Open XML-Format gespeichert werden. Darüber hinaus können Sie in Microsoft Office XP oder Office 2003 mit dem Compatibility Pack Dokumente als Dateien im Open XML-Format speichern.

Dokumente, die als Open XML Format-Dateien gespeichert und mithilfe von Office 2010 verschlüsselt werden, können nur von Office 2010, Office 2007 SP2 und Office 2003 mit dem Office 2007 SP2 Compatibility Pack gelesen werden. Zur Gewährleistung der Kompatibilität mit allen vorherigen Versionen von Office können Sie unter HKCU\Software\Microsoft\Office\14.0\<Anwendung>\Security\Crypto\ den Registrierungsschlüssel CompatMode erstellen (falls noch nicht vorhanden) und diesen durch Festlegen auf 0 deaktivieren. Die Werte, die Sie für <Anwendung> eingeben können, stellen die spezifische Office-Anwendung dar, für die Sie diesen Registrierungsschlüssel konfigurieren. Sie können beispielsweise Access, Excel, PowerPoint oder Word eingeben. Wichtig ist der Hinweis, dass bei Festlegung von CompatMode auf 0Office 2010 ein mit Office 2007 kompatibles Verschlüsselungsformat anstelle des optimierten Sicherheitsformats einsetzt, das standardmäßig verwendet wird, wenn Sie Dateien im Open XML-Format mit Office 2010 verschlüsseln. Wenn Sie diese Einstellung aus Kompatibilitätsgründen konfigurieren müssen, wird empfohlen, ein Verschlüsselungsmodul eines Drittanbieters zu nutzen, das eine optimierte Sicherheit ermöglicht, z. B. die AES-Verschlüsselung.

Falls in Ihrer Organisation das Microsoft Office Compatibility Pack für Word, Excel und PowerPoint-Dateiformate zum Verschlüsseln von Dateien im Open XML-Format verwendet wird, müssen Sie Folgendes beachten:

  • Das Compatibility Pack verwendet standardmäßig die folgenden Einstellungen zum Verschlüsseln von Dateien im Open XML-Format:

    • Microsoft Enhanced RSA and AES Cryptographic Provider (Prototyp), AES 128,128 (unter dem Betriebssystem Windows XP Professional).

    • Microsoft Enhanced RSA and AES Cryptographic Provider, AES 128,128 (unter den Betriebssystemen Windows Server 2003 und Windows Vista).

  • Die Benutzer werden nicht informiert, dass das Compatibility Pack diese Verschlüsselungseinstellungen verwendet.

  • Auf der grafischen Benutzeroberfläche früherer Versionen von Office werden möglicherweise falsche Verschlüsselungseinstellungen für Dateien im Open XML-Format angezeigt, falls das Compatibility Pack installiert ist.

  • Die Benutzer können die grafische Benutzeroberfläche früherer Versionen von Office nicht zum Ändern der Verschlüsselungseinstellungen für Dateien im Open XML-Format verwenden.

Hinweis

Die neuesten Informationen zu Richtlinieneinstellungen finden Sie in der Microsoft Excel 2010-Arbeitsmappe Office2010GroupPolicyAndOCTSettings_Reference.xls, das im Abschnitt In diesem Download enthaltene Dateien auf der Downloadseite Administrative Vorlagendateien (ADM, ADMX/ADML) für Office 2010 und das Office-Anpassungstool (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x407) verfügbar ist.