(0) exportieren Drucken
Alle erweitern

Entfernen oder Zurücksetzen von Dateikennwörtern in Office 2013

Office 2013
 

Gilt für: Office 365 ProPlus, Office 2013

Letztes Änderungsdatum des Themas: 2014-09-04

Zusammenfassung: Erläuterung des Aufhebens des Kennwortschutzes von mit OOXML formatierten Word-, Excel- und PowerPoint-Dateien mit dem Office 2013 DocRecrypt-Tool.

Zielgruppe: IT-Spezialisten

Übertragen Sie Registrierungsänderungen, über die ein Zertifikat kennwortgeschützten Dokumenten zugeordnet wird, mithilfe Gruppenrichtlinien und nach dem PUSH-Prinzip. Diese Zertifikatinformationen werden in den Dateiheader eingebettet. Wenn das Kennwort später vergessen werden oder verloren gehen sollte, können Sie mit dem Befehlszeilentool DocRecrypt und dem privaten Schlüssel die Datei entsperren und optional ein neues Kennwort zuweisen.

 

Sind Sie ein Benutzer?

Wenn Sie Informationen über Kennwörter in einer persönlichen Kopie von Office 2013 erhalten möchten, finden Sie Informationen dazu unter Schützen von Dokumenten, Arbeitsmappen oder Präsentationen durch Kennwörter, Berechtigungen und andere Einschränkungen.

Ein weiteres Beispiel finden Sie unter Entfernen des Kennworts eines Dokuments.

Sind Sie ein Administrator?

Wenn Sie ein IT-Spezialist sind, der in seiner Organisation Kennwörter in Office 2013-Dateien entfernen oder zurücksetzen möchte, beispielsweise, wenn ein Mitarbeiter die Organisation verlassen hat und Ihnen dessen Kennwort nicht bekannt ist, sind Sie hier genau richtig, lesen Sie weiter.

WichtigWichtig:
Dieser Artikel ist Bestandteil von Inhaltsübersicht für Office 2013-Identitäts, Authentifizierungs- und Autorisierungseinstellungen. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Skripts und Videos, mit deren Hilfe Sie Office 2013-Identitätskonzepte bewerten können.

Inhalt dieses Artikels

Es gibt zahlreiche Gründe, warum Benutzer ein Word-, Excel- oder PowerPoint-Dokument mit einem Kennwort schützen möchten oder müssen.

  • Mehrere Mitarbeiter in einer wichtigen Abteilung möchten an einem Gruppenbudget arbeiten, wollen diese Zahlen dem Rest des Unternehmens erst präsentieren, wenn das Budget steht.

  • Berater arbeiten mit Kunden zusammen, die in einer Vereinbarung zum Servicelevel fordern, dass ihre sensiblen Daten geschützt bleiben, wenn diese den Kontrollbereich des Kunden verlassen.

  • Lehrer, die sicherstellen möchten, dass in Word erstellte Tests nicht preisgegeben werden.

  • Medienexperten und Wissenschaftler, die an Präsentationen für wichtige Forscher in ihren Bereichen arbeiten, wollen sicherstellen, dass ihre bahnbrechenden Erkenntnisse erst zum geplanten Zeitpunkt an die Öffentlichkeit gelangen.

Wenn zuvor der ursprüngliche Ersteller eines Dateikennworts entweder das Kennwort vergaß oder die Organisation verließ, konnte die Datei nicht wiederhergestellt werden. Mithilfe von Office 2013 und eines hinterlegten Schlüssels, der im Speicher für private Schlüsselzertifikate Ihres Unternehmens oder Ihrer Abteilung generiert wird, kann ein IT-Administrator die Datei für einen Benutzer entsperren und anschließend die Datei ohne Kennwortschutz belassen oder ihr ein neues Kennwort zuweisen. Sie als IT-Administrator sind für den hinterlegten Schlüssel zuständig. Sie können die öffentlichen Schlüsselinformationen mithilfe einer Registrierungsschlüsseleinstellung einmalig unbemerkt per Push-Verfahren auf Clientcomputer übertragen oder diese über ein Gruppenrichtlinienskript erstellen. Wenn ein Benutzer später eine kennwortgeschützte Office 2013 Word-, Excel- oder PowerPoint-Datei erstellt, wird dieser öffentliche Schlüssel dem Dateiheader hinzugefügt. Später kann ein IT-Experte mit dem Office DocRecrypt-Tool das Kennwort entfernen, das der Datei zugeordnet ist, und anschließend optional die Datei mit einem neuen Kennwort schützen. Hierfür müssen IT-Experten über alle folgenden Elemente verfügen:

  • Das neue Office DocRecrypt-Tool

  • Die Word-, Excel- oder PowerPoint-Datei mit einem eingebetteten öffentlichen Schlüssel

  • Berechtigung für den Zugriff auf öffentliche und private Schlüssel, die dem Zertifikat zugeordnet sind

In diesem Artikel wird kein Unternehmensprozess für die Verwaltung und Verteilung eines privaten Schlüssels vorgegeben, d. h. wo dieser Schlüssel gespeichert wird, welche Berechtigungen und Autorisierungen erforderlich sind, um ein Knacken oder Zurücksetzen eines Kennworts anzufordern, oder wo die Datei nach ihrer Wiederherstellung gespeichert werden soll. Diese Entscheidungen sollten gemäß den Standards und Prozessen Ihrer Organisation getroffen werden.

Vor diesem Hintergrund empfehlen wir zum Gewährleisten eines hohen Maßes an Sicherheit für kennwortgeschützte Dateien, dass Ihre Organisation diese Richtlinien befolgt:

  • Übertragen Sie den privaten Schlüssel nie per Push-Verfahren auf einem Clientcomputer! Dies ist unsere wichtigste Empfehlung.

  • Sperren Sie den Zugriff auf den Zertifikatspeicher mit dem privaten Schlüssel und dem Zertifikat, mit denen der hinterlegte Schlüssel und öffentlichen Schlüssel generiert wurden.

  • Sorgen Sie dafür, keine einzelne Person die Sicherheit der PKI-Dienste (Public Key-Infrastruktur) gefährden kann. Außerdem empfehlen wir, dass Sie Zertifikatverwaltungsrollen auf mehrere Personen in Ihrer Organisation verteilen.

Wenn Sie diese Empfehlungen nicht durchgängig befolgen, kann die Sicherheit aller neuen kennwortgeschützten Dateien gefährdet sein. Ihr Unternehmen bzw. Ihre Organisation sollte bereits über ein überlegt definiertes AD CS-Verwaltungsmodell (Active Directory-Zertifikatdienste) und eine Strategie für die Infrastruktur von Zertifizierungsstellen verfügen, die beispielsweise die standortexterne Aufbewahrung des privaten Schlüssels und der privaten Zertifikate vorsieht. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

HinweisHinweis:
Das für DocRecrypt verwendete Zertifikat kann ein herkömmliches Benutzerzertifikat mit Benutzerauthentifizierung als beabsichtigten Zweck genutzt werden. Das Hauptziel des Zertifikats ist das Verschlüsseln des Dokuments.

Da sich viele private Schlüsselzertifikate auf einem IT-Computer befinden können, stellt sich die Frage, wie das richtige Zertifikat bestimmt werden kann. In der Zertifikatverwaltung durchsucht das Office 2013 DocRecrypt-Tool zunächst den logischen Speicher und dann den Speicher des aktuellen Benutzers. In jedem dieser Speicher durchsucht das Tool zuerst die Zertifikate, die keine Windows System-Erzwingungs-PIN benötigen. Danach werden diejenigen durchsucht, die eine benötigen.

Nur Open Office XML-Dateien   Das Office DocRecrypt-Tool funktioniert nur bei Dokumenten im Office Open XML-Format wie DOCX-, PPTX- und XLSX-Dateien.

Zuvor verschlüsselte Dateien   Das Office DocRecrypt-Tool kann nicht zum Wiederherstellen von Dateien genutzt werden, die kennwortgeschützt wurden, bevor Sie das Zertifikat und den hinterlegten Schlüssel bereitgestellt haben. Wenn jedoch ein Benutzer, nachdem Sie das Zertifikat und den hinterlegten Schlüssel bereitgestellt haben, eine zuvor geschützte Datei in Office 2013 öffnet und anschließend speichert, wird der hinterlegte Schlüssel der Datei hinzugefügt. Ab diesem Zeitpunkt können Sie das Kennwort der Datei mit dem Office DocRecrypt-Tool entfernen oder zurücksetzen.

Andere Möglichkeiten zum Schützen von Word-, Excel- und PowerPoint-Dateien   Andere Möglichkeiten zum Schützen von Word-, Excel- und PowerPoint-Dateien finden Sie unter Schützen von Dokumenten, Arbeitsmappen oder Präsentationen durch Kennwörter, Berechtigungen und andere Einschränkungen.

Beachten Sie, dass Benutzer beliebige dieser Schutzmethoden unabhängig voneinander anwenden können. Wenn ein Kennwort von einem IT-Administrator entfernt wird, bleiben die anderen Schutzeinstellungen uneingeschränkt erhalten.

Es gibt verschiedene Faktoren, die ggf. bestimmen, ob das Kennwort einer Datei entfernt werden kann. Einzelheiten und Tipps finden Sie in der folgenden Tabelle.

Aspekte beim Entfernen des Kennworts für eine Datei

Problem Tipp

Datei ist als schreibgeschützt oder ausgeblendet gekennzeichnet.

Das Office DocRecrypt-Tool funktioniert nicht bei Dateien, die als schreibgeschützt oder ausgeblendet gekennzeichnet sind. Sie können jedoch die Einstellung aufheben, die Datei entschlüsseln und nach der Suche wieder als schreibgeschützt oder ausgeblendet kennzeichnen.

Datei wird an mehreren Orten gespeichert.

Das Office DocRecrypt-Tool entfernt nur den Kennwortschutz für die bestimmte Instanz der Datei, die Sie referenzieren. Sie müssen jedoch auch den Kennwortschutz für Dateien entfernen, die in RAID- und anderen Festplattenkonfigurationen referenziert werden.

Datei befindet sich in einer freigegebenen Arbeitsmappe.

Das Office DocRecrypt-Tool funktioniert nicht bei gemeinsam erstellten Dateien, die eingebettete Dateien enthalten.

Datei ist digital signiert.

Durch Entfernen des Kennwortschutzes einer digital signierten Datei wird nicht die Gültigkeit der digitalen Signatur gefährdet.

Dateiname beginnt mit einem Bindestrich ("-").

Wenn der Name der Datei, die Sie mit dem Office DocRecrypt-Tool suchen möchten, einen Bindestrich enthält, setzen Sie den Dateinamen in Anführungszeichen.

Anforderer ist nicht berechtigt, die Datei zu öffnen.

Der IT-Administrator bestimmt, ob die Person, die das Entschlüsseln einer Datei anfordert, tatsächlich die Erlaubnis zum Anzeigen des Inhalts der Datei hat, nachdem das Kennwort entfernt oder neu zugewiesen wurde. Auch wenn einer kennwortgeschützten Datei eine Zugriffssteuerungsliste zugeordnet ist, wird die Zuordnung beim Entschlüsselungsvorgang aufgehoben. Sie müssen sie nachher wiederherstellen.

Speicherort oder Ziel ist schreibgeschützt.

Vergewissern Sie sich, dass sowohl die kennwortgeschützte Datei als auch der Zielspeicher den Lese-/Schreibzugriff zulassen.

Zertifikat wurde gesperrt oder ist abgelaufen.

Ihre IT-Abteilung muss sicherstellen, dass Ihre privaten Schlüsselzertifikate gültig und aktuell sind. Beachten Sie auch, dass das Office DocRecrypt-Tool nicht den Widerrufstatus des privaten Schlüsselzertifikats prüft.

Kennwortgeschützte Datei befindet sich in der Cloud.

Die Datei muss auf eine Festplatte oder in eine UNC-Freigabe mit Lese-/Schreibzugriff kopiert werden, ehe sie entschlüsselt werden kann.

Damit Ihre IT-Abteilung ein Kennwort einer kennwortgeschützten Word-, PowerPoint- oder Excel-Datei entfernen kann, müssen Sie bei der Bereitstellung von Office 2013 zunächst die öffentlichen Schlüsselzertifikate per Push-Verfahren auf die Clientcomputer übertragen und die Registrierung bearbeiten. Hierfür stehen Ihnen zwei Möglichkeiten zur Verfügung:

  • Mithilfe von Gruppenrichtlinien und einer administrativen Vorlage, was die beste Wahl bei mehreren Clientcomputern in Unternehmen ist, oder

  • Durch manuelles Ändern der Registrierung eines Clientcomputers, was die beste Wahl bei einem einzelnen oder wenigen Clientcomputern ist.

HinweisHinweis:
Sie können alle Aufgaben in Office 2013-Produktfamilien mit einer Maus, über Tastenkombinationen oder per Touch-Gesten durchführen. Informationen zum Verwenden von Tastenkombinationen und Touch-Gesten mit Office-Produkten und -Diensten finden Sie unter Tastenkombinationen und im Office-Leitfaden für die Gestensteuerung.

  1. Laden Sie die administrative Vorlage für Gruppenrichtlinien (ADMX/ADML) herunter, die unter Office 2013 – Administrative Vorlagendateien (ADMX/ADML) und Office-Anpassungstoolzur Verfügung steht.

  2. Öffnen Sie die Vorlage im Editor für lokale Gruppenrichtlinien, und navigieren Sie zu den Einstellungen für den hinterlegten Schlüssel. Öffnen Sie die Verzweigung Benutzerkonfiguration, und wählen Sie dann nacheinander Administrative Vorlagen, Microsoft Office 2013, Sicherheitseinstellungen und Hinterlegte Zertifikate aus.

    20  hinterlegte Schlüssel stehen zur Konfiguration bereit, die alle Hinterlegter Schlüssel Nr. heißen.

  3. Wählen Sie einen hinterlegten Schlüssel aus, und klicken Sie anschließend im Kontextmenü (nach Klicken mit der rechten Maustaste) auf Bearbeiten, um einen hinterlegten Schlüssel zu konfigurieren.

    Das Dialogfeld Hinterlegter Schlüssel Nr. wird angezeigt.

  4. Zum Einrichten und Aktivieren dieses Schlüssels klicken Sie auf die Schaltfläche Aktiviert. Wenn Sie diesen Schlüssel später deaktivieren möchten, kehren Sie zum Dialogfeld Hinterlegter Schlüssel Nr. zurück und klicken auf die Schaltfläche Deaktiviert.

  5. Geben Sie in das Feld Zertifikathash den Zertifikathash ein, der als eindeutige Zertifikat-ID verwendet wird und auch "Fingerabdruck" genannt wird. Wenn beispielsweise die ID Ihres Zertifikats 9131517191121d94d143117fc126213c1781d21c ist, legen Sie den Zertifikathash auf diesen Wert fest. Dieser Hash darf Leerzeichen enthalten, wenn Sie ihn besser lesbar machen möchten.

  6. Geben Sie einen Kommentar mit weiteren Details zu diesem bestimmten Zertifikat ein, sofern erforderlich. Dieser Schritt ist optional.

  7. Klicken Sie auf OK.

Weitere Informationen zu den Vorlagen, zum Office-Anpassungstool, Gruppenrichtlinien und Gruppenrichtlinienskripts zum Starten von Computern finden Sie in den folgenden Themen:

Damit Sie ein Kennwort einer Word-, PowerPoint- oder Excel-Datei entfernen können, müssen Sie einen Registrierungsschlüssel zum Angeben der Zertifikate mit öffentlichen Schlüsseln erstellen, die Sie für den Kennwortschutz von Dateien zur Verfügung stellen möchten.

HinweisHinweis:
Anweisungen zum Erstellen eines Registrierungsschlüssels finden Sie im Hilfemenü des Registrierungs-Editors (regedit.exe).
  1. Erstellen Sie im Registrierungs-Editor in der Registrierung des Clientcomputers im folgenden Registrierungspfad den folgenden Schlüssel:

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts

    Erstellen Sie diesen neuen Schlüssel entweder manuell oder mithilfe einer REG-Batchdatei. Informationen zum Erstellen einer REG-Datei über REGEDIT.EXE finden Sie unter Erstellen einer REG-Datei.

    Erstellen eines Schlüssels in der Registrierung des Computers

    Registrierungselement Beschreibung

    Schlüsselname

    EscrowCerts

    Datentyp

    Schlüssel

    Übergeordneter Schlüssel

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\

  2. Fügen Sie dem in Schritt 1 erstellten neuen Schlüssel Zertifikatinformationen für öffentliche Schlüssel gemäß der folgenden Tabelle hinzu. Erstellen Sie einen Eintrag für jedes Zertifikat mit einem öffentlichen Schlüssel, das Sie für den Kennwortschutz von Dateien verfügbar machen möchten.

    Hinzufügen von Zertifikatinformationen für öffentliche Schlüssel

    Registrierungselement Beschreibung

    Schlüsselname

    Eindeutiger benutzerdefinierter Name zur Beschreibung des Zertifikats mit öffentlichem Schlüssel. Beispiel: EscrowCert01, EscrowCert02 usw.

    Typ

    STRING

    Wert

    Der Hashwert, der als eindeutige Zertifikat-ID verwendet wird und auch "Fingerabdruck" genannt wird, im Dialogfeld Windows-Zertifikat. Wenn beispielsweise die ID Ihres Zertifikats 9131517191121d94d143117fc126213c1781d21c ist, geben Sie diesen Wert ein. Dieser Hash darf Leerzeichen enthalten, wenn Sie ihn besser lesbar machen möchten.

  3. Nachdem die Registrierungseinträge hinzugefügt wurden, übertragen Sie das Zertifikat per Push-Verfahren auf den Clientcomputer. Das Zertifikat mit dem öffentlichen Schlüssel muss in der Windows-Zertifikatverwaltung (certmgr.msc) im Speicher Zertifikate – Aktueller Benutzer oder Logisch bzw. Persönlich gespeichert werden. Einzelheiten zum Übertragen von Zertifikaten mit öffentlichem Schlüssel an Clientcomputer im Push-Verfahren mithilfe von Gruppenrichtlinien finden Sie unter Verteilen von Zertifikaten an Clientcomputer mithilfe von Gruppenrichtlinien.


    WichtigWichtig:
    Der IT-Administrator muss sicherstellen, dass das für diesen Vorgang genutzte Zertifikat gültig und nicht abgelaufen ist.

Wenn Benutzer in Office 2013 Word, PowerPoint oder Excel erstellte Dateien mit Kennwortschutz versehen möchten, werden die entsprechenden öffentlichen Schlüsselinformationen im Dateiheader gespeichert. Mithilfe dieses öffentlichen Schlüssels und dazugehörigen privaten Schlüssels kann der Administrator später nach Aufforderung den Kennwortschutz entfernen.

Der IT-Administrationscomputer muss nicht über den Schlüssel und Unterschlüssel in der Registrierung und auch nicht über eine Kopie des Zertifikats mit öffentlichem Schlüssel verfügen. Doch dieser Computer benötigt Folgendes:

  • Das übereinstimmende Paar aus privatem Schlüssel und Zertifikat

  • Das Office DocRecrypt-Tool

  1. Importieren Sie mit dem Zertifikatimport-Assistenten den zum Zertifikat passenden privaten Schlüssel in die Windows-Zertifikatverwaltung.

  2. Laden Sie das Office DocRecrypt-Tool herunter, und installieren Sie es. Dieses Tool finden Sie im Microsoft Download Center.

    Bei Installation des Office DocRecrypt-Tools auf einem 64-Bit-Computer wird es an folgendem Speicherort installiert:

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT

    Bei Installation des Office DocRecrypt-Tools auf einem 32-Bit-Computer wird es an folgendem Speicherort installiert:

    • %programfiles%\Microsoft Office\DOCRECRYPT

Das war's auch schon. Alle Komponenten sind an Ort und Stelle, und Sie können das Kennwort für eine Word-, Excel- oder PowerPoint-Datei entfernen, wenn ein Benutzer Sie dazu auffordern sollte.

Mit dem nun auf dem IT- Administrationscomputer installierten DocRecrypt-Tool können Sie das Dateikennwort entfernen und ein neues Kennwort zuweisen.

Befolgen Sie diese Anweisungen zum Ausführen des DocRecrypt-Tools über die Befehlszeile. Sie können DocRecrypt-Befehle auch mithilfe einer Batchdatei oder eines Skripts automatisch ausführen.

  • Navigieren Sie zur Befehlszeile des Office DocRecrypt-Tools, und öffnen Sie es mit folgender Syntax:

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    Die Optionen des DocRecrypt-Tools werden in der folgenden Tabelle beschrieben.

    Optionen des DocRecrypt-Tools

    Parameter Beschreibung

    -p <new_password>

    (Optional) Dies ist das neue Kennwort, das der Eingabedatei bzw. der Ausgabedatei zugewiesen wird, sofern ein Ausgabedateiname angegeben wird.

    -i <inputfile_or_folder>

    Dies ist die Datei bzw. der Ordner mit den Dateien, die gesperrt sind, da das Kennwort unbekannt ist. Wenn Sie einen Ordner angeben, ignoriert das Office DocRecrypt-Tool Dateien, die nicht das Office Open XML-Format haben.

    -o <outputfile_or_folder>

    (Optional) Dies ist der Name der neuen Ausgabedatei oder des Ordners für Dateien, die anhand der Eingabedateien erstellt werden. Wiederum werden Dateien ignoriert, die nicht das Office Open XML-Format haben.

    -q

    (Optional) Gibt an, dass Sie das Office DocRecrypt-Tool im stillen Modus, meist in einem Skript, ausführen möchten. Der stille Modus hat keine Benutzeroberfläche und funktioniert nicht, wenn ein Zertifikat vom IT-Administrator die Eingabe einer PIN anfordert. Falls Ihr Zertifikat eine PIN anfordert, verwenden Sie nicht den stillen Modus.

    Beispiel:

    Verwenden Sie diesen Code, um das Kennwort aus einer Datei zu entfernen:

    DocRecrypt -i lockedfile

    Verwenden Sie diesen Code, um das Kennwort zu entfernen und das neue Kennwort 12345 zuzuweisen:

    DocRecrypt -p 12345 -i lockedfile

    Verwenden Sie diesen Code, um das Kennwort zu entfernen, eine neue Datei zu erstellen und das neue Kennwort 12345 zuzuweisen:

    DocRecrypt -p 12345 -i lockedfile -o newfile

Wenn Dateien über Office 2013 kennwortgeschützt sind, kann das Kennwort nicht entfernt werden.

Sobald Sie die Clientcomputer in Ihrer Organisation mithilfe des Office-DocRecrypt-Tools (entweder einzeln oder mit der Gruppenrichtlinie) konfiguriert haben, können alle zukünftigen Word 2013, Excel 2013- oder PowerPoint 2013-Dateien (DOCX, XLSX und PPTX) und vorhandene, kennwortgeschützte Office Word 2007-, Word 2010-, Office Excel 2007-, Excel 2010-, Office PowerPoint 2007- oder PowerPoint 2010-Dateien, die Benutzer in Office 2013 bearbeiten, mit dem DocRecrypt-Tool entsperrt oder deren Kennwort zurückgesetzt werden. Wird ein hinterlegter Schlüssel zu einer kennwortgeschützten Datei hinzugefügt, kann diese entsperrt oder zurückgesetzt werden, selbst wenn sie in Office 2007 oder Office 2010 bearbeitet wurde.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft