Rimuovere o reimpostare le password dei file in Office 2013

 

Si applica a: Office 2013, Office 365 ProPlus

Ultima modifica dell'argomento: 2016-12-16

Riepilogo: spiega come usare lo strumento DocRecrypt di Office 2013 per sbloccare file di Word, Excel e PowerPoint in formato Office Open XML e protetti da password.

Destinatari: professionisti IT

È possibile usare i Criteri di gruppo per effettuare il push delle modifiche al Registro di sistema che associano un certificato ai documenti protetti da password. Le informazioni del certificato vengono incorporate nell'intestazione del file. Se in seguito si dimentica o si perde la password, è possibile usare lo strumento da riga di comando DocRecrypt e la chiave privata per sbloccare il file ed eventualmente assegnare una nuova password.

Utente?

Se si desiderano informazioni sulle password in una copia personale di Office 2013, vedere invece Protezione dei documenti, delle cartelle di lavoro o delle presentazioni tramite password, autorizzazioni e altre limitazioni.

Per un esempio aggiuntivo, vedere Rimozione di una password da un documento.

Utente amministratore?

Questo articolo è utile per i professionisti IT che desiderano rimuovere o reimpostare le password in file di Office 2013 nell'organizzazione. Se ad esempio un dipendente ha lasciato l'organizzazione e non si conosce la password, continuare a leggere questo articolo.

ImportanteImportante:
Questo articolo fa parte della Guida di orientamento per l'identità, l'autenticazione e l'autorizzazione di Office 2013 destinata ai professionisti IT. Usare questa guida come punto di partenza per accedere ad articoli, download, poster e video utili per valutare l'identità in Office 2013.

Contenuto dell'articolo

  • Panoramica: rimozione o reimpostazione della password di un file in Office 2013 con lo strumento DocRecrypt

  • Configurare i computer client per la rimozione della password di protezione

  • Configurare il computer dell'amministratore IT che contiene la chiave e lo strumento DocRecrypt

  • Usare lo strumento DocRecrypt di Office

  • File di Office 2010 e 2007

Panoramica: rimozione o reimpostazione della password di un file in Office 2013 con lo strumento DocRecrypt

Sono molte le ragioni per cui gli utenti decidono di proteggere con una password i propri documenti di Word, Excel o PowerPoint. Ad esempio:

  • Più persone in un'organizzazione vogliono lavorare a un budget di gruppo, ma non vogliono che il contenuto del budget sia visibile al resto dell'organizzazione finché non hanno finito.

  • Dei consulenti lavorano con clienti che, mediante un contratto di servizio, li vincolano a proteggere la riservatezza dei dati.

  • Gli insegnanti vogliono avere la certezza che i test creati in Word non vengano compromessi.

  • I professionisti dei media e gli scienziati che lavorano a presentazioni a ricercatori chiave nel proprio campo vogliono essere sicuri che i propri progressi non trapelino al pubblico prima che venga dato l'annuncio principale.

In passato, se il creatore originale della password di un file la dimenticava oppure lasciava l'organizzazione, non era più possibile recuperare il file. Oggi, usando Office 2013 e una chiave di deposito generata dall'archivio certificati delle chiavi private dell'azienda o dell'organizzazione, un amministratore IT può "sbloccare" il file per un utente e quindi lasciarlo non protetto oppure assegnargli una nuova password. L'amministratore IT è il custode della chiave di deposito generata dall'archivio certificati delle chiavi private. Può effettuare automaticamente il push delle informazioni sulla chiave pubblica nei computer client una volta tramite l'impostazione di una chiave del Registro di sistema, che può essere creata manualmente o con uno script di Criteri di gruppo. Quando in seguito un utente crea un file di Office 2013Word, Excel o PowerPoint protetto da password, questa chiave pubblica viene inclusa nell'intestazione del file. Un professionista IT potrà poi usare lo strumento DocRecrypt di Office per rimuovere la password associata al file ed eventualmente proteggere il file con una nuova password. Per farlo, il professionista IT deve disporre di tutti gli elementi seguenti:

  • Il nuovo strumento DocRecrypt di Office

  • Il file di Word, Excel o PowerPoint con una chiave pubblica incorporata

  • L'autorizzazione e l'accesso alle chiavi pubbliche e private associate al certificato

Proteggere la chiave privata

Questa funzionalità non stabilisce una procedura aziendale per la gestione e la distribuzione di una chiave privata, la posizione di archiviazione della chiave, le autorizzazioni necessarie per richiedere che una password venga violata o reimpostata o la posizione di archiviazione del file dopo il ripristino. Queste decisioni devono essere prese secondo gli standard e le procedure dell'organizzazione.

Fatta questa premessa, per mantenere un elevato livello di sicurezza sui file protetti da password, le organizzazioni dovrebbero adottare i criteri seguenti:

  • Non effettuare mai il push della chiave privata in un computer client. Questa è la raccomandazione più importante.

  • Bloccare l'archivio certificati che contiene la chiave privata e il certificato usato per generare la chiave di deposito e le chiavi pubbliche.

  • Verificare che nessuno possa compromettere i servizi di infrastruttura a chiave pubblica (PKI). È consigliabile anche distribuire i ruoli di gestione dei certificati tra diverse persone all'interno dell'organizzazione.

Se non si seguono sistematicamente queste indicazioni, la sicurezza di tutti i nuovi file protetti da password potrebbe risultare compromessa. In azienda dovrebbe già essere implementato un modello di amministrazione di Servizi certificati Active Directory ben definito e una strategia di infrastruttura di Autorità di certificazione (CA) che includa, ad esempio, la conservazione della chiave privata e dei certificati in una posizione esterna all'azienda. Per altre informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Nota

Il certificato usato per DocRecrypt può essere un normale certificato utente il cui scopo designato è l'autenticazione utente. L'obiettivo principale del certificato è quello di crittografare il documento.

Come individuare il certificato corretto

Poiché in un computer IT possono essere archiviati molti certificati di chiave privata, è giusto chiedersi come sia possibile individuare il certificato corretto. In Gestione certificati (certmgr.msc), lo strumento DocRecrypt di Office 2013 cerca prima nell'archivio logico, quindi nell'archivio dell'utente corrente. In entrambi gli archivi lo strumento cerca prima tra i certificati che non richiedono un PIN, quindi tra quelli che ne richiedono uno.

Considerazioni speciali

Solo file Office Open XML   Lo strumento DocRecrypt di Office è compatibile solo con i documenti in formato Office Open XML, ad esempio i file con estensione docx, pptx e xlsx.

File crittografati in precedenza   Lo strumento DocRecrypt di Office non può essere usato per recuperare file che sono stati protetti con una password prima di distribuire il certificato e la chiave di deposito. Se tuttavia, dopo aver distribuito il certificato e la chiave di deposito, un utente apre un file precedentemente protetto in Office 2013 e lo salva, la chiave di deposito viene aggiunta al file in quel momento. Da quel momento in poi sarà possibile rimuovere o reimpostare la password del file usando lo strumento DocRecrypt di Office.

Altri modi per proteggere i file di Word, Excel e PowerPoint   Per conoscere altri modi per proteggere i file di Word, Excel e PowerPoint, vedere Protezione dei documenti, delle cartelle di lavoro o delle presentazioni tramite password, autorizzazioni e altre limitazioni.

Tenere presente che gli utenti possono applicare indipendentemente uno qualsiasi di questi metodi di protezione. Se una password viene rimossa da un amministratore IT, tutte le altre impostazioni di protezione rimarranno attive. La rimozione della password non ha alcun effetto su queste altre impostazioni.

Esistono alcuni fattori che possono impedire la rimozione della password da un file. Per dettagli e consigli, vedere la tabella seguente.

Considerazioni sulla rimozione della password da un file

Problema Consiglio

Il file è contrassegnato come di sola lettura o nascosto.

Lo strumento DocRecrypt di Office non funziona con i file contrassegnati come di sola lettura o nascosti. È tuttavia possibile rimuovere l'impostazione, decrittografare il file e reimpostarlo di nuovo come di sola lettura o nascosto dopo la ricerca.

Il file è archiviato in più posizioni.

Lo strumento DocRecrypt di Office rimuove la password di protezione solo sull'istanza specifica del file a cui si fa riferimento. Questa protezione deve però essere rimossa anche sui file a cui si fa riferimento in RAID o in altre configurazioni del disco rigido.

Il file si trova in una cartella di lavoro condivisa.

Lo strumento DocRecrypt di Office non funziona con i file creati in modalità condivisa che contengono file incorporati.

Il file ha una firma digitale.

La rimozione della password di protezione da un file con firma digitale non compromette la validità della firma digitale.

Il nome del file inizia con un trattino ("-").

Se il nome del file in cui si vuole eseguire la ricerca con lo strumento DocRecrypt di Office contiene un trattino, racchiuderlo tra virgolette.

Il richiedente non dispone delle autorizzazioni per aprire il file.

L'amministratore IT determina se la persona che richiede la decrittografia di un file dispone effettivamente delle autorizzazioni necessarie per visualizzare il contenuto del file quando la password viene rimossa o riassegnata. Allo stesso modo, se a un file protetto da password è associato un elenco di controllo di accesso, il processo di decrittografia rimuove l'associazione. È necessario ripristinarla in seguito.

Il file o il percorso di destinazione è di sola lettura.

Assicurarsi che sia il file protetto da password che il percorso di destinazione siano in lettura/scrittura.

Il certificato è stato revocato o è scaduto.

Il reparto IT deve verificare che i certificati di chiave privata siano validi e aggiornati. Inoltre, tenere presente che lo strumento DocRecrypt di Office non verifica lo stato di revoca dei certificati di chiave privata.

Il file protetto da password si trova nel cloud.

Prima di decrittografare il file, è necessario copiarlo in un disco rigido o in una condivisione UNC in lettura/scrittura.

Configurare i computer client per la rimozione della password di protezione

Per consentire al reparto IT di rimuovere la password di protezione da un file di Word, PowerPoint o Excel, prima di distribuire Office 2013 nell'organizzazione è necessario effettuare il push delle chiavi pubbliche dei certificati e apportare alcune modifiche al Registro di sistema nei computer client. È possibile farlo in due modi:

  • Usando un modello amministrativo di Criteri di gruppo, modalità da preferire in presenza di diversi computer client o in ambiente aziendale, oppure

  • Modificando manualmente il Registro di sistema di un computer client, modalità preferibile in presenza di un solo computer o di un numero limitato di computer client.

Nota

In tutte le famiglie di prodotti Office 2013 è possibile eseguire attività utilizzando il mouse, le scelte rapide da tastiera o la modalità tocco. Per informazioni su come utilizzare le scelte rapide da tastiera e la modalità tocco con i prodotti e i servizi di Office, vedere l'articolo relativo alle scelte rapide da tastiera e Guida ai gesti di Office.

Per configurare più computer client per la protezione con password usando un oggetto Criteri di gruppo

  1. Scaricare il modello amministrativo di Criteri di gruppo (ADMX/ADML) dalla pagina relativa ai file dei modelli amministrativi di Office 2013 (ADMX/ADML) e allo Strumento di personalizzazione di Office

  2. Aprire il modello in Editor Criteri di gruppo locali e passare alle impostazioni della chiave di deposito. Aprire Configurazione utente e quindi scegliere Modelli amministrativi, Microsoft Office 2013, Impostazioni protezione e infine Certificati deposito.

    Sono disponibili 20 chiavi di deposito da configurare, ognuna denominata Chiave deposito n (dove n è un numero intero progressivo).

  3. Fare clic con il pulsante destro del mouse su una chiave di deposito e quindi scegliere Modifica dal menu di scelta rapida per configurarla.

    Verrà visualizzata la finestra di dialogo Chiave deposito n.

  4. Per impostare e abilitare la chiave, scegliere il pulsante Attivato. Se si vuole disabilitare la chiave in seguito, tornare alla finestra di dialogo Chiave deposito n e scegliere il pulsante Disattivato.

  5. Nella casella Hash certificato immettere l'hash certificato usato come identificatore univoco del certificato, detto anche "identificazione digitale". Ad esempio, se l'identificazione digitale del certificato è 9131517191121d94d143117fc126213c1781d21c, impostare il valore dell'hash certificato su questo numero. L'hash può includere spazi, se si vuole renderlo più leggibile.

  6. Se necessario, inserire un commento per fornire maggiori dettagli. Questa operazione è facoltativa.

  7. Fare clic su OK.

Per altre informazioni sui modelli, lo Strumento di personalizzazione di Office, Criteri di gruppo e gli script di avvio di Criteri di gruppo, vedere gli argomenti seguenti:

Per configurare un singolo computer client per la protezione tramite password con le nuove impostazioni del Registro di sistema

Per poter rimuovere una password da un file di Word, PowerPoint o Excel, è necessario creare una chiave del Registro di sistema che indichi i certificati di chiavi pubbliche da rendere disponibili per proteggere i file con una password.

Nota

Per indicazioni specifiche su come creare una chiave del Registro di sistema, vedere la Guida accessibile dal menu ? dell'editor del Registro di sistema (regedit.exe).

  1. Usando l'editor del Registro di sistema creare una chiave nel percorso seguente del Registro di sistema del computer client:

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts

    È possibile creare la nuova chiave manualmente oppure tramite un file batch con estensione reg. Per informazioni su come creare un file reg mediante regedit.exe, vedere l'argomento relativo alla creazione di un file con estensione reg.

    Creare una chiave nel Registro di sistema del computer client

    Elemento del Registro di sistema Descrizione

    Nome della chiave

    Deve essere EscrowCerts.

    Tipo di dati

    chiave

    Padre

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\

  2. Nella nuova chiave creata al passaggio 1 aggiungere le informazioni sui certificati di chiavi pubbliche, come mostrato nella tabella seguente. Creare una voce per ogni certificato di chiave pubblica che si vuole rendere disponibile per proteggere i file con una password.

    Aggiungere le informazioni sui certificati di chiavi pubbliche

    Elemento del Registro di sistema Descrizione

    Nome della chiave

    Nome univoco definito dall'utente che descrive il certificato di chiave pubblica, ad esempio CertDeposito01, CertDeposito02 e così via.

    Tipo

    STRING

    Valore

    Hash usato come identificatore univoco del certificato, detto anche "identificazione digitale" nella finestra dei Certificati di Windows. Ad esempio, se l'identificazione digitale del certificato è 9131517191121d94d143117fc126213c1781d21c, impostare il valore dell'hash certificato su questo numero. L'hash può includere spazi, se si vuole renderlo più leggibile.

  3. Dopo avere impostato le voci del Registro di sistema, effettuare il push del certificato nel computer client. Il certificato di chiave pubblica deve essere archiviato in Gestione certificati di Windows (certmgr.msc), nell'archivio Certificati - Utente corrente o nell'archivio logico o personale. Per informazioni dettagliate sul push di certificati di chiavi pubbliche in computer client tramite Criteri di gruppo, vedere l'articolo relativo alla distribuzione di certificati in computer client tramite Criteri di gruppo.

    ImportanteImportante:
    L'amministratore IT deve verificare che il certificato usato per questa procedura sia valido e non scaduto.

Quando gli utenti decidono di proteggere con una password i file che creano in Office 2013Word, PowerPoint o Excel, le informazioni sulla chiave pubblica appropriata vengono salvate nell'intestazione del file. In seguito l'amministratore può usare questa chiave pubblica e la chiave privata corrispondente per rimuovere la password di protezione, se gli viene chiesto.

Configurare il computer dell'amministratore IT che contiene la chiave e lo strumento DocRecrypt

Il computer dell'amministratore IT non deve contenere la chiave e la sottochiave nel Registro di sistema né una copia del certificato di chiave pubblica. Deve però avere:

  • La coppia di chiave privata/certificato corrispondente

  • Lo strumento DocRecrypt di Office

Per configurare il computer IT

  1. Usare l'Importazione guidata certificati per importare la chiave privata corrispondente nel certificato in Gestione certificati di Windows.

  2. Scaricare e installare lo strumento DocRecrypt di Office. Questo strumento è disponibile nell'Area download Microsoft.

    Nei computer a 64 bit lo strumento DocRecrypt di Office viene installato nel percorso seguente:

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT

    Nei computer a 32 bit lo strumento DocRecrypt di Office viene installato nel percorso seguente:

    • %programfiles%\Microsoft Office\DOCRECRYPT

A questo punto è possibile rimuovere la password da un file di Word, Excel o PowerPoint, quando un utente lo richiede.

Usare lo strumento DocRecrypt di Office

Usare lo strumento DocRecrypt, ora installato nel computer dell'amministratore IT, per rimuovere la password del file e assegnare una nuova password.

Per usare lo strumento DocRecrypt

Seguire queste istruzioni per usare lo strumento DocRecrypt dalla riga di comando. È anche possibile eseguire i comandi dello strumento automaticamente tramite uno script o un file batch.

  • Aprire la riga di comando dello strumento DocRecrypt di Office usando la sintassi seguente:

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    La tabella seguente descrive le opzioni dello strumento DocRecrypt.

    Opzioni dello strumento DocRecrypt

    Parametro Descrizione

    -p <new_password>

    (Facoltativo) Nuova password che verrà assegnata al file di input oppure al file di output se è stato specificato un nome di file di output.

    -i <inputfile_or_folder>

    File o cartella che contiene i file bloccati perché la password è sconosciuta. Se si specifica una cartella, lo strumento DocRecrypt di Office ignora i file in formato diverso da Office Open XML.

    -o <outputfile_or_folder>

    (Facoltativo) Nome di un nuovo file o cartella di output per i file che verranno creati dai file di input. Anche in questo caso i file in formato diverso da Office Open XML vengono ignorati.

    -q

    (Facoltativo) Indica che lo strumento DocRecrypt di Office deve essere eseguito in modalità non interattiva, in genere in uno script. La modalità non interattiva non usa un'interfaccia utente e si interrompe se un certificato richiede all'amministratore IT di immettere un PIN. Se il certificato richiede un PIN, non usare la modalità non interattiva.

    Ad esempio:

    Per rimuovere la password da un file, usare questo codice:

    DocRecrypt -i lockedfile

    Per rimuovere la password e assegnare la nuova password 12345, usare questo codice:

    DocRecrypt -p 12345 -i lockedfile

    Per rimuovere la password, creare un nuovo file e assegnargli la nuova password 12345, usare questo codice:

    DocRecrypt -p 12345 -i lockedfile -o newfile

Quando i file sono protetti da password mediante Office 2013, le password non verranno rimosse.

File di Office 2010 e 2007

Dopo che i computer client dell'organizzazione sono stati configurati utilizzando lo Office strumento DocRecrypt, sia individualmente sia mediante Criteri di gruppo, è possibile sbloccare qualsiasi futuro file di Word 2013, Excel 2013 o PowerPoint 2013 (file docx, xlsx e pptx) e qualsiasi file esistente di Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 o PowerPoint 2010 protetto da password e modificato dagli utenti in Office 2013. È inoltre possibile reimpostare la password utilizzando lo strumento DocRecrypt. Dopo aver aggiunto una chiave del deposito a un file protetto da password, questo può essere sbloccato o reimpostato anche se è stato modificato in Office 2007 o Office 2010.

Vedere anche

Guida di orientamento per l'identità, l'autenticazione e l'autorizzazione di Office 2013

Strumento DocRecrypt nell'Area download Microsoft