Criptografia no Office 2016
O Office 2016 oferece definições de encriptação para melhorar a segurança dos dados. Estas definições estão disponíveis em várias aplicações, incluindo Access 2016, Excel 2016, OneNote 2016, PowerPoint 2016, Project 2016 e Word 2016.
Este artigo explora a criptografia e a encriptação no Office 2016. Descreve as definições de encriptação de dados e fornece detalhes sobre compatibilidade com versões anteriores do Office.
À medida que planeia as definições de encriptação, considere as seguintes recomendações:
Evite alterar as predefinições de encriptação, a menos que o modelo de segurança da sua organização exija definições diferentes.
Recomendamos que você imponha o comprimento e a complexidade da senha para ajudar a garantir que senhas fortes sejam usadas quando você criptografar dados.
Recomendamos que não utilize a encriptação RC4. Para obter mais informações, consulte Compatibilidade com versões anteriores do Office mais adiante neste artigo.
Não existe uma definição administrativa que force os utilizadores a encriptar documentos. No entanto, existe uma definição administrativa que impede os utilizadores de adicionar palavras-passe a documentos e, por conseguinte, impedir que os documentos sejam encriptados. Para obter mais informações, consulte Criptografia e configurações de criptografia mais adiante neste artigo.
Guardar documentos em localizações fidedignas não afeta as definições de encriptação. Se um documento estiver encriptado e guardado numa localização fidedigna, um utilizador ainda terá de fornecer uma palavra-passe para abrir o documento.
Se permitir que os utilizadores protejam documentos por palavra-passe, existe a possibilidade de se esquecerem ou perderem a palavra-passe. Nestes casos, pode utilizar a ferramenta DocRecrypt para repor ou remover a palavra-passe. Para obter mais informações, consulte Remover ou repor palavras-passe de ficheiros no Office 2016.
Os algoritmos de encriptação que estão disponíveis para utilização com o Office dependem dos algoritmos que podem ser acedidos através das APIs (interfaces de programação de aplicações) no sistema operativo Windows. O Office 2016, além de manter o suporte para a API de Criptografia (CryptoAPI), também inclui suporte para CNG (CryptoAPI: Next Generation), que foi disponibilizado pela primeira vez no sistema do Microsoft Office 2007 com o Service Pack 2 (SP2).
O CNG permite criptografia mais ágil, em que os algoritmos de criptografia e hash que têm suporte no computador host podem ser especificados para uso durante o processo de criptografia de documentos. O CNG também permite uma melhor criptografia de extensibilidade, em que os módulos de criptografia de terceiros podem ser usados.
Quando o Office utiliza CryptoAPI, os algoritmos de encriptação dependem dos algoritmos específicos que estão disponíveis num Fornecedor de Serviços Crypto (CSP), que faz parte do sistema operativo Windows. A seguinte chave do Registro contém uma lista de CSPs que estão instalados no computador:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
Os seguintes algoritmos de encriptação CNG, ou qualquer outra extensão de cifra CNG instalada no sistema, podem ser utilizados com o Office system SP2, Office 2010, Office 2013 ou Office 2016 de 2007:
AES, DES, DESX, 3DES, 3DES_112 e RC2
Os seguintes algoritmos de hash de CNG, ou qualquer outra extensão de cifra CNG instalada no sistema, podem ser utilizados com o Office system SP2, Office 2010, Office 2013 ou Office 2016 de 2007:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 e SHA512
No Office 2016, embora existam definições para modificar métodos de encriptação, encriptar ficheiros open XML Format (.docx, .xslx, .pptx, etc.) com os valores predefinidos — AES (Advanced Encryption Standard) com um comprimento de chave de 256 bits, SHA-2 e CBC (encadeamento de blocos de cifras) — fornece encriptação robusta adequada para a maioria das organizações. A Agência de Segurança Nacional (NSA) escolheu a encriptação AES como o algoritmo padrão da indústria mais forte para o padrão do governo Estados Unidos. A encriptação AES é compatível com vários sistemas operativos Windows, incluindo Windows Vista, Windows 7, Windows 8 e Windows 10. Também suporta várias versões do Windows Server: Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.
A tabela seguinte lista as definições do algoritmo de encriptação que pode utilizar com versões do Office que acedem à CryptoAPI. Esta lista inclui versões do Office até e incluindo o Office 2016.
Configurações de algoritmo de criptografia para uso com CryptoAPI
| Configuração | Descrição |
|---|---|
|
Tipo de criptografia para arquivos do Office Open XML protegidos por senha |
Pode especificar um tipo de encriptação para ficheiros Open XML com os fornecedores de serviços criptográficos (CSP) disponíveis com esta definição. Se estiver a utilizar um suplemento de encriptação COM personalizado, tem de aplicar esta definição. Além disso, esta definição é essencial em dois cenários. Primeiro, se estiver a trabalhar com o SP1 do sistema do Office de 2007 e quiser alterar o algoritmo de encriptação da predefinição. Em segundo lugar, se estiver a utilizar uma versão do Pacote de Compatibilidade anterior ao Pacote de Compatibilidade do Microsoft Office para Word, Excel e Formatos de Ficheiro do PowerPoint e quiser alterar o algoritmo de encriptação. |
|
Encryption type for password-protected Office 97-2003 arquivos |
Esta definição permite-lhe especificar um tipo de encriptação para ficheiros do Office 97-2003 (binário) dos fornecedores de serviços criptográficos (CSP) disponíveis. O único algoritmo de encriptação suportado com esta definição é RC4, o que, não recomendamos. |
No Office 2016, se tiver de alterar a definição Tipo de encriptação para ficheiros Office Open XML protegidos por palavra-passe , ative primeiro a definição Especificar compatibilidade de encriptação e selecione a opção Utilizar formato legado . A definição Especificar compatibilidade de encriptação está disponível para Access 2016, Excel 2016, PowerPoint 2016 e Word 2016.
A tabela seguinte lista as definições que estão disponíveis para alterar os algoritmos de encriptação quando utiliza o Office 2016. Estas definições aplicam-se a Access 2016, Excel 2016, OneNote 2016, PowerPoint 2016, Project 2016 e Word 2016.
Configurações que mudam o algoritmo de criptografia
| Configuração | Descrição |
|---|---|
|
Definir algoritmo de criptografia CNG |
Permite configurar o algoritmo de criptografia CNG que é usado. O padrão é AES. |
|
Configurar o modo de encadeamento de criptografia CNG |
Permite configurar o modo de encadeamento cifra que é usado. O padrão é CBC (Encadeamento de Criptografia CNG). |
|
Definir comprimento da chave de criptografia CNG |
Permite configurar o número de bits para usar quando você criar a chave de criptografia. A predefinição é de 256 bits. |
|
Especificar compatibilidade de criptografia |
Permite especificar o formato de compatibilidade. O padrão é Usar formato de próxima geração. |
|
Definir parâmetros para o contexto CNG |
Permite especificar os parâmetros de criptografia que devem ser usados para o contexto CNG. Para usar essa configuração, um contexto CNG primeiro tem que ser criado usando CNG (CryptoAPI: Next Generation). Para obter mais informações, veja CNG Cryptographic Configuration Functions (Funções de Configuração Criptográfica CNG). |
|
Especifique CNG hash algorithm |
Permite especificar o algoritmo de hash que é usado. O padrão é SHA1. |
|
Definir contagem de rotação de senha CNG |
Permite especificar o número de vezes para girar (refazer) o verificador de senha. O padrão é 100000. |
|
Especificar algoritmo gerador de números aleatórios CNG |
Permite configurar o CNG gerador de números aleatórios para uso. O padrão é RNG (Random Number Generator). |
|
Especificar comprimento de salt CNG |
Permite especificar o número de bytes de salt que devem ser usados. Salt é uma entrada extra para a palavra-passe e hash. O padrão é 16. |
A tabela seguinte lista mais definições de CNG que podem ser configuradas para Excel 2016, PowerPoint 2016 e Word 2016.
Excel 2016, PowerPoint 2016 e Word 2016 definição específica do CHG
| Configuração | Descrição |
|---|---|
|
Usar nova chave na alteração de senha |
Permite especificar se uma nova chave de criptografia deve ser usada quando a senha é alterada. A predefinição não é utilizar uma nova chave nas alterações de palavra-passe. |
Você pode usar a configuração que está listada na tabela a seguir para impedir que usuários adicionem senhas para documentos. Esta definição impede os utilizadores de encriptarem documentos.
Configuração usada para impedir que os usuários protejam um documento com senha
| Configuração | Descrição |
|---|---|
|
Desabilitar senha para abrir interface do usuário |
Esta definição controla se os utilizadores do Office 2016 podem adicionar palavras-passe a documentos. Por padrão, os usuários podem adicionar senhas. |
Se tiver de encriptar documentos do Office, recomendamos que guarde os documentos como ficheiros open XML Format (.docx, .xlsx, .pptx, etc.) em vez do formato do Office 97-2003 (.doc, .xls, .ppt, etc.). A encriptação utilizada para documentos binários (.doc, .xls, .ppt) utiliza RC4. Não é recomendado, conforme abordado nas secções Considerações de Segurança 4.3.2 e 4.3.3 da Especificação da Estrutura de Criptografia de Documentos do Office. Os documentos guardados nos formatos binários mais antigos do Office só podem ser encriptados através do RC4 para manter a compatibilidade com versões mais antigas do Office. O AES, o algoritmo de encriptação predefinido e recomendado, é utilizado para encriptar ficheiros open XML Format.
O Office 2016, o Office 2013, o Office 2010 e o sistema do Office 2007 permitem-lhe guardar documentos como ficheiros open XML Format. Além disso, se tiver o Office 2003, pode utilizar o Pacote de Compatibilidade para guardar documentos como ficheiros open XML Format.
Apenas o Office 2016, o Office 2007 SP2 e o Office 2003 com o pacote de compatibilidade do Office 2007 SP2 podem ler documentos guardados como ficheiros open XML Format e encriptados com o Office 2016. Para garantir a compatibilidade com todas as versões anteriores do Office, pode criar uma chave de registo (se ainda não existir) em HKCU\Software\Microsoft\Office\16.0\<application>\Security\Crypto\ denominada CompatMode e desativá-la ao defini-la como 0. Os valores que pode introduzir para <a aplicação> representam a aplicação específica do Office para a qual está a configurar esta chave de registo. Por exemplo, pode introduzir Access, Excel, PowerPoint ou Word. Quando define CompatMode como 0, o Office 2016 utiliza um formato de encriptação compatível com o Office 2007, em vez da segurança melhorada que é fornecida por predefinição quando utiliza o Office 2016 para encriptar ficheiros open XML Format. Se tiver que definir essa configuração por razões de compatibilidade, recomendamos que você também use um módulo de criptografia de terceiros que permita maior segurança, como criptografia AES.
Se a sua organização utilizar o Pacote de Compatibilidade do Microsoft Office para formatos de ficheiro Word, Excel e PowerPoint para encriptar ficheiros open XML Format, deve rever as seguintes informações:
Por predefinição, nos sistemas operativos Windows Server 2003 e Windows Vista, o Pacote de Compatibilidade utiliza a definição Microsoft Enhanced RSA and AES Cryptographic Provider,AES 128.128 para encriptar ficheiros open XML Format.
Os utilizadores não são notificados de que o Pacote de Compatibilidade utiliza estas definições de encriptação.
A interface gráfica de utilizador em versões anteriores do Office poderá apresentar definições de encriptação incorretas para ficheiros open XML Format se o Pacote de Compatibilidade estiver instalado.
Os utilizadores não podem utilizar a interface de utilizador gráfica em versões anteriores do Office para alterar as definições de encriptação dos ficheiros open XML Format.
Remover ou redefinir senhas de arquivos no Office 2016
Especificação da Estrutura de Criptografia de Documentos do Office