Planejar configurações de criptografia para o Office 2010
Aplica-se a: Office 2010
Tópico modificado em: 2015-03-09
O O Microsoft Office 2010 contém configurações que permitem controlar a forma como os dados são criptografados quando você usa o Microsoft Access 2010, o Microsoft Excel 2010, o Microsoft OneNote 2010, o Microsoft PowerPoint 2010, Microsoft Project 2010 e o Microsoft Word 2010. Este artigo aborda a criptografia no Office 2010, descreve as configurações que você pode usar para criptografar dados e fornece informações sobre compatibilidade com as versões anteriores do Microsoft Office. Para obter informações sobre o Microsoft Outlook 2010, consulte Planejar a criptografia de mensagens de email no Outlook 2010.
Ao planejar suas configurações de criptografia, leve em conta as seguintes diretrizes:
É recomendável que você não altere as configurações de criptografia padrão, a menos que o modelo de segurança da sua organização exija configurações de criptografia diferentes das configurações padrão.
Convém impor comprimento e complexidade de senha para ajudar a garantir o uso de senhas fortes na criptografia de dados. Para obter mais informações, consulte Atualizações de arquivos de Modelos Administrativos do 2007 Office system (ADM, ADMX, ADML) e da Ferramenta de Personalização do Office.
Não use criptografia RC4. Para obter mais informações, consulte Compatibilidade com versões anteriores do Office mais adiante neste artigo.
Nenhuma configuração administrativa permite impor aos usuários a criptografia de documentos. Entretanto, há uma configuração que permite remover a capacidade de adicionar senhas a documentos, proibindo assim sua criptografia. Para obter mais informações, consulte Configurações de criptografia mais adiante neste documento.
Salvar documentos em locais confiáveis não afeta as configurações de criptografia. Se um documento for criptografado e salvo em um local confiável, o usuário deverá fornecer uma senha para abri-lo.
Neste artigo:
Sobre a criptografia no Office 2010
Configurações de criptografia
Compatibilidade com versões anteriores do Office
Sobre a criptografia no Office 2010
Os algoritmos de criptografia disponíveis para uso com o Office dependem dos algoritmos que podem ser acessados via APIs (interface de programação de aplicativo) no sistema operacional Windows. O Office 2010, além de manter o suporte para CryptoAPI (Cryptography API), também inclui suporte para CNG (CryptoAPI: Next Generation), que foi primeiramente disponibilizado no Microsoft Office 2007 com Service Pack 2 (SP2).
O CNG proporciona uma criptografia mais ágil, em que diferentes algoritmos de hash e criptografia com suporte no computador host podem ser especificados para uso durante o processo de criptografia de documentos. O CNG também proporciona uma criptografia com maior extensibilidade, em que é possível usar módulos de criptografia de terceiros.
Quando o Office usa CryptoAPI, os algoritmos de criptografia dependem daqueles disponíveis dentro de um CSP (Provedor de Serviços de Criptografia), que faz parte do sistema operacional Windows. A chave do Registro a seguir contém uma lista de CSPs que são instalados em um computador:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
Os seguintes algoritmos de criptografia CNG, ou qualquer outra extensão de criptografia CNG instalada no sistema, podem ser usados com o Office 2010 ou com o 2007 Office system SP2:
AES, DES, DESX, 3DES, 3DES_112 e RC2
Os seguintes algoritmos de hash CNG, ou qualquer outra extensão de criptografia CNG instalada no sistema, podem ser usados com o Office 2010 ou com o 2007 Office system SP2:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 e SHA512
Embora existam configurações do Office 2010 para alterar como a criptografia é executada, quando você criptografa arquivos de Formato Open XML (.docx, .xslx, .pptx, entre outros), os valores padrão, AES (Advanced Encryption Standard), comprimento de chave de 128 bits, SHA1 e CBC (encadeamento de blocos de criptografia), fornecem criptografia forte e devem servir à maioria das organizações. A criptografia AES é o algoritmo padrão do setor mais forte hoje disponível e foi selecionada pela NSA (National Security Agency) para ser usada como padrão pelo Governo dos EUA. A criptografia AES tem suporte no Windows XP SP2, no Windows Vista, no Windows 7, no Windows Server 2003 e no Windows Server 2008.
Configurações de criptografia
A tabela a seguir lista as configurações disponíveis para alterar os algoritmos de criptografia quando você usar as versões do Microsoft Office que acessam CryptoAPI. Isso inclui as versões do Office até o Office 2010, inclusive.
| Configuração | Descrição |
|---|---|
Tipo de criptografia para arquivos Office Open XML protegidos por senha |
Permite especificar um tipo de criptografia para arquivos Open XML dos CSPs disponíveis. Essa configuração é necessária quando você usa um suplemento de criptografia COM personalizado. Para obter mais informações, consulte o guia para desenvolvedores de criptografia do 2007 Office System, disponível como parte do SDK do SharePoint Server 2007 (https://go.microsoft.com/fwlink/?linkid=107614&clcid=0x416). Também é necessária se você usa o 2007 Office system SP1 ou uma versão do Pacote de Compatibilidade anterior ao Pacote de Compatibilidade do Microsoft Office para formatos de arquivos do Word, Excel e PowerPoint (https://go.microsoft.com/fwlink/?linkid=78517&clcid=0x416) e deseja alterar o algoritmo de criptografia para algo que não seja o padrão. |
Tipo de criptografia para arquivos do Office 97-2003 protegidos por senha |
Permite especificar um tipo de criptografia para arquivos do Office 97-2003 (binários) dos CSPs disponíveis. Quando você usa essa configuração, o único algoritmo de criptografia com suporte é o RC4, que, como já mencionado, não é recomendável. |
No Office 2010, se você precisar alterar a configuração Tipo de criptografia para arquivos Office Open XML protegidos por senha, será necessário habilitar primeiro a configuração Especificar compatibilidade de criptografia e selecionar a opção Usar formato legado. A configuração Especificar compatibilidade de criptografia está disponível para o Access 2010, para o Excel 2010, para o PowerPoint 2010 e para o Word 2010.
A tabela a seguir lista as configurações disponíveis para alterar os algoritmos de criptografia quando você usar o Office 2010. Essas configurações se aplicam ao Access 2010, ao Excel 2010, ao OneNote 2010, ao PowerPoint 2010, ao Project 2010 e ao Word 2010.
Observação
Todas as configurações a seguir, exceto as configurações Definir parâmetros para o contexto CNG e Especificar algoritmo gerador de números aleatórios CNG, são aplicáveis quando você usa um sistema operacional com suporte para o Office 2010, como o Windows XP SP3, que não inclui suporte para CNG. Nesse caso, o Office 2010 usa CryptoAPI em vez de CNG. Essas configurações só se aplicam quando você usa o Office 2010 para a criptografia de arquivos Open XML.
| Configuração | Descrição |
|---|---|
Definir algoritmo de criptografia CNG |
Permite configurar o algoritmo de criptografia CNG usado. O padrão é AES. |
Configurar modo de encadeamento de criptografia CNG |
Permite configurar o modo de encadeamento de criptografia usado. O padrão é CBC (Encadeamento de Blocos de Criptografia). |
Definir comprimento da chave de criptografia CNG |
Permite configurar o número de bits a ser usado quando você criar a chave de criptografia. O padrão é 128 bits. |
Especificar compatibilidade de criptografia |
Permite especificar o formato de compatibilidade. O padrão é Usar formato de próxima geração. |
Definir parâmetros para o contexto CNG |
Permite especificar os parâmetros de criptografia que devem ser usados para o contexto CNG. Para usar essa configuração, é necessário criar primeiro um contexto CNG usando CNG. Para obter mais informações, consulte o artigo sobre as funções de configuração de criptografia CNG (https://go.microsoft.com/fwlink/?linkid=192996&clcid=0x416). |
Especificar algoritmo de hash CNG |
Permite especificar o algoritmo de hash usado. O padrão é SHA1. |
Definir contagem de rotação de senha CNG |
Permite especificar o número de rotações (nova rotação de hash) do verificador de senha. O padrão é 100.000. |
Especificar algoritmo gerador de números aleatórios CNG |
Permite configurar o gerador de números aleatórios CNG a ser usado. O padrão é RNG (Gerador de Números Aleatórios). |
Especificar comprimento de salt CNG |
Permite especificar o número de bytes de salt que deve ser usado. O padrão é 16. |
Além das configurações CNG listadas na tabela anterior, a configuração CNG listada na tabela a seguir pode ser definida para o Excel 2010, PowerPoint 2010 e para o Word 2010.
| Configuração | Descrição |
|---|---|
Usar nova chave ao alterar senha |
Permite especificar se uma nova chave de criptografia deve ser usada quando a senha é alterada. O padrão é não usar uma nova chave quando há alterações de senha. |
Você pode usar a configuração listada na tabela a seguir para remover a capacidade de adicionar senhas a documentos e proibir assim a criptografia deles.
| Configuração | Descrição |
|---|---|
Desabilitar senha para abrir interface do usuário |
Controla se os usuários do Office 2010 podem adicionar senhas a documentos. Por padrão, os usuários podem adicionar senhas. |
Observação
Para obter informações sobre como definir as configurações de segurança na OCT (Ferramenta de Personalização do Office) e nos Modelos Administrativos do Office 2010, consulte Configurar segurança do Office 2010.
Compatibilidade com versões anteriores do Office
Se você precisar criptografar documentos do Office, é recomendável salvá-los como arquivos no Formato Open XML (.docx, .xlsx, .pptx, entre outros), em vez de salvá-los no formato do Office 97–2003 (.doc, .xls, .ppt e assim por diante). A criptografia de documentos binários (.doc, .xls, .ppt) usa RC4 e não é recomendável, como discutido nas seções de Considerações de Segurança 4.3.2 e 4.3.3 da especificação de estrutura de criptografia de documentos do Office (https://go.microsoft.com/fwlink/?linkid=192287\&clcid=0x416). Os documentos salvos nos antigos formatos binários do Office só podem ser criptografados com o uso de RC4 para manter a compatibilidade com as versões anteriores do Microsoft Office. O AES, que é o algoritmo de criptografia padrão e recomendado, é usado para criptografar arquivos no Formato Open XML.
O Office 2010 e o 2007 Office system permitem salvar documentos como arquivos no Formato Open XML. Além disso, caso tenha o Microsoft Office XP ou o Office 2003, você poderá usar o Pacote de Compatibilidade para salvar documentos como arquivos no Formato Open XML.
Os documentos salvos como arquivos no Formato Open XML e criptografados com o uso do Office 2010 só podem ser lidos pelo Office 2010, pelo Office 2007 SP2 e pelo Office 2003 com o pacote de compatibilidade do Office 2007 SP2. Para assegurar a compatibilidade com todas as versões anteriores do Office, você pode criar uma chave do Registro (caso ela ainda não exista) em HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ chamada CompatMode e desabilitá-la definindo-a como 0. Os valores que você pode inserir para <application> representam o aplicativo específico do Office para o qual você está configurando essa chave do Registro. Por exemplo, você pode inserir Access, Excel, PowerPoint ou Word. É importante perceber que, quando você define CompatMode como 0, o Office 2010 usa um formato de criptografia compatível do Office 2007, em vez da segurança avançada fornecida por padrão quando se usa o Office 2010 para criptografar arquivos no Formato Open XML. Se você precisar definir essa configuração por questões de compatibilidade, é recomendável usar também um módulo de criptografia de terceiros que proporciona segurança avançada, como a criptografia AES.
Caso sua organização use o Pacote de Compatibilidade do Microsoft Office para Formatos de Arquivo do Word, Excel e PowerPoint para criptografar arquivos no Formato Open XML, você deve examinar as seguintes informações:
Por padrão, o Pacote de Compatibilidade usa as configurações a seguir para criptografar arquivos no Formato Open XML:
Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), AES-128, de 128 bits (no sistema operacional Windows XP Professional).
Microsoft Enhanced RSA and AES Cryptographic Provider, AES-128, de 128 bits (nos sistemas operacionais Windows Server 2003 e Windows Vista).
Os usuários não são notificados de que o Pacote de Compatibilidade usa essas configurações de criptografia.
A interface gráfica do usuário em versões anteriores do Office poderá exibir configurações de criptografia incorretas para arquivos no Formato Open XML se o Pacote de Compatibilidade estiver instalado.
Os usuários não podem usar a interface gráfica do usuário em versões anteriores do Office para alterar as configurações de criptografia de arquivos no Formato Open XML.
Observação
Para obter as informações mais recentes sobre configurações de política, consulte a pasta de trabalho do Office2010GroupPolicyAndOCTSettings_Reference.xls Microsoft Excel 2010, que está disponível na seção Arquivos neste Download da página de download dos arquivos de Modelo Administrativo do Office 2010 (ADM, ADMX, ADML) e da Ferramenta de Personalização do Office (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x416).