规划 Office 2013 的加密技术和加密设置
适用于: Office 2013, Office 365 ProPlus
上一次修改主题: 2016-12-16
摘要:说明可用于在 Office 2013 中加密数据的设置,还提供了有关与 Office 早期版本兼容性的信息。
目标用户: IT 专业人员
通过 Office 2013 包含的设置,您可以控制使用 Access 2013、Excel 2013、OneNote 2013、PowerPoint 2013、Project 2013 和 Word 2013 时加密数据的方式。
本文讨论了 Office 2013 中的加密技术和加密,介绍了可用来加密数据的设置,并提供了有关 Office 之前版本兼容性信息。有关 Outlook 2013 的详细信息,请参阅规划 Outlook 2010 中的电子邮件加密。
|
本文是 Office 2013 安全性指南的一部分。可以使用该指南作为起点来获取可帮助您评估 Office 2013 安全的文章、下载、海报和视频。 您是否要查找有关单独的 Office 2013 应用程序的安全信息?您可以通过在 Office.com 上搜索“2013 安全”来查找此信息。 |
.jpg "引向 Office 安全的路线图箭头。")
当您规划加密设置时,请考虑以下各项:
我们建议您不要更改默认的加密设置,除非您组织的安全模型要求的加密设置与默认设置不同。
当您加密数据时,我们建议您强制实施密码长度和复杂程度以帮助确保使用了强密码。有关详细信息,请参阅规划 Office 2013 密码复杂性设置。
我们建议您不要使用 RC4 加密。有关详细信息,请参阅下文中的 Office 之前版本的兼容性。
不存在强制用户加密文档的管理设置。但是,存在阻止用户将密码添加到文档的管理设置,进而阻止文档加密。有关详细信息,请参阅下文中的加密技术和加密设置。
将文档保存在受信任的位置不会影响加密设置。如果加密了文档,且将其保存在受信任的位置,用户仍必须提供密码才能打开文档。
如果您允许用户访问密码保护文档,过后他们忘记或丢失了密码,则您可以使用 DocRecrypt 工具重置或删除密码。有关详细信息,请参阅删除或重置 Office 2013 中的文件密码文章。
本文内容:
关于 Office 2010 中的加密技术和加密
加密技术和加密设置
Office 之前版本的兼容性
关于 Office 2010 中的加密技术和加密
Office 中可供使用的加密算法取决于 Windows 操作系统中可通过 API(应用程序编程接口)访问的算法。除了可以保持对加密 API (CryptoAPI) 的支持之外,Office 2013 也支持 CNG(CryptoAPI:下一代),CNG 最初在 2007 Microsoft Office System Service Pack 2 (SP2) 中提供。
CNG 的加密更加灵活,可指定主计算机上支持的加密和哈希算法,以供文档加密过程使用。CNG 也适于可扩展性加密,可使用第三方加密模块。
Office 使用 CryptoAPI 时,加密算法取决于作为 Windows 操作系统一部分提供的加密服务提供程序 (CSP) 中可用的加密算法。以下注册表项包含安装在计算机上的 CSP 列表:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
以下 CNG 加密算法或安装在系统上的任何其他 CNG 加密扩展均可用于 2007 Office system SP2、Office 2010 或 Office 2013:
AES、DES、DESX、3DES、3DES_112 和 RC2
以下 CNG 哈希算法或安装在系统上的任何其他 CNG 加密扩展均可用于 2007 Office system SP2、Office 2010 或 Office 2013:
MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384 和 SHA512
尽管 Office 2013 设置可以更改加密执行的方法,但当您加密 Open XML 格式文件(.docx, .xslx, .pptx 等),默认值——AES(高级加密标准)、128 位密钥长度、SHA1 和 CBC(加密块链接)——会提供强加密,而这适用于大多数组织。AES 加密是可用且功能最强大的行业标准算法,曾被美国国家安全局 (NSA) 用作美国政府标准。Windows XP SP2、Windows Vista、Windows 7、Windows 8、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 都支持 AES 加密。
加密技术和加密设置
下表列出了与可访问 CryptoAPI 的 Office 版本一起使用的加密算法设置。其中包括 Office 到 Office 2013(含)之间的各版本。
用于 CryptoAPI 的加密算法设置
| 设置 | 说明 |
|---|---|
密码保护的 Office Open XML 文件的加密类型 |
通过此设置,可以在可用的加密服务提供程序 (CSP) 中指定 Open XML 文件的加密类型。使用自定义 COM 加密外接程序时,必须使用此设置。如果你使用 2007 Office systemSP1 或使用的兼容包版本低于 Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint File Formats(Microsoft Office Word、Excel 和 PowerPoint 文件格式兼容包),并希望更改默认加密算法,也必须使用此设置。 |
受密码保护的 Office 97-2003 文件的加密类型 |
通过此设置,您可以从可用的加密服务提供程序 (CSP) 中指定 Office 97–2003(二进制)文件的加密类型。此设置唯一支持的加密算法是 RC4,而我们不推荐使用它。 |
在 Office 2013 中,如果您必须更改“密码保护的 Office Open XML 文件的加密类型”设置,则首先要启用“指定加密兼容性”设置,并选择“使用旧式格式” 选项。“指定加密兼容性”设置可用于 Access 2013、Excel 2013、PowerPoint 2013 和 Word 2013。
下表列出了使用 Office 2013 时可用于更改加密算法的设置。这些设置适用于 Access 2013、Excel 2013、OneNote 2013、PowerPoint 2013、Project 2013 和 Word 2013。
.gif "注意") 注意: |
|---|
| 以下除“设置 CNG 上下文的参数”和“指定 CNG 随机数字生成器算法”之外的所有设置均可使用,即使您使用的是不支持 CNG 但可支持 Office 2013 的操作系统(例如,Windows XP SP3)。在这种情况下,Office 2013 会使用 CryptoAPI,而非 CNG。仅当您使用 Office 2013 加密 Open XML 文件时,这些设置才适用。 |
可更改加密算法的设置
| 设置 | 说明 |
|---|---|
设置 CNG 加密算法 |
用于配置所用的 CNG 加密算法。默认为 AES。 |
配置 CNG 加密链接模式 |
用于配置所用的加密链接模式。默认为“加密块链接(CBC)”。 |
设置 CNG 加密密钥长度 |
用于配置创建加密密钥时使用的位数。默认值为 128 位。 |
指定加密兼容性 |
用于指定兼容性格式。默认为“使用下一代格式”。 |
设置 CNG 上下文的参数 |
用于指定应对 CNG 上下文使用的加密参数。若要使用此设置,首先需要使用 CryptoAPI:下一代 (CNG) 创建 CNG 环境。有关详细信息,请参阅 CNG 加密技术配置功能。 |
指定 CNG 哈希算法 |
用于指定所用的哈希算法。默认为 SHA1。 |
设置 CNG 密码调节计数 |
用于指定调节(刷新)密码验证程序的次数。 默认值为 100000。 |
指定 CNG 随机数字生成器算法 |
用于配置使用的 CNG 随机数字生成器。默认为 RNG(随机数字生成器)。 |
指定 CNG salt 长度 |
用于指定需使用的 salt 的位数。Salt 是对密码和哈希的其他输入。默认值为 16。 |
下表列出了可针对 Excel 2013、PowerPoint 2013 和 Word 2013 配置的其他 CNG 设置。
Excel 2013、PowerPoint 2013 和 Word 2013 的特定 CHG 设置
| 设置 | 说明 |
|---|---|
更改密码时使用新密钥 |
用于在更改密码时指定是否使用新的加密密钥。默认为更改密码时不使用新密钥。 |
您可以使用下表列出的设置,以阻止用户将密码添加到文档。这样可以阻止用户加密文档。
用于阻止用户使用密码保护文档的设置
| 设置 | 说明 |
|---|---|
禁用打开用户界面的密码 |
此设置控制 Office 2013 用户能否将密码添加到文档。默认情况下,用户可以添加密码。 |
| 注意: |
|---|
| 有关如何在 Office 自定义工具 (OCT) 和 Office 2013 管理模板中配置安全设置的信息,请参阅使用 OCT 或组策略为 Office 2013 配置安全性。 |
Office 之前版本的兼容性
如果需要加密 Office 文档,我们建议将文档另存为 Open XML 格式(.docx, .xlsx, .pptx 等),而不是另存为 Office 97–2003 格式(.doc, .xls, .ppt 等)。二进制文档(.doc, .xls, .ppt)加密使用的是 RC4。不建议这样做,Office Document Cryptography Structure Specification(Office 文档加密结构规范)安全注意事项 4.3.2 节和 4.3.3 节介绍了相关原因。以旧版 Office 二进制格式保存的文档只能使用 RC4 加密,才能保持与旧版 Office 的兼容性。AES 这一推荐的默认加密算法用于加密 Open XML 格式文件。
通过 Office 2013、Office 2010 和 2007 Office system,您可以将文档保存为 Open XML 格式的文件。此外,如果您有 Office XP 或 Office 2003,您可以使用兼容包将文档保存为 Open XML 格式的文件。
保存为 Open XML 格式文件且使用 Office 2013 加密的文档只能通过 Office 2013、Office 2007 SP2 和带有 Office 2007 SP2 兼容包的 Office 2003 来阅读。为了确保与所有 Office 之前版本的兼容性,您可以在 HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ 下创建创建一个名为 CompatMode 的注册表项(如果尚不存在),并通过设置为 0 的方式将其禁用。对 <application> 输入的值代表配置此注册表项所针对的特定 Office 应用程序。例如,您可以输入 Access、Excel、PowerPoint 或 Word。当您将 CompatMode 设置为 0 时,Office 2013 就会使用 Office 2007 兼容加密格式,而非使用 Office 2013 加密 Open XML 格式文件时默认提供的增强安全性,记住这一点非常重要。如果您出于兼容性原因必须配置此设置,我们也建议您使用允许应用增强安全性的第三方加密模块,如 AES 加密。
如果您的组织使用用于 Word、Excel 和 PowerPoint 文件格式的 Microsoft Office 兼容包来加密 Open XML 格式的文件,您应查看以下信息:
默认情况下,兼容包使用以下设置加密 Open XML 格式的文件:
Microsoft 增强 RSA 和 AES 加密提供程序(原型),AES 128,128(在 Windows XP Professional 操作系统上)。
Microsoft 增强 RSA 和 AES 加密提供程序,AES 128,128(在 Windows Server 2003 和 Windows Vista 操作系统上)。
用户不会收到表明兼容包使用这些加密设置的信息通知。
如果安装了兼容包,则 Office 早期版本上的图形用户界面可能对 Open XML 格式文件显示错误的加密设置。
用户不能在 Office 早期版本上使用图形用户界面更改 Open XML 格式文件的加密设置。
| 注意: |
|---|
| 有关策略设置的最新信息,请参阅 Office 2013 组策略管理模板文件(ADMX、ADML)和 Office 自定义工具 (OCT) 文件 文章。 |
另请参阅
Office 2013 安全性指南
Office 2013 中的安全概述
使用 OCT 或组策略为 Office 2013 配置安全性
删除或重置 Office 2013 中的文件密码