Entfernen oder Zurücksetzen von Dateikennwörtern in Office 2016

Zusammenfassung: Erläuterung des Aufhebens des Kennwortschutzes von mit OOXML formatierten Word-, Excel- und PowerPoint-Dateien mit dem Office 2016 DocRecrypt-Tool.

Übertragen Sie Registrierungsänderungen, über die ein Zertifikat kennwortgeschützten Dokumenten zugeordnet wird, mithilfe Gruppenrichtlinien und nach dem PUSH-Prinzip. Diese Zertifikatinformationen werden in den Dateiheader eingebettet. Wenn das Kennwort später vergessen werden oder verloren gehen sollte, können Sie mit dem Befehlszeilentool DocRecrypt und dem privaten Schlüssel die Datei entsperren und optional ein neues Kennwort zuweisen.

Hinweis

  • Informationen zu Kennwörtern in einer persönlichen Kopie von Office 2016 finden Sie unter Schützen eines Dokuments mit einem Kennwort oder Schützen einer Excel-Datei.
  • Wenn Sie ein IT-Experte sind, der Kennwörter in Office 2016-Dateien in Ihrem organization entfernen oder zurücksetzen möchte, z. B. wenn ein Mitarbeiter die organization verlassen hat und Sie das Kennwort nicht kennen, sind Sie an der richtigen Stelle, also lesen Sie weiter. |

Übersicht: Entfernen oder Zurücksetzen eines Dateikennworts in Office 2016 mit dem DocRecrypt-Tool

Es gibt viele Gründe, warum Benutzer ein Word-, Excel- oder PowerPoint-Dokument mit einem Kennwort schützen möchten oder müssen. Zum Beispiel:

  • Mehrere Personen in einem unmittelbaren organization möchten an einem Gruppenbudget arbeiten, möchten diese Zahlen aber erst dann für den größeren organization sichtbar sein, wenn sie fertig sind.

  • Berater arbeiten mit Kunden zusammen, die in einer Vereinbarung zum Servicelevel fordern, dass ihre sensiblen Daten geschützt bleiben, wenn diese den Kontrollbereich des Kunden verlassen.

  • Lehrer möchten sicherstellen, dass Tests, die in Word erstellt werden, nicht kompromittiert werden können.

  • Medienexperten und Wissenschaftler, die an Präsentationen für wichtige Forscher auf ihrem Gebiet arbeiten, möchten sicherstellen, dass ihre Durchbrüche nicht vor ihren großen Ankündigungen an die Öffentlichkeit gelangen.

Wenn zuvor der ursprüngliche Ersteller eines Dateikennworts entweder das Kennwort vergaß oder die Organisation verließ, konnte die Datei nicht wiederhergestellt werden. Ein IT-Administrator kann eine Datei für einen Benutzer mit Office 2016 und einem Treuhandschlüssel entsperren. Dieser Schlüssel stammt aus dem Zertifikatspeicher Ihres Unternehmens oder organization. Nach dem Entsperren kann der Administrator entweder den Kennwortschutz entfernen oder ein neues Kennwort für die Datei festlegen. Sie, der IT-Administrator, sind der Halter des Treuhandschlüssels, der aus dem Zertifikatspeicher Ihres Unternehmens oder organization generiert wird. Sie können die öffentlichen Schlüsselinformationen mithilfe einer Registrierungsschlüsseleinstellung einmalig unbemerkt per Push-Verfahren auf Clientcomputer übertragen oder diese über ein Gruppenrichtlinienskript erstellen. Wenn ein Benutzer später eine kennwortgeschützte Word-, Excel- oder PowerPoint-Datei erstellt, wird dieser öffentliche Schlüssel dem Dateiheader hinzugefügt. Später kann ein IT-Experte mit dem Office DocRecrypt-Tool das Kennwort entfernen, das der Datei zugeordnet ist, und anschließend optional die Datei mit einem neuen Kennwort schützen. Der IT-Experte muss über folgendes verfügen, um das Kennwort zu entfernen:

  • Das neue Office DocRecrypt-Tool

  • Die Word-, Excel- oder PowerPoint-Datei mit einem eingebetteten öffentlichen Schlüssel

  • Berechtigung für den Zugriff auf öffentliche und private Schlüssel, die dem Zertifikat zugeordnet sind

Sichere Aufbewahrung des privaten Schlüssels

Dieses Feature steuert nicht den Unternehmensprozess für die Verarbeitung und Verteilung eines privaten Schlüssels. Außerdem wird nicht definiert, wo der Schlüssel gespeichert werden soll, die erforderlichen Berechtigungen für Kennwortzurücksetzungsanforderungen oder den Speicherort der Datei nach der Wiederherstellung. Die Standards und Prozesse Ihrer organization sollten diese Entscheidungen leiten

Um ein hohes Maß an Sicherheit für kennwortgeschützte Dateien zu gewährleisten, wird empfohlen, diese Richtlinien zu übernehmen:

  • Übertragen Sie den privaten Schlüssel nie per Push-Verfahren auf einem Clientcomputer! Diese Empfehlung ist die wichtigste.

  • Sperren Sie den Zugriff auf den Zertifikatspeicher mit dem privaten Schlüssel und dem Zertifikat, mit denen der hinterlegte Schlüssel und öffentlichen Schlüssel generiert wurden.

  • Sorgen Sie dafür, keine einzelne Person die Sicherheit der PKI-Dienste (Public Key-Infrastruktur) gefährden kann. Außerdem empfehlen wir, dass Sie Zertifikatverwaltungsrollen auf mehrere Personen in Ihrer Organisation verteilen.

Wenn Sie diese Empfehlungen nicht konsistent befolgen, kann die Sicherheit aller neuen kennwortgeschützten Dateien gefährdet werden. Ihr Unternehmen oder organization sollte bereits über ein klar definiertes Ad CS-Verwaltungsmodell (Active Directory Certificate Services) und eine Infrastrukturstrategie der Zertifizierungsstelle (Certification Authority, CA) verfügen, die z. B. die Off-Site-Speicherung des privaten Schlüssels und der Zertifikate umfasst. Weitere Informationen finden Sie unter Implementieren Role-Based Administration.

Hinweis

Das für DocRecrypt verwendete Zertifikat kann ein herkömmliches Benutzerzertifikat mit Benutzerauthentifizierung als beabsichtigten Zweck genutzt werden. Das Hauptziel des Zertifikats ist das Verschlüsseln des Dokuments.

Wie wird das richtige Zertifikat bestimmt?

Da sich viele Zertifikate für private Schlüssel möglicherweise auf einem IT-Computer befinden, ist es fair, sich zu fragen, wie das richtige Zertifikat ermittelt werden kann. In der Zertifikatverwaltung durchsucht das Office 2016 DocRecrypt-Tool zunächst den logischen Speicher und dann den Speicher des aktuellen Benutzers. In jedem dieser Speicher durchsucht das Tool zunächst die Zertifikate, für die keine Windows-Systemerzwingungs-PIN erforderlich ist. Anschließend werden die Zertifikate durchsucht, für die ein Zertifikat erforderlich ist.

Besondere Aspekte

Nur Open Office XML-Dateien Das Office DocRecrypt-Tool funktioniert nur bei Dokumenten im Office Open XML-Format wie DOCX-, PPTX- und XLSX-Dateien.

Zuvor verschlüsselte Dateien Das Office DocRecrypt-Tool kann nicht zum Wiederherstellen von Dateien genutzt werden, die kennwortgeschützt wurden, bevor Sie das Zertifikat und den hinterlegten Schlüssel bereitgestellt haben. Nachdem Sie das Zertifikat und den Treuhandschlüssel bereitgestellt haben, kann ein Benutzer eine zuvor geschützte Office 2016-Datei öffnen und speichern. Diese Aktion fügt der Datei den Treuhandschlüssel hinzu. Ab diesem Zeitpunkt können Sie das Kennwort der Datei mithilfe des Office DocRecrypt-Tools entfernen oder zurücksetzen.

Weitere Möglichkeiten zum Schützen von Word-, Excel- und PowerPoint-Dateien. Weitere Möglichkeiten zum Schützen von Word-, Excel- und PowerPoint-Dateien finden Sie unter Hinzufügen oder Entfernen von Schutz in Ihrem Dokument, Ihrer Arbeitsmappe oder Präsentation.

Benutzer können diese Schutzmethoden unabhängig voneinander anwenden. Wenn ein IT-Administrator ein Kennwort entfernt, bleiben alle anderen Schutzeinstellungen vorhanden. Das Entfernen des Kennworts wirkt sich nicht auf diese anderen Einstellungen aus.

Es gibt einige Faktoren, die sich auf ihre Fähigkeit auswirken können, das Kennwort für eine Datei zu entfernen. Ausführliche Informationen und Ratschläge finden Sie in der folgenden Tabelle.

Aspekte beim Entfernen des Kennworts für eine Datei

Problem Tipp
Datei ist als schreibgeschützt oder ausgeblendet gekennzeichnet.
Das Office DocRecrypt-Tool funktioniert nicht für Dateien, die als schreibgeschützt oder ausgeblendet markiert sind. Sie können jedoch die Einstellung aufheben, die Datei entschlüsseln und nach der Suche wieder als schreibgeschützt oder ausgeblendet kennzeichnen.
Datei wird an mehreren Orten gespeichert.
Das Office DocRecrypt-Tool entfernt nur den Kennwortschutz für die bestimmte Instanz der Datei, die Sie referenzieren. Sie müssen jedoch auch den Kennwortschutz für Dateien entfernen, die in RAID- und anderen Festplattenkonfigurationen referenziert werden.
Datei befindet sich in einer freigegebenen Arbeitsmappe.
Das Office DocRecrypt-Tool funktioniert nicht für dateien, die gemeinsam erstellt wurden, die eingebettete Dateien enthalten.
Datei ist digital signiert.
Durch Entfernen des Kennwortschutzes einer digital signierten Datei wird nicht die Gültigkeit der digitalen Signatur gefährdet.
Dateiname beginnt mit einem Bindestrich ("-").
Wenn der Name der Datei, die Sie mit dem Office DocRecrypt-Tool suchen möchten, einen Bindestrich enthält, setzen Sie den Dateinamen in Anführungszeichen.
Anforderer ist nicht berechtigt, die Datei zu öffnen.
Der IT-Administrator überprüft, ob die Person, die eine Datei entschlüsseln möchte, das Recht hat, auf den Inhalt zuzugreifen, nachdem das Kennwort entfernt oder geändert wurde. Auch wenn einer kennwortgeschützten Datei eine Zugriffssteuerungsliste zugeordnet ist, wird die Zuordnung beim Entschlüsselungsvorgang aufgehoben. Sie müssen sie nachher wiederherstellen.
Speicherort oder Ziel ist schreibgeschützt.
Vergewissern Sie sich, dass sowohl die kennwortgeschützte Datei als auch der Zielspeicher den Lese-/Schreibzugriff zulassen.
Zertifikat wurde gesperrt oder ist abgelaufen.
Ihre IT-Abteilung muss sicherstellen, dass Ihre privaten Schlüsselzertifikate gültig und aktuell sind. Außerdem überprüft das Office DocRecrypt-Tool nicht, ob zertifikatssperrend für private Schlüssel status.
Kennwortgeschützte Datei befindet sich in der Cloud.
Die Datei muss auf eine Festplatte oder in eine UNC-Freigabe mit Lese-/Schreibzugriff kopiert werden, ehe sie entschlüsselt werden kann.

Einrichten von Clientcomputern für das Entfernen des Kennwortschutzes

Damit Ihre IT-Abteilung ein Kennwort einer kennwortgeschützten Word-, PowerPoint- oder Excel-Datei entfernen kann, müssen Sie bei der Bereitstellung von Office 2016 zunächst die öffentlichen Schlüsselzertifikate per Push-Verfahren auf die Clientcomputer übertragen und die Registrierung bearbeiten. Hierfür stehen Ihnen zwei Möglichkeiten zur Verfügung:

  • Mithilfe von Gruppenrichtlinien und einer administrativen Vorlage, was die beste Wahl bei mehreren Clientcomputern in Unternehmen ist, oder

  • Durch manuelles Ändern der Registrierung eines Clientcomputers, was die beste Wahl bei einem einzelnen oder wenigen Clientcomputern ist.

So richten Sie mehrere Clientcomputer für den Kennwortschutz mithilfe eines Gruppenrichtlinienobjekts ein

  1. Laden Sie die Gruppenrichtlinie Administrative Vorlagendateien (ADMX/ADML) aus dem Microsoft Download Center herunter.

  2. Öffnen Sie die Vorlage im Editor für lokale Gruppenrichtlinien, und navigieren Sie zu den Einstellungen für den hinterlegten Schlüssel. Öffnen Sie die Verzweigung Benutzerkonfiguration, und wählen Sie dann nacheinander Administrative Vorlagen, Microsoft Office 2016, Sicherheitseinstellungen und Hinterlegte Zertifikate aus.

    20 escrow keys are available to configure, each named Escrow Key #n.

  3. Wählen Sie einen hinterlegten Schlüssel aus, und klicken Sie anschließend im Kontextmenü (nach Klicken mit der rechten Maustaste) auf Bearbeiten, um einen hinterlegten Schlüssel zu konfigurieren.

    Das Dialogfeld Hinterlegter Schlüssel Nr. wird angezeigt.

  4. Um diesen Schlüssel einzurichten und zu aktivieren, wählen Sie die Schaltfläche Aktiviert aus. Wenn Sie diesen Schlüssel später deaktivieren möchten, kehren Sie zum Dialogfeld Treuhandschlüssel #n zurück, und wählen Sie die Schaltfläche Deaktiviert aus.

  5. Geben Sie im Feld Zertifikathash den Zertifikathash ein, der als eindeutiger Bezeichner des Zertifikats verwendet wird, der auch als "Fingerabdruck" bezeichnet wird. Wenn Ihr Zertifikatfingerabdruck beispielsweise 9131517191121d94d143117fc126213c1781d21c ist, legen Sie den Zertifikathashwert auf diese Zahl fest. Dieser Hash darf Leerzeichen enthalten, wenn Sie ihn besser lesbar machen möchten.

  6. Geben Sie einen Kommentar ein, um weitere Details zu diesem bestimmten Zertifikat anzugeben, falls dies erforderlich ist. Dies ist optional.

  7. Wählen Sie OK aus.

So richten Sie einen einzelnen Clientcomputer mit neuen Registrierungseinstellungen für den Kennwortschutz ein

Damit Sie ein Kennwort einer Word-, PowerPoint- oder Excel-Datei entfernen können, müssen Sie einen Registrierungsschlüssel zum Angeben der Zertifikate mit öffentlichen Schlüsseln erstellen, die Sie für den Kennwortschutz von Dateien zur Verfügung stellen möchten.

Hinweis

Anweisungen zum Erstellen eines Registrierungsschlüssels finden Sie im Hilfemenü des Registrierungs-Editors (regedit.exe).

  • Erstellen Sie im Registrierungs-Editor in der Registrierung des Clientcomputers im folgenden Registrierungspfad den folgenden Schlüssel:

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts

    Erstellen Sie diesen neuen Schlüssel entweder manuell oder mithilfe einer REG-Batchdatei. Informationen zum Erstellen einer REG-Datei über REGEDIT.EXE finden Sie unter Erstellen einer REG-Datei.

    Erstellen eines Schlüssels in der Registrierung des Computers

Registrierungselement Beschreibung
Schlüsselname
EscrowCerts
Datentyp
Schlüssel
Übergeordneter Schlüssel
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\
  • Fügen Sie dem in Schritt 1 erstellten neuen Schlüssel Zertifikatinformationen für öffentliche Schlüssel gemäß der folgenden Tabelle hinzu. Erstellen Sie einen Eintrag für jedes Zertifikat mit einem öffentlichen Schlüssel, das Sie für den Kennwortschutz von Dateien verfügbar machen möchten.

    Hinzufügen von Zertifikatinformationen für öffentliche Schlüssel

Registrierungselement Beschreibung
Schlüsselname
Eindeutiger benutzerdefinierter Name zur Beschreibung des Zertifikats mit öffentlichem Schlüssel. Beispiel: EscrowCert01, EscrowCert02 usw.
Typ
STRING
Wert
Der Hashwert, der als eindeutige Zertifikat-ID verwendet wird und auch "Fingerabdruck" genannt wird, im Dialogfeld Windows-Zertifikat. Wenn beispielsweise die ID Ihres Zertifikats 9131517191121d94d143117fc126213c1781d21c ist, geben Sie diesen Wert ein. Dieser Hash darf Leerzeichen enthalten, wenn Sie ihn besser lesbar machen möchten.
  • When the registry entries are in place, push the certificate to the client computer. The public key certificate should be stored in Windows Certificate Manager (certmgr.msc) in the Certificates - Current User or Logical, Personal store. For details about pushing public key certificates to client computers through Group Policy, see Distribute Certificates to Client Computers by Using Group Policy.

    Wichtig

    Der IT-Administrator muss sicherstellen, dass das für diesen Vorgang genutzte Zertifikat gültig und nicht abgelaufen ist.

Wenn Benutzer in Office 2016Word, PowerPoint oder Excel erstellte Dateien mit Kennwortschutz versehen möchten, werden die entsprechenden öffentlichen Schlüsselinformationen im Dateiheader gespeichert. Mithilfe dieses öffentlichen Schlüssels und dazugehörigen privaten Schlüssels kann der Administrator später nach Aufforderung den Kennwortschutz entfernen.

Einrichten des IT-Administrationscomputers mit installiertem Schlüssel und DocRecrypt-Tool

Der IT-Administratorcomputer muss weder über schlüssel noch über einen Unterschlüssel in der Registrierung verfügen, noch muss er über eine Kopie des Zertifikats für den öffentlichen Schlüssel verfügen. Doch dieser Computer benötigt Folgendes:

  • Das übereinstimmende Paar aus privatem Schlüssel und Zertifikat

  • Das Office DocRecrypt-Tool

So richten Sie den IT-Computer mit installiertem Schlüssel und DocRecrypt-Tool ein

  1. Importieren Sie mit dem Zertifikatimport-Assistenten den zum Zertifikat passenden privaten Schlüssel in die Windows-Zertifikatverwaltung.

  2. Laden Sie das Office DocRecrypt-Tool herunter, und installieren Sie es. Dieses Tool finden Sie im Microsoft Download Center.

  • Wenn Sie das Office DocRecrypt-Tool auf einem 64-Bit-Computer installieren, wird es am folgenden Speicherort installiert:

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT
  • Wenn Sie das Office DocRecrypt-Tool auf einem 32-Bit-Computer installieren, wird es am folgenden Speicherort installiert:

    • %programfiles%\Microsoft Office\DOCRECRYPT

Das war's auch schon. Alle Teile sind vorhanden, und Sie können das Kennwort für eine Word-, Excel- oder PowerPoint-Datei entfernen, wenn sie das nächste Mal von einem Benutzer dazu aufgefordert wird.

Verwenden des Office DocRecrypt-Tools

Mit dem nun auf dem IT- Administrationscomputer installierten DocRecrypt-Tool können Sie das Dateikennwort entfernen und ein neues Kennwort zuweisen.

So verwenden Sie das DocRecrypt-Tool

Befolgen Sie diese Anweisungen zum Ausführen des DocRecrypt-Tools über die Befehlszeile. Sie können DocRecrypt-Befehle auch mithilfe einer Batchdatei oder eines Skripts automatisch ausführen.

  • Navigieren Sie zur Befehlszeile des Office DocRecrypt-Tools, und öffnen Sie es mit folgender Syntax:

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    Die Optionen des DocRecrypt-Tools werden in der folgenden Tabelle beschrieben.

    Optionen des DocRecrypt-Tools

Parameter Beschreibung
-p <new_password>
(Optional) Dies ist das neue Kennwort, das der Eingabedatei zugewiesen wird, oder die Ausgabedatei, wenn ein Ausgabedateiname angegeben wird.
-i <inputfile_or_folder>
Dies ist die Datei oder der Ordner, die Dateien enthält, die gesperrt sind, da das Kennwort unbekannt ist. Wenn Sie einen Ordner angeben, ignoriert das Office DocRecrypt-Tool alle Dateien, die nicht im Office Open XML-Format vorliegen.
-o <outputfile_or_folder>
(Optional) Dies ist der Name der neuen Ausgabedatei oder des Ordners für Dateien, die anhand der Eingabedateien erstellt werden. Auch hier werden alle Dateien, die nicht im Office Open XML-Format vorliegen, ignoriert.
-q
(Optional) Gibt an, dass Sie das Office DocRecrypt-Tool im stillen Modus, meist in einem Skript, ausführen möchten. Im ruhen Modus wird keine Benutzeroberfläche angezeigt, und es tritt ein Fehler auf, wenn ein Zertifikat die Eingabe einer PIN durch den IT-Administrator erfordert. Wenn Für Ihr Zertifikat eine PIN erforderlich ist, verwenden Sie keinen ruhebasierten Modus.

Zum Beispiel:

Verwenden Sie diesen Code, um das Kennwort aus einer Datei zu entfernen:

DocRecrypt -i lockedfile

Verwenden Sie diesen Code, um das Kennwort zu entfernen und das neue Kennwort 12345 zuzuweisen:

DocRecrypt -p 12345 -i lockedfile

Verwenden Sie diesen Code, um das Kennwort zu entfernen, eine neue Datei zu erstellen und das neue Kennwort 12345 zuzuweisen:

DocRecrypt -p 12345 -i lockedfile -o newfile

Sobald Dateien mit Office 2016 kennwortgeschützter sind, werden die Kennwörter nicht mehr entfernt.

Office 2010- und Office 2007-Dateien

Sobald Sie die Clientcomputer in Ihrer Organisation mithilfe des Office-DocRecrypt-Tools (entweder einzeln oder mit der Gruppenrichtlinie) konfiguriert haben, können alle zukünftigen Word 2016, Excel 2016- oder PowerPoint 2016-Dateien (DOCX, XLSX und PPTX) und vorhandene, kennwortgeschützte Office Word 2007-, Word 2010-, Office Excel 2007-, Excel 2010-, Office PowerPoint 2007- oder PowerPoint 2010-Dateien, die Benutzer in Office 2016 bearbeiten, mit dem DocRecrypt-Tool entsperrt oder deren Kennwort zurückgesetzt werden. Wird ein hinterlegter Schlüssel zu einer kennwortgeschützten Datei hinzugefügt, kann diese entsperrt oder zurückgesetzt werden, selbst wenn sie in Office 2007 oder Office 2010 bearbeitet wurde.