Rimuovere o reimpostare le password dei file in Office 2016
Riepilogo: spiega come usare lo strumento DocRecrypt di Office 2016 per sbloccare file di Word, Excel e PowerPoint in formato Office Open XML e protetti da password.
È possibile usare i Criteri di gruppo per effettuare il push delle modifiche al Registro di sistema che associano un certificato ai documenti protetti da password. Le informazioni del certificato vengono incorporate nell'intestazione del file. Se in seguito si dimentica o si perde la password, è possibile usare lo strumento da riga di comando DocRecrypt e la chiave privata per sbloccare il file ed eventualmente assegnare una nuova password.
Nota
- Per informazioni sulle password in una copia personale di Office 2016, vedere Proteggere un documento con una password o Proteggere un file di Excel.
- Se si è professionisti IT che vogliono rimuovere o reimpostare le password nei file di Office 2016 all'interno dell'organizzazione, ad esempio se un dipendente ha lasciato l'organizzazione e non si conosce la password, si è nel posto giusto, quindi continuare a leggere. |
Panoramica: rimozione o reimpostazione della password di un file in Office 2016 con lo strumento DocRecrypt
Esistono molti motivi per cui gli utenti potrebbero voler o dover proteggere con password un documento di Word, Excel o PowerPoint. Ad esempio:
Più persone in un'organizzazione immediata vogliono lavorare su un budget di gruppo, ma non vogliono che tali numeri siano visibili all'organizzazione più grande fino al termine.
Dei consulenti lavorano con clienti che, mediante un contratto di servizio, li vincolano a proteggere la riservatezza dei dati.
Gli insegnanti vogliono assicurarsi che i test creati in Word non possano essere compromessi.
Professionisti dei media e scienziati che lavorano su presentazioni a ricercatori chiave nei loro campi, vogliono assicurarsi che le loro scoperte non trapelano al pubblico prima dei loro annunci principali.
In passato, se il creatore originale della password di un file la dimenticava oppure lasciava l'organizzazione, non era più possibile recuperare il file. Un amministratore IT può sbloccare un file per un utente con Office 2016 e una chiave di deposito. Questa chiave proviene dall'archivio certificati della chiave privata dell'azienda o dell'organizzazione. Dopo lo sblocco, l'amministratore può rimuovere la protezione password o impostare una nuova password per il file. L'amministratore IT è il custode della chiave di deposito generata dall'archivio certificati della chiave privata dell'azienda o dell'organizzazione. Può effettuare automaticamente il push delle informazioni sulla chiave pubblica nei computer client una volta tramite l'impostazione di una chiave del Registro di sistema, che può essere creata manualmente o con uno script di Criteri di gruppo. Quando in seguito un utente crea un file di Word, Excel o PowerPoint protetto da password, questa chiave pubblica viene inclusa nell'intestazione del file. Un professionista IT potrà poi usare lo strumento DocRecrypt di Office per rimuovere la password associata al file ed eventualmente proteggere il file con una nuova password. Il professionista IT deve avere tutti i seguenti elementi per rimuovere la password:
Il nuovo strumento DocRecrypt di Office
Il file di Word, Excel o PowerPoint con una chiave pubblica incorporata
L'autorizzazione e l'accesso alle chiavi pubbliche e private associate al certificato
Proteggere la chiave privata
Questa funzionalità non controlla il processo aziendale per la gestione e la distribuzione di una chiave privata. Inoltre, non definisce dove archiviare la chiave, le autorizzazioni necessarie per le richieste di reimpostazione della password o il percorso del file dopo il ripristino. Gli standard e i processi dell'organizzazione devono guidare queste decisioni
Per mantenere un livello elevato di sicurezza nei file protetti da password, è consigliabile adottare questi criteri:
Non effettuare mai il push della chiave privata in un computer client. Questa raccomandazione è la più importante.
Bloccare l'archivio certificati che contiene la chiave privata e il certificato usato per generare la chiave di deposito e le chiavi pubbliche.
Verificare che nessuno possa compromettere i servizi di infrastruttura a chiave pubblica (PKI). È consigliabile anche distribuire i ruoli di gestione dei certificati tra diverse persone all'interno dell'organizzazione.
Se non si seguono queste raccomandazioni in modo coerente, la sicurezza di tutti i nuovi file protetti da password può essere compromessa. In azienda dovrebbe già essere implementato un modello di amministrazione di Servizi certificati Active Directory ben definito e una strategia di infrastruttura di Autorità di certificazione (CA) che includa, ad esempio, la conservazione della chiave privata e dei certificati in una posizione esterna all'azienda. Per altre informazioni, vedere Implementare l'amministrazione basata sui ruoli.
Nota
Il certificato usato per DocRecrypt può essere un normale certificato utente il cui scopo designato è l'autenticazione utente. L'obiettivo principale del certificato è quello di crittografare il documento.
Come individuare il certificato corretto
Poiché molti certificati di chiave privata potrebbero trovarsi in un computer IT, è giusto chiedersi come è possibile individuare il certificato corretto. In Gestione certificati (certmgr.msc), lo strumento DocRecrypt di Office 2016 cerca prima l'archivio logico, quindi l'archivio utenti corrente. In ognuno di questi archivi, lo strumento esegue innanzitutto ricerche nei certificati che non richiedono un PIN di imposizione del sistema Windows. Quindi, cerca i certificati che ne richiedono uno.
Considerazioni speciali
Solo file Office Open XML Lo strumento DocRecrypt di Office è compatibile solo con i documenti in formato Office Open XML, ad esempio i file con estensione docx, pptx e xlsx.
File crittografati in precedenza Lo strumento DocRecrypt di Office non può essere usato per recuperare file che sono stati protetti con una password prima di distribuire il certificato e la chiave di deposito. Dopo aver distribuito il certificato e la chiave di deposito, un utente può aprire un file di Office 2016 protetto in precedenza e salvarlo. Questa azione aggiunge la chiave di deposito al file. Da quel momento in avanti, è possibile rimuovere o reimpostare la password del file usando lo strumento Office DocRecrypt.
Altri modi per proteggere i file di Word, Excel e PowerPoint Per altri modi per proteggere i file di Word, Excel e PowerPoint, vedere Aggiungere o rimuovere la protezione nel documento, nella cartella di lavoro o nella presentazione.
Gli utenti possono applicare in modo indipendente uno di questi metodi di protezione. Se un amministratore IT rimuove una password, rimangono in vigore tutte le altre impostazioni di protezione. La rimozione della password non influisce su queste altre impostazioni.
Esistono alcuni fattori che potrebbero influire sulla possibilità di rimuovere la password in un file. Per dettagli e consigli, vedere la tabella seguente.
Considerazioni sulla rimozione della password da un file
| Problema | Consiglio |
|---|---|
| Il file è contrassegnato come di sola lettura o nascosto. |
Lo strumento Office DocRecrypt non funziona sui file contrassegnati come di sola lettura o nascosti. È tuttavia possibile rimuovere l'impostazione, decrittografare il file e reimpostarlo di nuovo come di sola lettura o nascosto dopo la ricerca. |
| Il file è archiviato in più posizioni. |
Lo strumento DocRecrypt di Office rimuove la password di protezione solo sull'istanza specifica del file a cui si fa riferimento. Questa protezione deve però essere rimossa anche sui file a cui si fa riferimento in RAID o in altre configurazioni del disco rigido. |
| Il file si trova in una cartella di lavoro condivisa. |
Lo strumento Office DocRecrypt non funziona sui file co-creati che contengono file incorporati. |
| Il file ha una firma digitale. |
La rimozione della password di protezione da un file con firma digitale non compromette la validità della firma digitale. |
| Il nome del file inizia con un trattino ("-"). |
Se il nome del file in cui si vuole eseguire la ricerca con lo strumento DocRecrypt di Office contiene un trattino, racchiuderlo tra virgolette. |
| Il richiedente non dispone delle autorizzazioni per aprire il file. |
L'amministratore IT controlla se la persona che chiede di decrittografare un file ha il diritto di accedere al contenuto dopo la rimozione o la modifica della password. Allo stesso modo, se a un file protetto da password è associato un elenco di controllo di accesso, il processo di decrittografia rimuove l'associazione. È necessario ripristinarla in seguito. |
| Il file o il percorso di destinazione è di sola lettura. |
Assicurarsi che sia il file protetto da password che il percorso di destinazione siano in lettura/scrittura. |
| Il certificato è stato revocato o è scaduto. |
Il reparto IT deve verificare che i certificati di chiave privata siano validi e aggiornati. Inoltre, lo strumento Office DocRecrypt non controlla lo stato di revoca del certificato della chiave privata. |
| Il file protetto da password si trova nel cloud. |
Prima di decrittografare il file, è necessario copiarlo in un disco rigido o in una condivisione UNC in lettura/scrittura. |
Configurare i computer client per la rimozione della password di protezione
Per consentire al reparto IT di rimuovere la password di protezione da un file di Word, PowerPoint o Excel, prima di distribuire Office 2016 nell'organizzazione è necessario effettuare il push delle chiavi pubbliche dei certificati e apportare alcune modifiche al Registro di sistema nei computer client. È possibile farlo in due modi:
Usando un modello amministrativo di Criteri di gruppo, modalità da preferire in presenza di diversi computer client o in ambiente aziendale, oppure
Modificando manualmente il Registro di sistema di un computer client, modalità preferibile in presenza di un solo computer o di un numero limitato di computer client.
Per configurare più computer client per la protezione con password usando un oggetto Criteri di gruppo
Scaricare i file Criteri di gruppo Modello amministrativo (ADMX/ADML) dall'Area download Microsoft.
Aprire il modello in Editor Criteri di gruppo locali e passare alle impostazioni della chiave di deposito. Aprire Configurazione utente e quindi scegliere Modelli amministrativi, Microsoft Office 2016, Impostazioni protezione e infine Certificati deposito.
Sono disponibili 20 chiavi di deposito da configurare, ognuna denominata Chiave deposito n (dove n è un numero intero progressivo).
Fare clic con il pulsante destro del mouse su una chiave di deposito e quindi scegliere Modifica dal menu di scelta rapida per configurarla.
Verrà visualizzata la finestra di dialogo Chiave deposito n.
Per impostare e abilitare la chiave, scegliere il pulsante Attivato. Se si vuole disabilitare la chiave in seguito, tornare alla finestra di dialogo Chiave deposito n e scegliere il pulsante Disattivato.
Nella casella Hash certificato immettere l'hash del certificato usato come identificatore univoco del certificato, noto anche come "identificazione personale". Ad esempio, se l'identificazione personale del certificato è 9131517191121d94d143117fc126213c1781d21c, impostare il valore hash del certificato su tale numero. L'hash può includere spazi, se si vuole renderlo più leggibile.
Immettere un commento per fornire altri dettagli su questo particolare certificato, se necessario. Passaggio facoltativo.
Scegliere OK.
Per configurare un singolo computer client per la protezione tramite password con le nuove impostazioni del Registro di sistema
Per poter rimuovere una password da un file di Word, PowerPoint o Excel, è necessario creare una chiave del Registro di sistema che indichi i certificati di chiavi pubbliche da rendere disponibili per proteggere i file con una password.
Nota
Per indicazioni specifiche su come creare una chiave del Registro di sistema, vedere la Guida accessibile dal menu ? dell'editor del Registro di sistema (regedit.exe).
Usando l'editor del Registro di sistema creare una chiave nel percorso seguente del Registro di sistema del computer client:
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts
È possibile creare la nuova chiave manualmente oppure tramite un file batch con estensione reg. Per informazioni su come creare un file reg mediante regedit.exe, vedere l'argomento relativo alla creazione di un file con estensione reg.
Creare una chiave nel Registro di sistema del computer client
| Elemento del Registro di sistema | Descrizione |
|---|---|
| Nome della chiave |
Deve essere EscrowCerts. |
| Tipo di dati |
chiave |
| Padre |
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\ |
Nella nuova chiave creata al passaggio 1 aggiungere le informazioni sui certificati di chiavi pubbliche, come mostrato nella tabella seguente. Creare una voce per ogni certificato di chiave pubblica che si vuole rendere disponibile per proteggere i file con una password.
Aggiungere le informazioni sui certificati di chiavi pubbliche
| Elemento del Registro di sistema | Descrizione |
|---|---|
| Nome della chiave |
Nome univoco definito dall'utente che descrive il certificato di chiave pubblica. Ad esempio, EscrowCert01, EscrowCert02 e così via. |
| Tipo |
STRING |
| Valore |
Hash usato come identificatore univoco del certificato, detto anche "identificazione digitale" nella finestra dei Certificati di Windows. Ad esempio, se l'identificazione digitale del certificato è 9131517191121d94d143117fc126213c1781d21c, impostare il valore dell'hash certificato su questo numero. L'hash può includere spazi, se si vuole renderlo più leggibile. |
Dopo avere impostato le voci del Registro di sistema, effettuare il push del certificato nel computer client. Il certificato di chiave pubblica deve essere archiviato in Gestione certificati di Windows (certmgr.msc), nell'archivio Certificati - Utente corrente o nell'archivio logico o personale. Per informazioni dettagliate sul push di certificati di chiavi pubbliche in computer client tramite Criteri di gruppo, vedere l'articolo relativo alla distribuzione di certificati in computer client tramite Criteri di gruppo.
Importante
L'amministratore IT deve verificare che il certificato usato per questa procedura sia valido e non scaduto.
Quando gli utenti decidono di proteggere con una password i file che creano in Office 2016Word, PowerPoint o Excel, le informazioni sulla chiave pubblica appropriata vengono salvate nell'intestazione del file. In seguito l'amministratore può usare questa chiave pubblica e la chiave privata corrispondente per rimuovere la password di protezione, se gli viene chiesto.
Configurare il computer dell'amministratore IT che contiene la chiave e lo strumento DocRecrypt
Il computer amministratore IT non deve avere la chiave e la sottochiave nel Registro di sistema, né deve avere una copia del certificato di chiave pubblica. Deve però avere:
La coppia di chiave privata/certificato corrispondente
Lo strumento DocRecrypt di Office
Per configurare il computer IT che contiene la chiave e lo strumento DocRecrypt
Usare l'Importazione guidata certificati per importare la chiave privata corrispondente nel certificato in Gestione certificati di Windows.
Scaricare e installare lo strumento DocRecrypt di Office. Questo strumento è disponibile nell'Area download Microsoft.
Quando si installa lo strumento Office DocRecrypt in un computer a 64 bit, viene installato nel percorso seguente:
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
Quando si installa lo strumento Office DocRecrypt in un computer a 32 bit, viene installato nel percorso seguente:
- %programfiles%\Microsoft Office\DOCRECRYPT
È tutto. Tutte le parti sono disponibili e si è pronti per rimuovere la password in un file di Word, Excel o PowerPoint la volta successiva che un utente chiede di farlo.
Usare lo strumento DocRecrypt di Office
Usare lo strumento DocRecrypt, ora installato nel computer dell'amministratore IT, per rimuovere la password del file e assegnare una nuova password.
Per usare lo strumento DocRecrypt
Seguire queste istruzioni per usare lo strumento DocRecrypt dalla riga di comando. È anche possibile eseguire i comandi dello strumento automaticamente tramite uno script o un file batch.
Aprire la riga di comando dello strumento DocRecrypt di Office usando la sintassi seguente:
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]
La tabella seguente descrive le opzioni dello strumento DocRecrypt.
Opzioni dello strumento DocRecrypt
| Parametro | Descrizione |
|---|---|
| -p <new_password> |
(Facoltativo) Si tratta della nuova password assegnata al file di input o del file di output se viene specificato un nome di file di output. |
| -i <inputfile_or_folder> |
File o cartella che contiene i file bloccati perché la password è sconosciuta. Se si specifica una cartella, lo strumento Office DocRecrypt ignora tutti i file che non sono in formato Office Open XML. |
| -o <outputfile_or_folder> |
(Facoltativo) Nome di un nuovo file o cartella di output per i file che verranno creati dai file di input. Anche in questo caso, tutti i file che non sono in formato Office Open XML vengono ignorati. |
| -q |
(Facoltativo) Indica che lo strumento DocRecrypt di Office deve essere eseguito in modalità non interattiva, in genere in uno script. La modalità non interattiva non mostra un'interfaccia utente e ha esito negativo se un certificato richiede all'amministratore IT di immettere un PIN. Se il certificato richiede un PIN, non usare la modalità non interattiva. |
Ad esempio:
Per rimuovere la password da un file, usare questo codice:
DocRecrypt -i lockedfile
Per rimuovere la password e assegnare la nuova password 12345, usare questo codice:
DocRecrypt -p 12345 -i lockedfile
Per rimuovere la password, creare un nuovo file e assegnargli la nuova password 12345, usare questo codice:
DocRecrypt -p 12345 -i lockedfile -o newfile
Quando i file sono protetti da password con Office 2016, non rimuoverà le password.
File di Office 2010 e 2007
Dopo che i computer client dell'organizzazione sono stati configurati usando lo strumento Office DocRecrypt (singolarmente o tramite Criteri di gruppo), qualsiasi file di Word 2016, Excel 2016 o PowerPoint 2016 futuro (file docx, xlsx e pptx) e qualsiasi file office protetto da password esistente Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 o PowerPoint 2010 file che gli utenti modificano in Office 2016 possono essere sbloccati o la reimpostazione della password con lo strumento DocRecrypt. Dopo aver aggiunto una chiave di deposito a un file protetto da password, è possibile sbloccarla o reimpostarla anche se è stata modificata in Office 2007 o Office 2010.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per