Condividi tramite


Pianificare le impostazioni di crittografia per Office 2010

 

Si applica a: Office 2010

Ultima modifica dell'argomento: 2015-03-09

In Microsoft Office 2010 sono disponibili impostazioni che consentono di controllare la modalità con cui i dati vengono crittografati quando si utilizzano Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 e Microsoft Word 2010. In questo articolo viene trattata la crittografia in Office 2010, vengono illustrate le impostazioni che è possibile utilizzare per crittografare i dati e vengono fornite informazioni sulla compatibilità con le versioni precedenti di Microsoft Office. Per ulteriori informazioni su Microsoft Outlook 2010, vedere Pianificare la crittografia dei messaggi di posta elettronica in Outlook 2010.

Durante la pianificazione delle impostazioni di crittografia, attenersi alle linee guida seguenti:

  • È consigliabile non modificare le impostazioni di crittografia predefinite, a meno che il modello di sicurezza della propria organizzazione non richieda impostazioni di crittografia diverse da quelle predefinite.

  • È consigliabile applicare la lunghezza e la complessità delle password per essere certi che, durante la crittografia dei dati, vengano utilizzate password complesse. Per ulteriori informazioni, vedere Aggiornamenti dei file dei Modelli amministrativi di Office System 2007 (ADM, ADMX, ADML) e dello Strumento di personalizzazione di Office.

  • È consigliabile non utilizzare la crittografia RC4. Per ulteriori informazioni, vedere Compatibilità con le versioni precedenti di Office più avanti in questo articolo.

  • Non esiste alcuna impostazione di amministrazione che consenta di obbligare gli utenti a crittografare i documenti. È tuttavia disponibile un'impostazione di amministrazione che consente di impedire l'aggiunta di password ai documenti e quindi di applicare la crittografia ai documenti. Per ulteriori informazioni, vedere Impostazioni di crittografia più avanti in questo articolo.

  • Il fatto che i documenti vengano salvati in un percorso attendibile non influisce sulle impostazioni di crittografia. Se un documento viene crittografato e salvato in un percorso attendibile, l'utente dovrà specificare una password per aprirlo.

Contenuto dell'articolo:

  • Informazioni sulla crittografia in Office 2010

  • Impostazioni di crittografia

  • Compatibilità con le versioni precedenti di Office

Informazioni sulla crittografia in Office 2010

Gli algoritmi di crittografia disponibili per l'utilizzo con Office variano a seconda degli algoritmi a cui è possibile accedere tramite le interfacce API (Application Programming Interface) nel sistema operativo Windows. Office 2010, oltre a continuare a supportare l'API di crittografia (CryptoAPI), garantisce il supporto per CNG (CryptoAPI: Next Generation), un'API resa disponibile per la prima volta in Microsoft Office System 2007 con Service Pack 2 (SP2).

CNG offre una crittografia più agile che consente di specificare diversi algoritmi di crittografia e hash supportati nel computer host, in modo che vengano utilizzati durante il processo di crittografia dei documenti. CNG inoltre assicura una migliore estendibilità, consentendo l'utilizzo di moduli di crittografia di terze parti.

Quando in Office è in uso CryptoAPI, gli algoritmi di crittografia dipendono da quelli disponibili in un provider del servizio di crittografia (CSP, Crypto Service Provider) che fa parte del sistema operativo Windows. Nella chiave del Registro di sistema seguente è incluso un elenco dei CSP installati in un computer:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

Con Office 2010 o Office System 2007 SP2 è possibile utilizzare gli algoritmi di crittografia CNG seguenti o qualsiasi altra estensione di crittografia CNG installata nel sistema:

AES, DES, DESX, 3DES, 3DES_112 e RC2

Con Office 2010 o Office System 2007 SP2 è possibile utilizzare gli algoritmi hash CNG seguenti o qualsiasi altra estensione di crittografia CNG installata nel sistema:

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 e SHA512

Benché vi siano impostazioni di Office 2010 che consentono di modificare la modalità di esecuzione della crittografia, quando si crittografano file in formato Open XML (con estensione docx, xslx, pptx e così via), i valori predefiniti, ovvero AES (Advanced Encryption Standard), la lunghezza della chiave a 128 bit, SHA1 e Cipher Block Chaining (CBC), garantiscono una crittografia avanzata e in genere sono appropriati per la maggior parte delle organizzazioni. La crittografia AES corrisponde all'algoritmo più avanzato che sia disponibile in questo settore ed è stata scelta dalla National Security Agency (NSA) per essere utilizzata come standard per il Governo degli Stati Uniti. La crittografia AES è supportata in Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 e Windows Server 2008.

Impostazioni di crittografia

Nella tabella seguente sono riportate le impostazioni che è possibile configurare per cambiare gli algoritmi di crittografia quando si utilizzano versioni di Microsoft Office che accedono a CryptoAPI. Sono incluse le versioni di Office fino a Office 2010 compreso.

Impostazione Descrizione

Tipo di crittografia per i file Office Open XML protetti da password

Questa impostazione consente di specificare un tipo di crittografia per i file Open XML dei provider del servizio di crittografia disponibili. È necessaria quando si utilizza un componente aggiuntivo di crittografia COM personalizzato. Per ulteriori informazioni, vedere il Manuale dello sviluppatore per la crittografia in Office System 2007, disponibile all'interno di SharePoint Server 2007 SDK (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=107614&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Tale impostazione è inoltre necessaria quando si utilizza Office System 2007 SP1 o una versione del pacchetto di compatibilità precedente a Microsoft Office Compatibility Pack per formati di file di Word, Excel e PowerPoint (https://go.microsoft.com/fwlink/?linkid=78517&clcid=0x410) e si desidera impostare un algoritmo di crittografia diverso da quello predefinito.

Tipo di crittografia per i file di Office 97-2003 protetti da password

Questa impostazione consente di specificare un tipo di crittografia per i file di Office 97-2003 (binari) dei provider del servizio di crittografia disponibili. Quando si utilizza tale impostazione, l'unico algoritmo di crittografia supportato è RC4, il cui utilizzo, come spiegato in precedenza, non però consigliato.

In Office 2010, se è necessario modificare l'impostazione Tipo di crittografia per i file Office Open XML protetti da password, si dovrà innanzitutto attivare l'impostazione Specifica compatibilità crittografia e selezionare l'opzione Usa formato legacy. L'impostazione Specifica compatibilità crittografia è disponibile per Access 2010, Excel 2010, PowerPoint 2010 e Word 2010.

Nella tabella seguente sono riportate le impostazioni che è possibile configurare per cambiare gli algoritmi di crittografia quando si utilizza Office 2010. Tali impostazioni si applicano ad Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 e Word 2010.

Nota

Con l'eccezione di Imposta parametri per contesto CNG e Specifica algoritmo di generazione di numeri casuali CNG, tutte le impostazioni seguenti sono applicabili anche quando si utilizza un sistema operativo supportato per Office 2010, quale ad esempio Windows XP SP3, in cui non è incluso il supporto per CNG. In questo caso, Office 2010 utilizza CryptoAPI anziché CNG. Queste impostazioni si applicano solo quando si utilizza Office 2010 per crittografare file Open XML.

Impostazione Descrizione

Imposta algoritmo di crittografia CNG

Questa impostazione consente di configurare l'algoritmo di crittografia CNG da utilizzare. Il valore predefinito è AES.

Configura modalità di concatenamento crittografia CNG

Questa impostazione consente di configurare la modalità di concatenamento crittografia da utilizzare. Il valore predefinito è Cipher Block Chaining (CBC).

Imposta lunghezza chiave di crittografia CNG

Questa impostazione consente di configurare il numero di bit da utilizzare quando si crea la chiave di crittografia. Il valore predefinito è 128 bit.

Specifica compatibilità crittografia

Questa impostazione consente di specificare il formato di compatibilità. Il valore predefinito è Usa formato di prossima generazione.

Imposta parametri per contesto CNG

Questa impostazione consente di specificare i parametri di crittografia da utilizzare per il contesto CNG. Per poter utilizzare tale impostazione, è necessario prima creare un contesto CNG mediante CryptoAPI: Next Generation (CNG). Per ulteriori informazioni, vedere Funzioni di configurazione della crittografia CNG (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=192996&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Specifica algoritmo hash CNG

Questa impostazione consente di specificare l'algoritmo hash da utilizzare. Il valore predefinito è SHA1.

Imposta numero spin password CNG

Questa impostazione consente di specificare il numero di spin (rigenerazioni dell'hash) da eseguire per lo strumento di verifica delle password. Il valore predefinito è 100000.

Specifica algoritmo di generazione di numeri casuali CNG

Questa impostazione consente di configurare il generatore di numeri casuali CNG da utilizzare. Il valore predefinito è RNG (Random Number Generator).

Specifica lunghezza valore salt CNG

Questa impostazione consente di specificare il numero di byte da utilizzare per il valore salt. Il valore predefinito è 16.

Oltre alle impostazioni CNG riportate nella tabella precedente, per Excel 2010, PowerPoint 2010 e Word 2010 è possibile configurare l'impostazione CNG indicata nella tabella seguente.

Impostazione Descrizione

Usa nuova chiave dopo modifica password

Questa impostazione consente di specificare se deve essere utilizzata una nuova chiave di crittografia quando la password viene modificata. Il valore predefinito prevede che non venga utilizzata una nuova chiave dopo la modifica della password.

È possibile utilizzare l'impostazione riportata nella tabella seguente per impedire l'aggiunta di password ai documenti e quindi per impedire la crittografia degli stessi.

Impostazione Descrizione

Disattivazione password di apertura dell'interfaccia utente

Questa impostazione consente di specificare se gli utenti di Office 2010 possono aggiungere password ai documenti. Per impostazione predefinita, agli utenti è consentito aggiungere password.

Nota

Per informazioni su come configurare le impostazioni di sicurezza nello Strumento di personalizzazione di Office e nei Modelli amministrativi di Office 2010, vedere Configurare la sicurezza per Office 2010.

Compatibilità con le versioni precedenti di Office

Se si ha necessità di crittografare documenti di Office, è consigliabile salvare tali documenti come file in formato Open XML (con estensione docx, xlsx, pptx e così via) anziché nel formato di Office 97-2003 (con estensione doc, xls, ppt e così via). La crittografia utilizzata per i documenti binari (con estensione doc, xls e ppt) si avvale dell'algoritmo RC4 e non è consigliata, come illustrato nelle sezioni 4.3.2 e 4.3.3 delle considerazioni sulla sicurezza nella Specifica sulla struttura di crittografia dei documenti di Office (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=192287\&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). I documenti salvati nei formati binari di Office precedenti possono essere crittografati solo utilizzando RC4 per mantenere la compatibilità con le versioni di Microsoft Office meno recenti. Per crittografare i file in formato Open XML viene utilizzato AES, che è l'algoritmo di crittografia predefinito e consigliato.

Office 2010 e Office System 2007 consentono di salvare i documenti come file in formato Open XML. Se si dispone di Microsoft Office XP o Office 2003, sarà inoltre possibile utilizzare il pacchetto di compatibilità per salvare i documenti come file in formato Open XML.

I documenti salvati come file in formato Open XML e crittografati mediante Office 2010 possono essere letti solo da Office 2010, Office 2007 SP2 e Office 2003 con il pacchetto di compatibilità di Office 2007 SP2. Per garantire la compatibilità con tutte le versioni precedenti di Office, è possibile creare in HKCU\Software\Microsoft\Office\14.0\<applicazione>\Security\Crypto\ una chiave del Registro di sistema (se ancora non esiste) denominata CompatMode e disabilitarla impostandola su 0. I valori che è possibile immettere per <applicazione> rappresentano l'applicazione di Office specifica per cui si sta configurando la chiave del Registro di sistema. È ad esempio possibile immettere Access, Excel, PowerPoint o Word. È importante tenere presente che, quando si imposta CompatMode su 0, Office 2010 utilizza un formato di crittografica compatibile con Office 2007 anziché la sicurezza avanzata fornita per impostazione predefinita in caso di utilizzo di Office 2010 per crittografare file in formato Open XML. Se è necessario configurare tale impostazione per motivi di compatibilità, è consigliabile utilizzare inoltre un modulo di crittografia di terze parti che consenta la sicurezza avanzata, ad esempio la crittografia AES.

Se nella propria organizzazione viene utilizzato Microsoft Office Compatibility Pack per formati di file di Word, Excel e PowerPoint per crittografare i file in formato Open XML, tenere presente quanto segue:

  • Per impostazione predefinita, il pacchetto di compatibilità utilizza le impostazioni seguenti per crittografare i file in formato Open XML:

    • Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), AES 128,128 (nel sistema operativo Windows XP Professional).

    • Microsoft Enhanced RSA and AES Cryptographic Provider, AES 128,128 (nei sistemi operativi Windows Server 2003 e Windows Vista).

  • Agli utenti non viene segnalato che il pacchetto di compatibilità utilizza tali impostazioni di crittografia.

  • Nell'interfaccia grafica utente delle versioni precedenti di Office potrebbero venire visualizzate impostazioni di crittografia non corrette per i file in formato Open XML se è installato il pacchetto di compatibilità.

  • Gli utenti non possono avvalersi dell'interfaccia grafica utente delle versioni precedenti di Office per modificare le impostazioni di crittografia per i file in formato Open XML.

Nota

Per informazioni aggiornate sulle impostazioni dei criteri, fare riferimento alla cartella di lavoro di Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, disponibile nella sezione Files in this Download della pagina di download File di modelli amministrativi di Office 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).