Remover ou redefinir senhas de arquivos no Office 2013

  • Artigo

 

Aplica-se a: Office 2013, Office 365 ProPlus

Tópico modificado em: 2016-12-16

Resumo: Explica como usar a ferramenta DocRecrypt do Office 2013 para desbloquear os arquivos do Word, Excel e PowerPoint formatados com OOXML e protegidos por senha.

Público: profissionais de TI

Use a Política de Grupo para enviar as alterações do registro que associam um certificado aos documentos protegidos por senha. Essas informações do certificado são incorporadas no cabeçalho do arquivo. Mais tarde, se a senha for esquecida ou perdida, use a ferramenta da linha de comando DocRecrypt e a chave privada para desbloquear o arquivo e, opcionalmente, atribuir uma nova senha.

Você é um usuário?

Se você quiser obter informações sobre senhas em uma cópia pessoal do Office 2013, confira proteger seus documentos com senhas e permissões.

Confira remover uma senha de um documento para obter um exemplo adicional.

Você é um administrador?

Se você for um profissional de TI e deseja remover ou redefinir senhas de arquivos do Office 2013 em sua organização, por exemplo, se um funcionário tiver saído da organização e você não sabe a senha, você está no lugar certo, continue lendo.
ImportanteImportante
Este artigo faz parte do Mapa de identidade, autenticação e autorização do Office 2013 para os profissionais de TI. Use o mapa como um ponto inicial para os artigos, downloads, scripts e vídeos que ajudam você a avaliar a identidade do Office 2013.

Neste artigo

  • Visão geral

  • Configure os computadores cliente para a remoção da proteção por senha

  • Configure o computador do administrador de TI que tem a chave e a ferramenta DocRecrypt

  • Use a ferramenta DocRecrypt do Office

  • Arquivos do Office 2010 e 2007

Visão geral: removendo ou redefinindo a senha de um arquivo no Office 2013 usando a ferramenta DocRecrypt

Há muitos motivos para os usuários poderem querer ou ter que proteger com senha um documento do Word, Excel ou PowerPoint. Por exemplo:

  • Várias pessoas em uma organização imediata desejam trabalhar no orçamento de um grupo, mas não querem que esses números fiquem visíveis para a organização inteira, até que tenham terminado.

  • Consultores trabalham com clientes que requerem, por meio de um contrato de nível de serviço, que seus dados particulares permaneçam protegidos quando saem do controle do cliente.

  • Professores desejam assegurar que os testes criados no Word não fiquem comprometidos.

  • Profissionais de mídia e cientistas, que trabalham em apresentações para pesquisadores importantes em suas áreas, desejam assegurar que seus progressos não vazem para o público antes de seus anúncios maiores.

Antes, se o criador original da senha de um arquivo esquecesse a senha ou saísse da organização, o arquivo ficava irrecuperável. Usando o Office 2013 e uma chave de caução, que é gerada por sua empresa ou pelo repositório de certificados da chave privada da organização, um administrador de TI pode "desbloquear" o arquivo para um usuário, então, deixar o arquivo sem proteção por senha ou atribuir uma nova senha a ele. Você, administrador de TI, é o protetor da chave de caução gerada por sua empresa ou repositório de certificados da chave privada da organização. Você pode enviar silenciosamente as informações da chave pública para os computadores cliente uma vez por meio da definição da chave do registro que você pode criar manualmente ou pode criá-la por meio de um script da Política de Grupo. Quando um usuário criar, posteriormente, um arquivo do Office 2013Word, Excel ou PowerPoint protegido por senha, essa chave pública será incluída no cabeçalho do arquivo. Depois, um profissional de TI poderá usar a ferramenta DocRecrypt do Office para remover a senha anexada ao arquivo, então, opcionalmente, proteger o arquivo usando uma nova senha. Para tanto, o profissional de TI deverá ter o seguinte:

  • A nova ferramneta Office DocRecrypt

  • O arquivo do Word, Excel ou PowerPoint com uma chave pública incorporada

  • Permissão e acesso às chaves pública e privada associadas ao certificado

Manter a chave privada segura

Este recurso não prescreve um processo corporativo para gerenciar e distribuir uma chave privada, onde essa chave é armazenada, quaisquer permissões e autorização requeridas para solicitar que uma senha seja quebrada ou redefinida, ou onde o arquivo deve ser localizado após ser restaurado. Essas decisões devem ser orientadas pelos padrões e pelos processos de sua organização.

Assim, para manter um alto nível de segurança nos arquvos protegidos por senha, recomendamos que sua organização adote estas políticas:

  • Nunca envia a chave privada para um computador cliente! Esta é nossa recomendação mais importante.

  • Bloqueie o repositório de certificados que tem a chave privada e o certificado que foi usado para gerar a chave de caução e as chaves públicas.

  • Verifique se alguém pode comprometer os serviços da infraestrutura da chave pública (PKI). E mais, recomendamos que você distribua as funções de gerenciamento dos certificados entre pessoas diferentes em sua organização.

Se você não seguir essas recomendações com consistência, a segurança de todos os novos arquivos protegidos por senha poderá ficar comprometida. Sua empresa ou organização já deve ter um modelo de administração dos Serviços de Domínio Active Directory (AD CS) e estratégia de infraestrutura da autoridade de certificação (CA) bem definidas que inclui, por exemplo, um armazenamento fora do site da chave privada e dos certificados. Para mais informações, confira Implementar Administração Baseada em Funções.

ObservaçãoObservação
O certificado usado para a ferramenta DocRecrypt pode ser um certificado comum do usuário com a Autenticação do usuário como a finalidade pretendida. O principal objetivo do certificado é ser capaz de criptografar o documento.

Como é localizado o certificado correto?

Como muitos certificados da chave privada podem estar localizados em um computador TI, é justo imaginar como o certificado correto pode ser descoberto. No Gerenciador de certificados (certmgr.msc), a ferramenta DocRecrypt do Office 2013 primeiro pesquisa o armazenamento Lógico, então, o armazenamento Usuário atual. Em cada um deles, a ferramenta pesquisa primeiro os certificados que não requerem um PIN de imposição do sistema Windows. Então, pesquisa aqueles que requerem um.

Considerações especiais

Abra os arquivos XML do Office apenas   A ferramenta DocRecrypt do Office funciona apenas nos documentos com formato Open XML do Office, como os arquivos docx, pptx e xlsx.

Arquivos criptografados anteriormente   A ferramenta DocRecrypt do Office não pode ser usada para recuperar arquivos que foram protegidos por senha antes de você ter implantado o certificado e a chave de caução. Porém, depois de você ter implantado o certificado e a chave de caução, se um usuário abrir um arquivo protegido anteriormente no Office 2013 e salvá-lo, a chave de caução será adicionada ao arquivo nesse momento. Deste ponto em diante, você conseguirá remover ou redefinir a senha do arquivo usando a ferrmenta DocRecrypt do Office .

Outros modos de proteger os arquivos do Word, do Excel e do PowerPoint   Para obter outros modos de proteger os arquivos do Word, do Excel e do PowerPoint, confira Proteger seu documento, pasta de trabalho ou apresentação com senhas, permissão e outras restrições.

Saiba que os usuários podem aplicar, de forma independente, qualquer um desses métodos de proteção. Se uma senha for removida por um administrador de TI, qualquer outra configuração de proteção permanecerá. Remover a senha não afeta as outras configurações.

Existem alguns fatores que podem afetar sua capacidade de remover a senha em um arquivo. Para obter detalhes e orientações, consulte a tabela a seguir.

Considerações ao remover a senha em um arquivo

Problema Orientação

O arquivo é marcado como somente leitura ou oculto.

A ferramenta DocRecrypt do Office não funciona nos arquivos marcados como somente leitura ou oculto. Mas, você pode remover a configuração, descriptografar o arquivo, então, configurá-lo novamente para Somente leitura ou Oculto após a pesquisa.

O arquivo é armazenado em vários locais.

A ferramenta DocRecrypt do Office remove a proteção por senha na instância específica do arquivo referenciado. Mas, você deve remover a proteção por senha nos arquivos referenciados no RAID ou outras configurações do disco rígido também.

O arquivo está localizado em uma pasta de trabalho compartilhada.

A ferramenta DocRecrypt do Office não funciona nos arquivos com coautoria que contêm arquivos incorporados.

O arquivo é assinado digitalmente.

Remover a proteção por senha de um arquivo assinado digitalmente não compromete a validade da assinatura digital.

O nome de arquivo começa com hífen (“-“).

Se o nome de arquivo que você deseja pesquisar usando a ferramenta DocRecrypt do Office contém um hífen, coloque o nome entre aspas.

O solicitante não tem permissões para abrir o arquivo.

O administrador de TI determina se a pessoa que solicita um arquivo a ser descriptografado atualmente tem autoridade para exibir o conteúdo dele quando a senha é removida ou reatribuída. Do mesmo modo, se um arquivo protegido por senha tiver uma lista de controle de acesso associada, o processe de descriptografia removerá a associação. Você deve retabelecê-la depois.

O arquivo ou local de destino é de somente leitura.

Verifique se o arquivo protegido por senha e o local de destino são de leitura/gravação.

O certificado foi revogado ou expirou.

Seu departamento de TI deve assegurar que os certificados da chave privada sejam válidos e atualizados. E mais, saiba que a ferramenta DocRecrypt do Office não verifica o status de revogação do certificado da chave privada.

O arquivo protegido por senha está localizado na nuvem.

O arquivo deve ser copiado para um disco rígido ou um compartilhamento UNC de leitura/gravação antes de poder ser descriptografado.

Configure os computadores cliente para a remoção da proteção por senha

Para permitir que seu departamento de TI remova uma senha de um arquivo do Word, PowerPoint ou Excel protegido por senha, quando você implantar o Office 2013 em sua organização, primeiro terá que enviar as chaves públicas do certificado e fazer algum registro nos computadores cliente. Há dois modos de fazer isto:

  • Por meio de um modelo Administrativo da política de grupo, que é a melhor escolha para vários computadores ou computadores cliente corporativos, ou

  • Mudando manualmente o registro de um computador cliente, que é a melhor escolha para um computador ou alguns computadores cliente.

ObservaçãoObservação
É possível realizar tarefas no Pacotes do Office 2013 usando um mouse, atalhos de teclado ou toque. Confira mais informações sobre como usar atalhos de teclado e toque em produtos e serviços do Office em Atalhos de teclado e Guia de Toques do Office.

Para configurar vários computadores cliente para a proteção por senha usando um objeto da política de grupo

  1. Baixe o Modelo Administrativo da Política de Grupo (ADMX/ADML), que está disponível nos arquivos do Modelo Administrativo do Office 2013 (ADMX/ADML) e arquivos da Ferramenta de Personalização do Office

  2. Abra o modelo no Editor da Política de Grupo Local e navegue para as configurações da chave de caução. Abra o desvio Configuração do usuário, então, escolha Modelos administrativos, Microsoft Office 2013, Configurações da segurança e Certificados da caução.

    20 chaves de caução estão disponíveis para configurar, cada uma nomeada como Chave de caução nº .

  3. Selecione uma chave de caução e no menu de atalho (clique com o botão direito), escolha Editar para configurar uma chave de caução.

    A caixa de diálogo Chave de caução nº será exibida.

  4. Para configurar e ativar essa chave, selecione o botão Ativado. Se você quiser desativar essa chave depois, volte para a caixa de diálogo Chave de caução nº e selecione o botão Desativado.

  5. Na caixa Hash do certificado, digite o hash do certificado usado como identificador exclusivo do certificado, também conhecido como “impressão digital.” Por exemplo, se a impressão digital de seu certificado for 9131517191121d94d143117fc126213c1781d21c, defina o valor do hash do certificado para esse número. Esse hash poderá incluir espaços se você quiser torná-lo mais legível.

  6. Digite um comentário para fornecer mais detalhes sobre esse determinado certificado, caso seja necessário. É opcional.

  7. Clique em OK.

Para mais informações sobre os modelos, Ferramenta de personalização, Política de grupo e os scripts de inicialização da Polítida de grupo do Office, consulte os seguintes tópicos:

Para configurar um computador cliente para a proteção por senha com novas configurações do registro

Para conseguir remover uma senha de um arquivo do Word, PowerPoint ou Excel, você deve criar uma chave do registro para indicar os certificados da chave pública que você deseja disponibilizar para proteger por senha os arquivos..

ObservaçãoObservação
Para obter orientações específicas sobre como criar uma chave do registro, consulte a Ajuda disponível no menu Ajuda do Editor de Registro (regedit.exe).

  1. No Editor de Registro, crie uma chave no registro do computador cliente no seguinte caminho do registro:

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts

    Crie essa nova chave manualmente ou com um arquivo em batch .reg. Para criar um arquivo .reg usando o regedit.exe, confira Criando um Arquivo .reg.

    Crie uma chave no registro do computador cliente

    Elemento Registry Descrição

    Nome da chave

    Este valor deve ser EscrowCerts.

    Tipo de dados

    chave

    Pai

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\

  2. Na nova chave criada na etapa 1, adicione as informações do certificado da chave pública, como mostrado na tabela a seguir. Crie uma entrada para cada certificado da chave pública que você deseja disponibilizar para proteger por senha os arquivos.

    Adicione informações do certificado da chave pública

    Elemento Registry Descrição

    Nome da chave

    Nome exclusivo definido pelo usuário que descreve o certificado da chave pública. Por exemplo, EscrowCert01, EscrowCert02 etc.

    Tipo

    STRING

    Valor

    O hash usado como identificador exclusivo do certificado, também conhecido como “impressão digital” na caixa de diálogo Certificado do Windows. Por exemplo, se a impressão digital de seu certificado for 9131517191121d94d143117fc126213c1781d21c, defina o valor para esse número. Esse hash poderá incluir espaços se você quiser torná-lo mais legível.

  3. Quando as entradas do registro estiverem funcionando, envie o certificado para o computador cliente. O certificado da chave pública deve ser armazenado no Gerenciador de Certificados do Windows (certmgr.msc) em Certificados - Repositório Pessoal do Usuário Atual ou Lógico. Para obter detalhes sobre como enviar certificados da chave pública para os computadores cliente com a Política de Grupo, confira Distribuir Certificados para Computadores Cliente Usando a Política de Grupo.

    ImportanteImportante
    O administrador de TI deve assegurar que o certificado usado para este processo seja válido e não tenha expirado.

Quando os usuários decidirem proteger por senha os arquivos criados no Office 2013Word, PowerPoint ou Excel, as devidas informações da chave pública serão salvas no cabeçalho do arquivo. O administrador poderá usar essa chave pública e combinar a chave privada posteriormente se for solicitado remover a proteção por senha.

Configure o computador do administrador de TI que tem a chave e a ferramenta DocRecrypt

O computador do administrador de TI não precisa ter a chave e a subchave no registro, nem precisa ter uma cópia do certificado da chave pública. Mas o computador do administrador de TI precisa do seguinte:

  • O par de chave privada/certificado correspondente

  • A ferramenta DocRecrypt do Office

Para configurar o computador TI

  1. Use o Assistente de importação de certificados para importar a chave privada correspondente ao certificado no Gerenciador de certificados do Windows.

  2. Baixe e instale a ferramenta DocRecrypt do Office. Essa ferramenta está disponível no Centro de Download da Microsoft.

    Quando você instalar a ferramenta DocRecrypt do Office em um computador de 64 bits, ela será instalada no seguinte local:

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT

    Quando instalar a ferramenta DocRecrypt do Office em um computador de 32 bits, ela será instalada no seguinte local:

    • %programfiles%\Microsoft Office\DOCRECRYPT

É tudo. Todas as peças estão no lugar e você está pronto para remover a senha em um arquivo do Word, Excel ou PowerPoint na próxima vez em que um usuário solicitar que faça isso.

Use a ferramenta DocRecrypt do Office

Use a ferramenta DocRecrypt, que agora está instalada no computador do administrador de TI, para remover a senha do arquivo e atribuir uma nova senha.

Para usar a ferramenta DocRecrypt

Siga estas instruções para usar a ferramenta DocRecrypt a partir da linha de comando. Você também pode executar os comandos DocRecrypt silenciosamente a partir de um arquivo em batch ou script.

  • Navegue e abra a linha de comando da ferramenta DocRecrypt do Office usando a seguinte sintaxe:

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    As opções da ferramenta DocRecrypt são descritas na tabela a seguir.

    Opções da ferramenta DocRecrypt

    Parâmetro Descrição

    -p <new_password>

    (Opcional) Esta é a nova senha que será atribuída ao arquivo de entrada ou ao arquivo de saída, casu um nome do arquivo de saída seja fornecido.

    -i <inputfile_or_folder>

    Este é o arquivo que contém os arquivos bloqueados porque a senha é desconhecida. Se você especificar uma pasta, a ferramenta DocRecrypt do Office irá ignorar qualquer arquivo que esteja no formato Open XML do Office.

    -o <outputfile_or_folder>

    (Opcional) Este é nome de um novo arquivo de saída ou pasta para os arquivos que serão criados a partir dos arquivos de entrada. Novamente, qualquer arquivo que não esteja no formato Open XML do Office será ignorado.

    -q

    (Opcional) Indica que você deseja executar a ferramenta DocRecrypt do Office no modo silencioso, geralmente em um script. O modo silencioso não motra uma IU e falhará se um certificado requerer que o administrador de TI insira um PIN. Se seu certificado requerer um PIN, não use o modo silencioso.

    Por exemplo:

    Para remover a senha de um arquivo, use este código:

    DocRecrypt -i lockedfile

    Para remover a senha e atribuir uma nova senha 12345, use este codigo:

    DocRecrypt -p 12345 -i lockedfile

    Para remover a senha, crie um novo arquivo e atribuir uma nova senha 12345 a esse arquivo, use este código:

    DocRecrypt -p 12345 -i lockedfile -o newfile

Após a proteção dos arquivos usando o Office 2013, as senhas não serão removidas.

Arquivos do Office 2010 e 2007

Após a configuração dos computadores clientes em sua organização usando a ferramenta Office DocRecrypt (individualmente ou por meio da Política de Grupo), quaisquer arquivos futuros do Word 2013, do Excel 2013 ou do PowerPoint 2013 (arquivos docx, xlsx e pptx) e quaisquer arquivos do Office Word 2007, do Word 2010, do Office Excel 2007, do Excel 2010, Office PowerPoint 2007 ou do PowerPoint 2010 protegidos por senha editados pelos usuários no Office 2013 podem ser desbloqueados ou as senhas podem ser redefinidas com a ferramenta DocRecrypt. Após a adição de uma chave de caução a um arquivo protegido por senha, ele pode ser desbloqueado ou redefinido mesmo se tiver sido editado no Office 2007 ou no Office 2010.

Consulte também

Mapa de identidade, autenticação e autorização do Office 2013

Ferramenta DocRecrypt no Centro de Download da Microsoft