Планирование параметров криптографии и шифрования в Office 2010
Применимо к: Office 2010
Последнее изменение раздела: 2015-03-09
Microsoft Office 2010 содержит параметры, которые позволяют управлять способом шифрования данных при использовании Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 и Microsoft Word 2010. В этой статье обсуждаются возможности криптографии и шифрования в Office 2010, а также приводится описание параметров, которые можно использовать для шифрования данных, и указаны сведения о совместимости с предыдущими версиями Microsoft Office. Дополнительные сведения о приложении Microsoft Outlook 2010 см. в статье Планирование шифрования сообщений электронной почты в Outlook 2010.
При планировании параметров шифрования необходимо учитывать следующие аспекты.
Не рекомендуется изменять параметры шифрования по умолчанию, если для модели безопасности организации не требуются другие параметры шифрования.
Рекомендуется применять правила длины и сложности пароля, чтобы обеспечить использование стойких паролей при шифровании данных. Дополнительные сведения см. в статье Обновления файлов административных шаблонов (ADM, ADMX, ADML) Office 2007 и центра развертывания Office.
Не рекомендуется использовать шифрование RC4. Дополнительные сведения см. в разделе Совместимость с предыдущими версиями Office далее в этой статье.
Административные параметры, принуждающие пользователей зашифровывать документы, отсутствуют. Однако существует параметр, позволяющий удалять возможность добавления паролей в документы и, таким образом, отключать шифрование документов. Дополнительные сведения см. в разделе Параметры криптографии и шифрования далее в этой статье.
Сохранение документов в надежных расположениях не оказывает влияния на параметры шифрования. Если документ зашифрован и сохранен в надежном расположении, открытие документа возможно только при указании пароля.
Содержание:
Криптография и шифрование в Office 2010
Параметры криптографии и шифрования
Совместимость с предыдущими версиями Office
Криптография и шифрование в Office 2010
Доступные в Office алгоритмы шифрования зависят от алгоритмов, доступ к которым можно получить через интерфейсы API в операционной системе Windows. Office 2010, помимо поддержки Cryptography API (CryptoAPI), также поддерживает интерфейс CNG (CryptoAPI: Next Generation), который впервые стал доступен в Выпуск 2007 системы Microsoft Office с пакетом обновления 2 (SP2).
CNG обеспечивает более динамичное шифрование. При этом можно указать различные алгоритмы шифрования и хэширования, которые поддерживаются на главном компьютере, для шифрования документа. CNG также расширяет возможности шифрования и позволяет использовать модули сторонних производителей.
Если Office использует CryptoAPI, алгоритмы шифрования зависят от алгоритмов, доступных в поставщике службы криптографии (CSP), который входит в операционную систему Windows. В следующем разделе реестра содержится список поставщиков службы криптографии, установленных на компьютере:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
В Office 2010 и Выпуск 2007 системы Office с пакетом обновления 2 (SP2) можно использовать следующие алгоритмы шифрования CNG и другие криптографические расширения CNG, установленные в системе:
AES, DES, DESX, 3DES, 3DES_112 и RC2
В Office 2010 и Выпуск 2007 системы Office с пакетом обновления 2 (SP2) можно использовать следующие алгоритмы хэширования CNG и другие криптографические расширения CNG:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 и SHA512
Хотя в Office 2010 есть параметры для изменения способа шифрования, при шифровании документов в формате Open XML (DOCX, XSLX, PPTX и т. д.) значения по умолчанию — алгоритм AES, 128-разрядный ключ, SHA1 и CBC — обеспечивают стойкое шифрование и подходят для большинства организаций. Алгоритм AES — это самый стойкий алгоритм шифрования в отрасли, который был выбран Агентством национальной безопасности (NSA) в качестве стандарта для правительства США. Алгоритм AES поддерживается в операционных системах Windows XP с пакетом обновления 2 (SP2), Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008.
Параметры криптографии и шифрования
В следующей таблице перечислены параметры, которые позволяют изменить алгоритмы шифрования при использовании версий Microsoft Office, применяющих CryptoAPI. В их число входят версии Office до Office 2010.
| Параметр | Описание |
|---|---|
Тип шифрования для защищенных паролем файлов Office Open XML |
Этот параметр позволяет указать тип шифрования файлов Open XML от доступных поставщиков служб криптографии (CSP). Он требуется при применении пользовательской COM-надстройки шифрования. Дополнительные сведения см. в руководстве разработчиков шифрования для Office 2007, которое доступно в пакете SDK SharePoint Server 2007 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=107614&clcid=0x419) (Возможно, на английском языке). Этот параметр также необходим при использовании Выпуск 2007 системы Office с пакетом обновления 1 (SP1) или версии пакета совместимости, которая старее пакета совместимости Microsoft Office для форматов файлов Word, Excel и PowerPoint (https://go.microsoft.com/fwlink/?linkid=78517&clcid=0x419), и если требуется изменить алгоритм шифрования на вариант, отличный от алгоритма по умолчанию. |
Тип шифрования для защищенных паролем файлов Office 97-2003 |
Этот параметр позволяет указать тип шифрования двоичных файлов Office 97–2003 от доступных поставщиков служб криптографии (CSP). При этом поддерживается только один алгоритм шифрования — RC4, который, как сказано выше, не рекомендуется использовать. |
В Office 2010, если требуется изменить параметр Тип шифрования для защищенных паролем файлов Office Open XML, сначала следует включить параметр Задать совместимость шифрования и выбрать параметр Использовать формат прежних версий. Параметр Задать совместимость шифрования доступен в Access 2010, Excel 2010, PowerPoint 2010 и Word 2010.
В следующей таблице перечислены параметры, которые позволяют изменить алгоритмы шифрования при использовании Office 2010. Эти параметры применяются к Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 и Word 2010.
Примечание
Все следующие параметры, кроме Задать параметры для контекста CNG и Задать алгоритм генерации случайных чисел CNG, применимы даже при использовании поддерживаемой операционной системы для Office 2010, такой как Windows XP с пакетом обновления 3 (SP3), которая не поддерживает CNG. В этом случае Office 2010 использует CryptoAPI вместо CNG. Эти параметры применяются только при использовании Office 2010 для шифрования файлов Open XML.
| Параметр | Описание |
|---|---|
Задать алгоритм шифрования CNG |
Этот параметр позволяет настроить используемый алгоритм шифрования CNG. Значение по умолчанию: AES. |
Настройка режима цепочки шифрования CNG |
Этот параметр позволяет настроить используемый режим цепочки. По умолчанию используется Cipher Block Chaining (CBC). |
Задать длину ключа шифрования CNG |
Этот параметр позволяет настроить количество разрядов, используемых при создании ключа шифрования. Значение по умолчанию: 128 разрядов. |
Задать совместимость шифрования |
Этот параметр позволяет задать формат совместимости. Значение по умолчанию: Использовать формат следующего поколения. |
Задать параметры для контекста CNG |
Этот параметр позволяет задать параметры шифрования, которые будут использоваться для контекста CNG. Для применения этого параметра сначала нужно создать контекст CNG с помощью CryptoAPI: Next Generation (CNG). Дополнительные сведения см. в статье, посвященной функциям настройки криптографии CNG (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=192996&clcid=0x419) (Возможно, на английском языке). |
Задать алгоритм хэширования CNG |
Этот параметр позволяет указать используемый алгоритм хэширования. Значение по умолчанию: SHA1. |
Задать число смен хэша пароля CNG |
Этот параметр позволяет задать количество смен (повторного хэширования) средства проверки пароля. Значение по умолчанию: 100000. |
Задать алгоритм генерации случайных чисел CNG |
Этот параметр позволяет настроить генератор случайных чисел CNG. По умолчанию используется RNG (Random Number Generator). |
Задать длину соли CNG |
Этот параметр позволяет указать используемое количество байт соли. Значение по умолчанию: 16. |
Помимо параметров CNG, указанных в предыдущей таблице, для Excel 2010, PowerPoint 2010 и Word 2010 можно настроить параметры CNG, перечисленные в следующей таблице.
| Параметр | Описание |
|---|---|
Использовать новый ключ при смене пароля |
Этот параметр позволяет указать, следует ли использовать новый ключ шифрования при изменении пароля. По умолчанию при изменении пароля новый ключ не используется. |
Параметр, указанный в следующей таблице, можно использовать, чтобы запретить добавлять пароли в документы и, тем самым, отключить шифрование документов.
| Параметр | Описание |
|---|---|
Отключить пароль для открытия пользовательского интерфейса |
Этот параметр управляет тем, могут ли пользователи Office 2010 добавлять пароли в документы. По умолчанию пользователи могут добавлять пароли. |
Примечание
Сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в разделе Настройка безопасности Office 2010.
Совместимость с предыдущими версиями Office
Если требуется зашифровать документы Office, рекомендуется сохранить их в формате Open XML (DOCX, XLSX, PPTX и т. д.) вместо формата Office 97–2003 (DOC, XLS, PPT и т. д.). При шифровании двоичных документов (DOC, XLS, PPT) используется алгоритм RC4, что не рекомендуется, как описано в разделах 4.3.2 и 4.3.3 спецификации структуры криптографии документов Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=192287\&clcid=0x419) (Возможно, на английском языке). Документы, которые сохранены в старых двоичных форматах Office, можно шифровать только с помощью RC4 для обеспечения совместимости со старыми версиями Microsoft Office. AES, стандартный и рекомендуемый алгоритм шифрования, используется для шифрования файлов в формате Open XML.
Office 2010 и Выпуск 2007 системы Office позволяют сохранять документы в формате Open XML. Кроме того, если используется Microsoft Office XP или Office 2003, можно применить пакет совместимости для сохранения документов в формате Open XML.
Документы, которые сохранены в формате Open XML и зашифрованы с помощью Office 2010, доступны для чтения только с использованием Office 2010, Office 2007 с пакетом обновления 2 (SP2), а также Office 2003 с установленным пакетом совместимости Office 2007 с пакетом обновления 2 (SP2). Чтобы обеспечить совместимость со всеми предыдущими версиями Office, можно создать в разделе HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ параметр реестра CompatMode (если он еще не существует) и отключить его, задав значение 0. Значение параметра <application> представляет конкретное приложение Office, для которого настраивается этот параметр реестра. Например, можно ввести значение Access, Excel, PowerPoint или Word. Важно осознавать, что в случае присвоения параметру CompatMode значения 0 в Office 2010 используется совместимый с Office 2007 формат шифрования вместо расширенного режима безопасности, который доступен по умолчанию для шифрования файлов в формате Open XML в Office 2010. При настройке этого параметра в целях обеспечения безопасности рекомендуется также использовать сторонние модули шифрования, обеспечивающие дополнительную защиту, например, с применением алгоритма AES.
Кроме того, если в организации используется пакет обеспечения совместимости форматов файлов Word, Excel и PowerPoint для шифрования файлов форматов Open XML, необходимо проверить следующие сведения:
По умолчанию в пакете обеспечения совместимости используются следующие параметры для шифрования файлов параметров Open XML:
Поставщик служб шифрования Microsoft Enhanced RSA и AES (прототип),AES 128,128 (в операционной системе Windows XP Professional).
Поставщик служб шифрования Microsoft Enhanced RSA и AES,AES 128,128 (в операционной системе Windows Server 2003 и Windows Vista).
Пользователей не предупреждают, что в пакете обеспечения совместимости используются данные параметры.
В случае установки пакета обеспечения совместимости графический интерфейс пользователя в более ранних версиях системы Office может показывать неверные параметры шифрования для файлов форматов Open XML.
Нельзя использовать графический интерфейс пользователя в более ранних версиях системы Office для изменения параметров шифрования в файлах форматов Open XML.
Примечание
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки файлов административных шаблонов Office 2010 (ADM, ADMX, ADML) и центра развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).