在 Office 2016 中删除或重置文件密码

  • 项目

摘要: 说明如何使用 Office 2016 DocRecrypt 工具解锁受密码保护的 OOXML 格式的 Word、Excel 和 PowerPoint 文件。

使用组策略推送注册表更改,这些更改可将证书与受密码保护的文档关联起来。 此证书信息嵌入在文件标题中。 如果忘记或丢失密码,请使用 DocRecrypt 命令行工具和私钥解锁文件并(可选)指定新密码。

注意

  • 如果需要 Office 2016 个人副本中的密码信息,请参阅 使用密码保护文档保护 Excel 文件
  • 如果你是 IT 专业人员,希望删除或重置组织中 Office 2016 文件中的密码,例如,如果某个员工离开了组织,而你不知道密码,则你位于正确的位置,因此请继续阅读。 |

概述:使用 DocRecrypt 工具删除或重置 Office 2016 中的密码

用户可能希望或必须对Word、Excel 或 PowerPoint 文档进行密码保护的原因有很多。 例如:

  • 即时组织中的多个人员想要处理组预算,但不希望这些数字在完成之前对更大的组织可见。

  • 顾问在服务等级协议下与客户合作,但客户要求其敏感数据在脱离自己控制时仍处于受保护状态。

  • 教师希望确保不会泄露在 Word 中创建的测试。

  • 媒体专业人士和科学家在向各自领域的关键研究人员做演讲时,希望确保他们的突破不会在重大公告之前泄露给公众。

以前,如果文件密码的原始创建者忘记了密码或者离开了组织,则文件将无法恢复。 IT 管理员可以使用 Office 2016 和托管密钥为用户解锁文件。 此密钥来自公司或组织的私钥证书存储。 解锁后,管理员可以删除密码保护或为文件设置新密码。 你(IT 管理员)是托管密钥的保管人,该密钥是从公司或组织的私钥证书存储生成的。 您可以通过注册表项设置一次性将公钥信息静默推送到客户端计算机,注册表项设置可以手动创建,也可以通过组策略脚本创建。 用户稍后创建受密码保护的 Word、Excel 或 PowerPoint 文件时,此公钥会包含在文件标题中。 IT 专业人员可以使用 Office DocRecrypt 工具删除附加到文件的密码,然后选择使用新密码保护文件。 IT 专业人员必须具备以下 所有 条件才能删除密码:

  • 新的 Office DocRecrypt 工具

  • 具有嵌入式公钥的 Word、Excel 或 PowerPoint 文件

  • 访问与证书关联的公钥和密钥的权限

保护私钥的安全

此功能无法控制处理和分发私钥的公司流程。 它也不会定义密钥的存储位置、密码重置请求所需的权限或还原后文件的位置。 组织的标准和流程应指导这些决策

若要在受密码保护的文件上保持高级别的安全性,建议采用以下策略:

  • 永远不要将私钥推送到客户端计算机! 此建议是最重要的。

  • 锁定包含私钥以及用于生成托管密钥和公钥的证书的证书存储。

  • 确保没有人可以损害公钥基础结构 (PKI) 服务。 我们还建议您对组织内的不同用户分配证书管理角色。

如果不一致地遵循这些建议,可能会危及所有受密码保护的新文件的安全性。 贵公司或组织应该已经具备清晰的 Active Directory 证书服务 (AD CS) 管理模型和证书颁发机构 (CA) 基础结构战略,其中包含私钥和证书的场外存储。 有关详细信息,请参阅实现基于角色的管理

注意

用于 DocRecrypt 的证书可以是用于具有预期目的的用户身份验证的常规用户证书。 该证书的主要目的是能够对文档进行加密。

如何找到正确的证书?

由于许多私钥证书可能位于 IT 计算机上,因此想知道如何发现正确的证书是公平的。 在证书管理器 (certmgr.msc) 中,Office 2016 DocRecrypt 工具首先搜索逻辑存储,然后搜索当前用户存储。 在上述每个存储区中,该工具首先搜索不需要 Windows 系统强制 PIN 的证书。 然后,它会搜索需要证书的证书。

特殊考虑事项

仅 Open Office XML 文件Office DocRecrypt 工具仅对 Office Open XML 格式的文档有效,如 docx、pptx 和 xlsx 文件。

之前加密的文件Office DocRecrypt 工具不能用于恢复在部署证书和托管密钥之前已受密码保护的文件。 部署证书和托管密钥后,用户可以打开以前受保护的 Office 2016 文件并保存该文件。 此操作会将托管密钥添加到文件。 从此,你可以使用 Office DocRecrypt 工具删除或重置文件的密码。

保护Word、Excel 和 PowerPoint 文件的其他方法 有关保护Word、Excel 和 PowerPoint 文件的其他方法,请参阅在文档、工作簿或演示文稿中添加或删除保护

用户可以独立应用其中任何保护方法。 如果 IT 管理员删除了密码,则所有其他保护设置将保留到位。 删除密码不会影响这些其他设置。

有一些因素可能会影响删除文件密码的能力。 有关详细信息和建议,请参阅下表。

删除文件密码时的注意事项

问题 建议
文件标记为只读或隐藏。
Office DocRecrypt 工具不适用于标记为只读或隐藏的文件。 但是,您可以删除设置,解密文件,然后在搜索之后将其设置回只读或隐藏。
文件存储在多个位置。
Office DocRecrypt 工具仅删除您引用的特定文件实例的密码保护。 但是,您还应该删除 RAID 上引用的文件的密码保护或其他硬盘配置。
文件位于共享工作簿中。
Office DocRecrypt 工具不适用于包含嵌入文件的共同创作文件。
文件已进行数字签名。
从数字签名文件中删除密码保护,不会损害该数字签名的有效性。
文件名以连字符 ("-") 开头。
如果您想使用 Office DocRecrypt 工具搜索的文件的名称中包含连字符,请将文件名放在引号内。
请求者没有打开该文件的权限。
IT 管理员检查要求解密文件的人员是否有权在密码被删除或更改后访问其内容。 同样,如果受密码保护的文件具有相关联的访问控制列表,解密过程将删除此关联。 稍后您必须恢复原样。
文件或目标位置为只读。
确保受密码保护的文件和目标位置为读/写。
证书已被吊销或已过期。
您的 IT 部门必须确保您的私钥证书为有效且最新的状态。 此外,Office DocRecrypt 工具不会检查私钥证书吊销状态。
受密码保护的文件位于云。
要对它进行解密,必须将文件复制到硬盘或读/写的 UNC 共享。

设置客户端计算机以删除密码保护

要使 IT 部门可以删除受密码保护的 Word、PowerPoint 或 Excel 文件的密码,当您将 Office 2016 部署到组织时,您必须先推送证书公钥,并在客户端计算机上执行某些注册表操作。 有两种方法可以实现此目的:

  • 通过组策略管理模板,这是多台或企业客户端计算机的最佳选择,或者

  • 通过手动更改客户端计算机的注册表,这是单台计算机或少量客户端计算机的最佳选择。

使用组策略对象将多台客户端计算机设置为进行密码保护

  1. Microsoft 下载中心 (ADMX/ADML) 文件下载组策略管理模板。

  2. 在本地组策略编辑器中打开模板,浏览到托管密钥设置。 打开 用户配置 分支,然后依次选择 管理模板Microsoft Office 2016安全设置托管证书

    具有 20 个托管密钥可供配置,每个密钥命名为托管密钥 #n。

  3. 选择一个托管密钥,然后从快捷菜单(右键单击)中选择"编辑"以配置托管密钥。

    此时将显示"托管密钥 #n"对话框。

  4. 要设置并启用此密钥,请选择"已启用"按钮。 如果您想稍后禁用此密钥,请返回到"托管密钥 #n"对话框并选择"已禁用"按钮。

  5. 在“ 证书哈希 ”框中,输入用作证书唯一标识符的证书哈希,也称为“指纹”。例如,如果证书指纹为 9131517191121d94d143117fc126213c1781d21c,请将证书哈希值设置为该数字。 如果您希望让此哈希可读性更好,可包含空格。

  6. 如果需要,请输入注释以提供有关此特定证书的更多详细信息。 这是可选项。

  7. 选择“确定”。

使用新的注册表设置来设置单台客户端计算机进行密码保护

为了能够删除 Word、PowerPoint 或 Excel 文件的密码,您必须创建一个注册表项,指明您想用于对文件进行密码保护的公钥证书。

注意

有关如何创建注册表项的具体说明,请参阅注册表编辑器 (regedit.exe)"帮助"菜单中的"帮助"。

  • 在注册表编辑器中,在客户端计算机注册表中创建一个注册表项,注册表路径如下:

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts

    此新的注册表项可手动创建,也可通过 .reg 批处理文件创建。 要使用 regedit.exe 创建 .reg 文件,请参阅创建 .reg 文件

    在客户端计算机注册表中创建注册表项

注册表元素 说明
注册表项名称
 这必须是 EscrowCerts。
数据类型
 注册表项

Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\

  • 在您在步骤 1 创建的新注册表项中,如下表所示添加公钥证书信息。 为您希望将其用于为文件提供密码保护的每个公钥证书创建一个注册表项。

    添加公钥证书信息

注册表元素 说明
注册表项名称
 用于描述公钥证书的唯一用户自定义名称。 例如,EscrowCert01、EscrowCert02,依次类推。
类型
 STRING

用作证书唯一标识符的哈希,在"Windows 证书"对话框中也称为"哈希"。 例如,如果您证书指纹是 9131517191121d94d143117fc126213c1781d21c,则将此值设置为此数字。 如果您希望让此哈希可读性更好,可包含空格。

  • 注册表项就绪后,将证书推送到客户端计算机。 公钥证书应存储在 Windows 证书管理器 (certmgr.msc) 的证书 - 当前用户或逻辑、个人存储中。 有关通过组策略将公钥证书推送到客户端计算机的详细信息,请参阅通过组策略将证书分发到客户端计算机

    重要

    IT 管理员必须确保用于此过程的证书有效且尚未过期。

当用户决定对在 Office 2016Word、PowerPoint 或 Excel 中创建的文件进行密码保护时,相应的公钥信息将保存在文件标题中。 稍后管理员可以使用此公钥和匹配的私钥来删除密码保护(如果需要)。

设置具备注册表项和 DocRecrypt 工具的 IT 管理员计算机

IT 管理员计算机不必在注册表中具有密钥和子项,也不必具有公钥证书的副本。 但是,IT 管理员计算机需满足以下条件:

  • 匹配的私钥/证书对

  • Office DocRecrypt 工具

设置具备注册表项和 DocRecrypt 工具的 IT 计算机

  1. 使用证书导入向导来导入与 Windows 证书管理器中的证书匹配的私钥。

  2. 下载并安装 Office DocRecrypt 工具。 此工具位于 Microsoft 下载中心

  • 在 64 位计算机上安装 Office DocRecrypt 工具时,它会安装在以下位置:

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT

  • 在 32 位计算机上安装 Office DocRecrypt 工具时,它会安装在以下位置:

    • %programfiles%\Microsoft Office\DOCRECRYPT

就是这样。 所有部分都已准备就绪,你可以在下次用户要求你执行此操作时删除Word、Excel 或 PowerPoint 文件的密码。

使用 Office DocRecrypt 工具

使用安装在 IT 管理员计算机上的 DocRecrypt 工具删除文件密码并指定一个新密码。

使用 DocRecrypt 工具

按照以下说明从命令行使用 DocRecrypt 工具。 您也可以从批处理文件或脚本静默运行 DocRecrypt 命令。

  • 使用以下语法导航到 Office DocRecrypt 工具命令行并将其打开:

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    DocRecrypt 工具选项如下表所述。

    DocRecrypt 工具选项

参数 说明
-p <new_password>
(可选) 这是分配给输入文件的新密码,如果提供了输出文件名,则为输出文件。
-i <inputfile_or_folder>
这是包含由于密码未知而锁定的文件的文件或文件夹。 如果指定文件夹,Office DocRecrypt 工具将忽略任何不是 Office Open XML 格式的文件。
-o <outputfile_or_folder>
(可选)这是新输出文件或包含从输入文件创建的文件的文件夹的名称。 同样,将忽略非 Office Open XML 格式的任何文件。
-q
 (可选)指明您希望在安静模式下运行 Office DocRecrypt 工具,通常是在脚本中。 静默模式不显示 UI,如果证书要求 IT 管理员输入 PIN,它将失败。 如果证书需要 PIN,请不要使用静默模式。

例如:

若要从文件中删除密码,请使用以下代码:

DocRecrypt -i lockedfile

若要删除密码并指定新密码 12345,请使用以下代码:

DocRecrypt -p 12345 -i lockedfile

若要删除密码,创建新文件并向该文件指定新密码 12345,请使用以下代码:

DocRecrypt -p 12345 -i lockedfile -o newfile

使用 Office 2016 对文件进行密码保护后,不会删除密码。

Office 2010 和 2007 文件

使用 Office DocRecrypt 工具(单独使用或者通过组策略使用)对组织中的客户端计算机进行配置后,未来的所有 Word 2016、Excel 2016 或 PowerPoint 2016 文件(docx、xlsx 和 pptx 文件),以及用户在 Office 2016 中编辑且所有受密码保护的现有 Office Word 2007、Word 2010、Office Excel 2007、Excel 2010、Office PowerPoint 2007 或 PowerPoint 2010 文件都可以通过 DocRecrypt 工具解锁或进行密码重置。 将托管密钥添加到受密码保护的文件中时,即使该密钥已在 Office 2007 或 Office 2010 中进行了编辑,也可以进行解锁或重置。