规划 Office 2010 的加密技术和加密设置
适用于: Office 2010
上一次修改主题: 2016-11-29
Microsoft Office 2010 包含的设置允许您在使用 Microsoft Access 2010、Microsoft Excel 2010、Microsoft OneNote 2010、Microsoft PowerPoint 2010、Microsoft Project 2010 和 Microsoft Word 2010 时控制加密数据的方式。本文讨论了 Office 2010 中的加密技术和加密过程,描述了您可以用于加密数据的设置,提供了有关与 Microsoft Office 早期版本的兼容性的信息。有关 Microsoft Outlook 2010 的信息,请参阅规划 Outlook 2010 中的电子邮件加密。
在您规划加密设置时,请考虑以下指导信息:
我们建议您不要 更改默认加密设置,除非您所在组织的安全模型需要不同于默认设置的加密设置。
我们建议您强制实施密码长度和复杂性要求,以帮助确保在加密数据时使用强密码,有关详细信息,请参阅2007 Office system 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具更新。
我们建议您不要 使用 RC4 加密。有关详细信息,请参阅本文后面的与 Office 早期版本的兼容性。
不存在强制用户加密文档的管理设置。但有一项管理设置允许您去除向文档添加密码的功能,这样可以禁止文档加密。有关详细信息,请参阅本文后面的加密技术和加密设置。
在受信任位置保存文档不会影响加密设置。如果文档被加密且保存在受信任位置,用户必须提供一个密码才能打开文档。
本文内容:
关于 Office 2010 中的加密技术和加密
加密技术和加密设置
与 Office 早期版本的兼容性
关于 Office 2010 中的加密技术和加密
Office 可用的加密算法取决于可通过 Windows 操作系统中的 API(应用程序编程接口)访问的算法。Office 2010 除了继续支持加密 API (CryptoAPI) 之外,还支持通过 Service Pack 2 (SP2) 最先在 2007 Microsoft Office system 中提供的 CNG(CryptoAPI:下一代加密技术)。
CNG 可实现更灵活的加密,这时,可指定主机上支持的不同加密和哈希算法以便在文档加密过程中使用。CNG 还可以实现更高的扩展性加密,在此情况下,可使用第三方加密模块。
当 Office 使用 CryptoAPI 时,加密算法取决于 CSP(加密服务提供程序)中可用的那些加密算法,CSP 是 Windows 操作系统的一部分。以下注册表项包含了计算机上安装的 CSP 的列表:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
以下 CNG 加密算法或系统上安装的任何其他 CNG 加密程序扩展可用于 Office 2010 或 2007 Office system SP2:
AES、DES、DESX、3DES、3DES_112 和 RC2
以下 CNG 哈希算法或系统上安装的任何其他 CNG 加密程序扩展可用于 Office 2010 或 2007 Office system SP2:
MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384 和 SHA512
尽管在您加密 Open XML 格式文件(.docx, .xslx, .pptx 等)时可使用 Office 2010 设置去更改执行加密的方式,默认值 — AES(高级加密标准)、128 位密钥长度、SHA1 和 CBC(加密块链接)— 提供了强加密,应该适用于大多数组织。AES 加密是可用的业界最强标准算法,并由美国国家安全局 (NSA) 选择用作美国政府的标准。Windows XP SP2、Windows Vista、Windows 7、Windows Server 2003 和 Windows Server 2008 均支持 AES 加密。
加密技术和加密设置
下表列出了在您使用访问 CryptoAPI 的 Microsoft Office 版本时可用于更改加密算法的设置。其中包括从 Office 各个早期版本直到 Office 2010。
| 设置 | 说明 |
|---|---|
密码保护的 Office Open XML 文件的加密类型 |
此设置允许您在可用的加密服务提供程序 (CSP) 中为 Open XML 文件指定加密类型。在您使用自定义 COM 加密加载项时,此设置是必需的。有关详细信息,请参阅“2007 Office system 加密开发人员指南”,访问地址是 SharePoint Server 2007 SDK (https://go.microsoft.com/fwlink/?linkid=107614&clcid=0x804)。如果您使用 2007 Office system SP1 或使用早于 用于 Word、Excel 和 PowerPoint 文件格式的 Microsoft Office 兼容包 (https://go.microsoft.com/fwlink/?linkid=78517&clcid=0x804) 的某个兼容包版本,并且您需要将加密算法更改为除了默认算法之外的算法,此设置也是必需的。 |
受密码保护的 Office 97-2003 文件的加密类型 |
此设置允许您在可用的加密服务提供程序 (CSP) 中为 Office 97–2003(二进制)文件指定加密类型。在您使用此设置时唯一支持的加密算法是 RC4,如前所述,我们不建议使用此算法。 |
在 Office 2010 中,如果您必须更改“受密码保护的 Office Open XML 文件的加密类型”设置,必须先启用“指定加密兼容性”设置,然后选择“使用旧式格式”选项。“指定加密兼容性”设置可用于 Access 2010、Excel 2010、PowerPoint 2010 和 Word 2010。
下表列出了在您使用 Office 2010 时可用于更改加密算法的设置。这些设置适用于 Access 2010、Excel 2010、OneNote 2010、PowerPoint 2010、Project 2010 和 Word 2010。
备注
下列所有设置(除了“设置 CNG 上下文的参数”和“指定 CNG 随机数字生成器算法”设置)都适用,即使您使用的是 Office 2010 的支持操作系统,如 Windows XP SP3,它不包括 CNG 支持。如果是这种情况,Office 2010 使用 CryptoAPI 而不是 CNG。这些设置仅在您将 Office 2010 用于 Open XML 文件加密时才适用。
| 设置 | 说明 |
|---|---|
设置 CNG 加密算法 |
此设置允许您配置使用的 CNG 加密算法。默认值为 AES。 |
配置 CNG 加密链接模式 |
此设置允许您配置使用的加密链接模式。默认值为“加密块链接 (CBC)”。 |
设置 CNG 加密密钥长度 |
此设置允许您配置创建加密密钥时使用的位数。默认值为 128 位。 |
指定加密兼容性 |
此设置允许您指定兼容模式。默认值为“使用下一代格式”。 |
设置 CNG 上下文的参数 |
此设置允许您指定应该用于 CNG 上下文的加密参数。若要使用此设置,首先必须使用 CryptoAPI:下一代加密技术 (CNG) 创建 CNG 上下文。有关详细信息,请参阅 CNG 加密配置功能(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=192996&clcid=0x804)(该链接可能指向英文页面)。 |
指定 CNG 哈希算法 |
此设置允许您指定使用的哈希算法。默认值为 SHA1。 |
设置 CNG 密码调节计数 |
此设置允许您指定调节(刷新)密码验证程序的次数。默认值为 100000。 |
指定 CNG 随机数字生成器算法 |
此设置允许您配置要使用的 CNG 随机数字生成器。默认值为 RNG(随机数字生成器)。 |
指定 CNG salt 长度 |
此设置允许您指定应该使用的 salt 的字节数。默认值为 16。 |
除了上表中列出的 CNG 设置,可为 Excel 2010、PowerPoint 2010 和 Word 2010 配置下表中的 CNG 设置。
| 设置 | 说明 |
|---|---|
更改密码时使用新密钥 |
此设置允许您指定更改密码时是否使用新加密密钥。默认设置为密码更改时不使用新密钥。 |
您可以使用下表中列出的设置来去除向文档添加密码的功能,这样可以禁止文档加密。
| 设置 | 说明 |
|---|---|
禁用打开用户界面的密码 |
此设置控制 Office 2010 用户是否可向文档添加密码。默认情况下,用户可以添加密码。 |
备注
有关如何在 Office 自定义工具 (OCT) 和 Office 2010 管理模板中配置安全设置的信息,请参阅为 Office 2010 配置安全性。
与 Office 早期版本的兼容性
如果您需要加密 Office 文档,我们建议您将文档另存为 Open XML 格式文件(.docx, .xlsx, .pptx 等),而不是 Office 97–2003 格式(.doc, .xls, .ppt 等)。二进制文档(.doc, .xls, .ppt)的加密使用 RC4。如 Office 文档加密结构规范(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=192287\&clcid=0x804)(该链接可能指向英文页面) 的“安全性注意事项”4.3.2 和 4.3.3 节所述,不建议使用此算法。使用早期的 Office 二进制格式保存的文档只能使用 RC4 加密,以保持与 Microsoft Office 早期版本的兼容性。默认的推荐加密算法 AES 用于加密 Open XML 格式文件。
Office 2010 和 2007 Office system 允许您将文档另存为 Open XML 格式文件。此外,如果您有 Microsoft Office XP 或 Office 2003,可以使用兼容包将文档另存为 Open XML 格式文件。
保存为 Open XML 格式文件和使用 Office 2010 加密的文档只能由 Office 2010、Office 2007 SP2 和具有 Office 2007 SP2 兼容包的 Office 2003 读取。若要确保与所有早期版本 Office 兼容,您可以在 HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ 下创建一个名为 CompatMode 的注册表项(如果该项尚不存在),并通过将其设置为 0 将其禁用。您可以输入的 <application> 值代表要为其配置此注册表项的特定 Office 应用程序。例如,您可以输入 Access、Excel、PowerPoint 或 Word。必须意识到,如果将 CompatMode 设置为 0,Office 2010 将使用 Office 2007 兼容加密格式,而不是当您使用 Office 2010 加密 Open XML 格式文件时默认提供的增强安全性。如果出于兼容性原因必须配置此设置,建议您同时使用允许增强安全性的第三方加密模块(如 AES 加密)。
如果您的组织使用用于 Word、Excel 和 PowerPoint 文件格式的 Microsoft Office 兼容包来加密 Open XML 格式文件,您应查看以下信息:
默认情况下,兼容包使用以下设置加密 Open XML 格式文件:
“Microsoft 增强 RSA 和 AES 加密提供程序 (原型),AES 128,128 位”(Windows XP Professional 操作系统上)。
“Microsoft 增强 RSA 和 AES 加密提供程序,AES 128,128 位”(Windows Server 2003 和 Windows Vista 操作系统上)。
用户不会被告知兼容包使用这些加密设置。
如果安装了兼容包,则 Office 早期版本上的图形用户界面可能为 Open XML 格式文件显示错误的加密设置。
用户不能在 Office 早期版本中使用图形用户界面来更改 Open XML 格式文件的加密设置。
备注
有关策略设置的最新信息,请参考 Microsoft Excel 2010 工作簿 Office2010GroupPolicyAndOCTSettings_Reference.xls,可从 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的“此下载中的文件”部分获得该工作簿。
See Also
Concepts
Office 2010 安全概述
为 Office 2010 配置安全性
Other Resources
Office 文档加密结构规范(该链接可能指向英文页面)
TechNet 上的 Office 2010 安全资源中心(该链接可能指向英文页面)