在 Office 2013 中移除或重設檔案密碼
適用版本: Office 2013, Office 365 ProPlus
上次修改主題的時間: 2016-12-16
摘要: 說明如何使用 Office 2013 DocRecrypt 工具來解除鎖定有密碼保護的 OOXML 格式 Word、Excel 和 PowerPoint 檔案。
對象: IT 專業人員
使用群組原則來推播使憑證與密碼保護文件產生關聯的登錄變更。這項憑證資訊內嵌在檔案標頭中。之後,如果忘記或遺失密碼,請使用 DocRecrypt 命令列工具和私密金鑰將檔案解除鎖定,並甚至指派新的密碼。
|
如果您想要 Office 2013 個人複本中密碼的相關資訊,請改為參閱<使用密碼及權限保護文件>。 如需其他範例,請參閱<移除文件中的密碼>。 |
|
如果您是 IT 專業人員,並且想要移除或重設組織內 Office 2013 檔案的密碼 (例如,如果員工離開組織,而且您不知道密碼),則表示您閱讀的是正確的文章,請繼續閱讀。 |
.jpg "您是否為使用者?")
.jpg "您是否為管理員?")
.gif "重要事項") 重要事項: |
|---|
| 本文為適用於 IT 專業人員的<Office 2013 身分識別、驗證及授權的藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 身分識別之文章、下載檔、海報及影片的起點。 |
本文內容
概觀
設定用戶端電腦
設定 IT 管理電腦
使用 Office DocRecrypt 工具
Office 2010 和 2007 檔案
概觀:使用 DocRecrypt 工具在 Office 2013 中移除或重設檔案密碼
使用者想要或必須用密碼保護 Word、Excel 或 PowerPoint 文件的原因有很多。例如:
部門中有多人需要處理群組預算,但是在完成之前,不想讓整個公司看到那些數字。
顧問所服務的客戶透過了服務層級協議,要求自己的機密資訊在脫離受自己控制的環境時仍受到保護。
老師想要確保自己用 Word 製作的試卷不會外流。
媒體專業人員,以及向本身領域的重要研究者進行簡報的科學家,想要確保其重大發現在正式公布之前不會外洩。
在過去,如果檔案密碼的原始建立者忘記密碼或離開組織,檔案就會以無法解開的狀態留著。IT 管理員可以使用 Office 2013 和委付金鑰 (從貴公司或組織的私密金鑰憑證存放區產生),幫使用者將檔案「解除鎖定」,然後讓檔案沒有密碼保護地留著,或者指派新的密碼給檔案。您 (IT 管理員) 負責保管從貴公司或組織的私密金鑰憑證存放區產生的委付金鑰。您可以透過登錄機碼設定 (可手動或透過群組原則指令碼來建立),以無訊息方式將公開金鑰資訊推送到用戶端電腦一次。當使用者日後建立有密碼保護的 Office 2013Word、Excel 或 PowerPoint 檔案時,此公開金鑰便會加到檔案標頭中。之後,IT 專業人員就可以使用 Office DocRecrypt 工具來移除檔案的附加密碼,甚至再使用新密碼來保護檔案。若要執行這項動作,IT 專業人員必須具有下列所有項目:
新的 Office DocRecrypt 工具
內嵌了公開金鑰的 Word、Excel 或 PowerPoint 檔案
對憑證相關公開與私密金鑰的權限和存取權
保護私密金鑰的安全
此功能不會預先規定用來管理和散發私密金鑰的公司程序、該金鑰的儲存位置、在要求破解或重設密碼時所需的任何權限和授權,或檔案還原位置。這些決策應該以貴組織的標準和程序為依歸。
不過,為了讓密碼保護檔案保有高度安全性,建議貴組織採取下列原則:
絕不將私密金鑰推送到用戶端電腦!這是最重要的建議。
將含有私密金鑰和當初用來產生委付金鑰與公開金鑰的憑證的憑證存放區上鎖。
確定沒有任何一個人可以入侵公開金鑰基礎結構 (PKI) 服務。同時建議您將憑證管理角色分散給組織中的不同人。
如果您未貫徹這些建議,所有新的密碼保護檔案都可能受害。貴公司或組織應該要已定義出一套完善的 Active Directory 憑證服務 (AD CS) 管理模型和憑證授權單位 (CA) 基礎結構策略,例如將私密金鑰和憑證儲存在異地。如需詳細資訊,請參閱<實作角色型管理>。
.gif "注意事項") 附註: |
|---|
| DocRecrypt 所用的憑證可以是以「使用者驗證」為預定用途的一般使用者憑證。該憑證的主要目標是要能夠加密文件。 |
如何找到正確的憑證?
因為一台 IT 電腦上可以有許多私密金鑰憑證,所以想知道如何才能找到正確憑證是正常的。在憑證管理員 (certmgr.msc) 中,Office 2013 DocRecrypt 工具會先搜尋 [邏輯] 存放區,然後再搜尋 [目前使用者] 存放區。在這每個存放區中,此工具會先在不需要 Windows 系統強制執行 PIN 的憑證當中搜尋。然後才會在需要 Windows 系統強制執行 PIN 的憑證當中搜尋。
特殊考量
僅限 Open Office XML 檔案 Office DocRecrypt 工具只能處理 OfficeOpen XML 格式文件,例如 docx、pptx 和 xlsx 檔案。
先前加密的檔案Office DocRecrypt 工具無法解開在您部署憑證與委付金鑰之前就已受密碼保護的檔案。不過,如果在您部署憑證與委付金鑰之後,使用者在 Office 2013 中開啟先前保護的檔案再儲存該檔案,則系統會在那時將委付金鑰加到檔案。自此以後,您就可以使用 Office DocRecrypt 工具移除或重設檔案密碼。
其他保護 Word、Excel 和 PowerPoint 檔案的方法 如需其他保護 Word、Excel 和 PowerPoint 檔案的方法,請參閱<使用密碼、權限及其他限制來保護您的文件、活頁簿或簡報>。
請注意,使用者可以獨立套用其中任何一種保護方法。如果 IT 管理員移除了密碼,則其他保護設定還是會在。移除密碼並不會影響其他設定。
有些因素可能會影響您是否能夠移除檔案密碼。如需詳細資料和建議,請參閱下表。
移除檔案密碼時的考量
| 問題 | 建議 |
|---|---|
檔案已標示為唯讀或隱藏。 |
Office DocRecrypt 工具不會處理標示為唯讀或隱藏的檔案。但是,您可以移除設定、將檔案解密,然後在搜尋之後將檔案設回唯讀或隱藏狀態。 |
檔案儲存在多個位置。 |
Office DocRecrypt 工具只會移除您所參考特定檔案執行個體的密碼保護。但是,您也應該移除 RAID 或其他硬碟設定上所參考檔案的密碼保護。 |
檔案位於共用活頁簿。 |
Office DocRecrypt 工具不會處理含有內嵌檔案的共同撰寫檔案。 |
檔案含有數位簽章。 |
從含有數位簽章的檔案上移除密碼保護,並不會破壞數位簽章的有效性。 |
檔案名稱開頭為連字號 ("-")。 |
如果您想用 Office DocRecrypt 工具來搜尋的檔案名稱包含連字號,請用引號括住檔案名稱。 |
要求者沒有開啟檔案的權限。 |
當密碼被移除或經過重新指派後,要求將檔案解密的人員實際上是否有權檢視檔案內容,乃是由 IT 管理員決定。同樣地,如果密碼保護檔案具有相關聯的存取控制清單,則解密程序會移除該關聯。您必須在事後重建關聯。 |
檔案或目的地位置為唯讀。 |
請確定密碼保護檔案和目的地位置為讀/寫狀態。 |
憑證已遭撤銷或過期。 |
您的 IT 部門必須確定您的私密金鑰憑證有效且為最新版本。此外請注意,Office DocRecrypt 工具並不會檢查私密金鑰憑證撤銷狀態。 |
密碼保護檔案位於雲端。 |
檔案必須先複製到硬碟或讀/寫 UNC 共用,才能進行解密。 |
設定用戶端電腦以移除密碼保護
若要讓您的 IT 部門能夠移除密碼保護 Word、PowerPoint 或 Excel 檔案的密碼,則當您將 Office 2013 部署到貴組織時,必須先推送憑證公開金鑰,並在用戶端電腦上執行一些登錄動作。此動作有兩種方式可以達成:
透過群組原則系統管理範本,這對於多個用戶端電腦或企業用戶端電腦是最佳選擇;或是
手動變更用戶端電腦的登錄,這對於單一電腦或少數用戶端電腦是最佳選擇。
| 附註: |
|---|
| 您可以使用滑鼠、快速鍵或觸控等方式完成所有 Office 2013 套裝軟體 中的工作。如需如何使用 Office 產品與服務中的快速鍵和觸控功能的詳細資訊,請參閱<快速鍵>與<Office 觸控指南>。 |
若要使用群組原則物件設定多個用戶端電腦的密碼保護
下載群組原則系統管理範本 (ADMX/ADML),可自Office 2013 系統管理範本檔案 (ADMX/ADML) 和 Office 自訂工具取得
在 [本機群組原則編輯器] 中開啟範本,並瀏覽到委付金鑰設定。開啟 [使用者設定] 分支,然後依序選擇 [系統管理範本]、[Microsoft Office 2013]、[安全性設定] 和 [委付憑證]。
您可以設定 20 個委付金鑰,而每個委付金鑰命名為「委付金鑰 #n」。
選取委付金鑰,然後從捷徑功能表 (滑鼠右鍵) 中選擇 [編輯] 來設定委付金鑰。
[委付金鑰 #n] 對話方塊隨即出現。
若要設定並啟用此金鑰,請選取 [已啟用] 按鈕。如果您之後想要停用此金鑰,請回到 [委付金鑰 #n] 對話方塊,並選取 [已停用] 按鈕。
在 [憑證雜湊] 方塊中,輸入當成憑證唯一識別碼 (也稱為「憑證指紋」) 的憑證雜湊。例如,如果您的憑證指紋是 9131517191121d94d143117fc126213c1781d21c,請將憑證雜湊值設為該數字。如果您想要讓此雜湊更容易閱讀,可以在其中加上空格。
如有必要,輸入註解以提供此特定憑證的其他詳細資料。此為選用動作。
選擇 [確定]。
如需關於範本、Office 自訂工具、群組原則和群組原則啟動指令碼的詳細資訊,請參閱下列主題:
若要使用新的登錄設定來設定單一用戶端電腦的密碼保護
若要能夠移除 Word、PowerPoint 或 Excel 檔案的密碼,您必須建立登錄機碼,來指出想要可用於密碼保護檔案的公開金鑰憑證。
| 附註: |
|---|
| 如需關於如何建立登錄機碼的特定指示,請參閱登錄編輯程式 (regedit.exe) [說明] 功能表中提供的 [說明]。 |
在 [登錄編輯程式] 中,於用戶端電腦登錄的下列登錄路徑中建立機碼:
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts
請手動或透過 .reg 批次檔建立這個新機碼。若要使用 regedit.exe 建立 .reg 檔案,請參閱<建立 .reg 檔案>。
在用戶端電腦登錄中建立機碼
登錄元素 描述 機碼名稱
這必須是 EscrowCerts。
資料類型
機碼
上層
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\
在步驟 1 建立的新機碼中,新增下表所示的公開金鑰憑證資訊。為每個想要可用於密碼保護檔案的公開金鑰憑證,各建立一個項目。
新增公開金鑰憑證資訊
登錄元素 描述 機碼名稱
用以描述公開金鑰憑證的唯一名稱,由使用者定義。例如,EscrowCert01、EscrowCert02 等。
類型
STRING
值
用作憑證唯一識別碼的雜湊 (在 [Windows 憑證] 對話方塊中也稱為「指紋」)。例如,如果您的憑證指紋是 9131517191121d94d143117fc126213c1781d21c,請將此值設為該數字。如果您想要讓此雜湊更容易閱讀,可以在其中加上空格。
設好登錄項目時,請將憑證推送到用戶端電腦。公開金鑰憑證應該儲存在 Windows 憑證管理員 (certmgr.msc) 的 [憑證 - 目前使用者或邏輯、個人] 存放區中。如需透過群組原則將公開金鑰憑證推送到用戶端電腦的詳細資料,請參閱<使用群組原則將憑證散發到用戶端電腦>。
重要事項:IT 管理員必須確定此程序所用的憑證有效且未過期。
當使用者決定用密碼保護其在 Office 2013Word、PowerPoint 或 Excel 中建立的檔案時,適當的公開金鑰資訊會儲存在檔案標頭中。之後,系統管理員如果被要求移除密碼保護,就可以使用這個公開金鑰和對應的私密金鑰。
設定具有機碼和 DocRecrypt 工具的 IT 管理員電腦
IT 管理員電腦不需要在登錄中有機碼和子機碼,也不需要有公開金鑰憑證的複本。但是,IT 管理員電腦需要下列項目:
對應的私密金鑰/憑證配對
Office DocRecrypt 工具
若要設定 IT 電腦
在 [Windows 憑證管理員] 中使用 [憑證匯入精靈],將對應的私密金鑰匯入至憑證。
下載並安裝 Office DocRecrypt 工具。您可以從 Microsoft 下載中心取得此工具。
在 64 位元電腦上安裝 Office DocRecrypt 工具時,此工具會安裝在下列位置:
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
在 32 位元電腦上安裝 Office DocRecrypt 工具時,此工具會安裝在下列位置:
- %programfiles%\Microsoft Office\DOCRECRYPT
這樣就完成了。所有項目皆已就位,下次有使用者要求您移除 Word、Excel 或 PowerPoint 檔案的密碼時,您就可以馬上照辦。
使用 Office DocRecrypt 工具
使用 DocRecrypt 工具 (現在已安裝於 IT 管理員電腦) 移除檔案密碼,並指派新密碼。
若要使用 DocRecrypt 工具
請遵循以下指示,從命令列使用 DocRecrypt 工具。您也可以從批次檔或指令碼以無訊息方式執行 DocRecrypt 命令。
使用下列語法,瀏覽並開啟 Office DocRecrypt 工具命令列:
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]下表說明 DocRecrypt 工具選項。
DocRecrypt 工具選項
參數 描述 -p <new_password>
(選用) 這是要指派給輸入檔或輸出檔 (如果提供輸出檔名稱) 的新密碼。
-i <inputfile_or_folder>
這是因為密碼不明而鎖住的檔案,或是這類檔案所在的資料夾。如果您指定資料夾,則 Office DocRecrypt 工具會忽略任何非 Office Open XML 格式的檔案。
-o <outputfile_or_folder>
(選用) 這是新輸出檔或資料夾 (包含要從輸入檔建立之檔案) 的名稱。同理,任何非 Office Open XML 格式的檔案都會被忽略。
-q
(選用) 指出您想要以無訊息模式執行 (通常是透過指令碼) Office DocRecrypt 工具。無訊息模式不會顯示 UI,如果憑證會要求 IT 管理員輸入 PIN 時,這時就會失敗。如果您的憑證需要 PIN,請不要使用無訊息模式。
例如:
若要移除檔案密碼,請使用下列程式碼:
DocRecrypt -i lockedfile若要移除密碼,並指派新密碼 12345,請使用下列程式碼:
DocRecrypt -p 12345 -i lockedfile若要移除密碼、建立新檔案,並將新密碼 12345 指派給該檔案,請使用下列程式碼:
DocRecrypt -p 12345 -i lockedfile -o newfile
一旦使用 Office 2013 以密碼保護檔案,系統就不會移除密碼。
Office 2010 和 2007 檔案
使用 Office DocRecrypt 工具設定組織的用戶端電腦之後 (個別設定或透過群組原則),未來使用者在 Office 2013 中編輯之任何 Word 2013、Excel 2013 或 PowerPoint 2013 檔案 (docx、xlsx 及 pptx 檔案) 和任何現有以密碼保護的 Office Word 2007、Word 2010、Office Excel 2007、Excel 2010, Office PowerPoint 2007 或 PowerPoint 2010 檔案,都可以使用 DocRecrypt 工具解除鎖定或重設密碼。將委付金鑰新增至以密碼保護的檔案之後,即使之前是在 Office 2007 或 Office 2010 中編輯,也可以解除鎖定或重設密碼。