在 Office 2016 中移除或重設檔案密碼
摘要:說明如何使用 Office 2016 DocRecrypt 工具來解除鎖定有密碼保護的 OOXML 格式 Word、Excel 和 PowerPoint 檔案。
使用群組原則來推播使憑證與密碼保護文件產生關聯的登錄變更。 這項憑證資訊內嵌在檔案標頭中。 之後,如果忘記或遺失密碼,請使用 DocRecrypt 命令列工具和私密金鑰將檔案解除鎖定,並甚至指派新的密碼。
注意事項
- 如果您想要 Office 2016 個人副本中的密碼相關信息,請參閱 使用密碼保護檔 或 保護 Excel 檔案。
- 如果您是 IT 專業人員,想要移除或重設組織內 Office 2016 檔案中的密碼,例如,如果員工已離開組織,而您不知道密碼,則您位於正確的位置,因此請繼續閱讀。 |
概觀:使用 DocRecrypt 工具在 Office 2016 中移除或重設檔案密碼
使用者可能想要或必須使用密碼來保護 Word、Excel 或 PowerPoint 檔的原因有很多。 例如:
立即組織中的多人想要處理群組預算,但不希望在完成之前,讓較大的組織看到這些數位。
顧問所服務的客戶透過了服務層級協議,要求自己的機密資訊在脫離受自己控制的環境時仍受到保護。
教師想要確定在 Word 中建立的測試無法遭到入侵。
媒體專業人員和科學家在其領域中對重要研究人員進行簡報時,想要確保其突破不會在主要公告之前洩漏給大眾。
在過去,如果檔案密碼的原始建立者忘記密碼或離開組織,檔案就會以無法解開的狀態留著。 IT 系統管理員可以使用 Office 2016 和委付密鑰來解除鎖定用戶的檔案。 此金鑰來自您公司或組織的私鑰證書存儲。 解除鎖定之後,系統管理員可以移除密碼保護,或為檔案設定新的密碼。 身為 IT 系統管理員的您是委付金鑰的擁有者,該金鑰是從公司或組織的私鑰證書存儲產生的。 您可以透過登錄機碼設定 (可手動或透過群組原則指令碼來建立),以無訊息方式將公開金鑰資訊推送到用戶端電腦一次。 當使用者日後建立有密碼保護的 Word、Excel 或 PowerPoint 檔案時,此公開金鑰便會加到檔案標頭中。 之後,IT 專業人員就可以使用 Office DocRecrypt 工具來移除檔案的附加密碼,甚至再使用新密碼來保護檔案。 IT 專業人員必須具備下列 所有 專案才能移除密碼:
新的 Office DocRecrypt 工具
內嵌了公開金鑰的 Word、Excel 或 PowerPoint 檔案
對憑證相關公開與私密金鑰的權限和存取權
保護私密金鑰的安全
此功能不會控制處理和散發私鑰的公司程式。 它也不會定義密鑰的儲存位置、密碼重設要求的必要許可權,或還原後檔案的位置。 貴組織的標準和程式應引導這些決策
若要維護受密碼保護檔案的高安全性,建議採用下列原則:
絕不將私密金鑰推送到用戶端電腦! 這項建議是最重要的。
將含有私密金鑰和當初用來產生委付金鑰與公開金鑰的憑證的憑證存放區上鎖。
確定沒有任何一個人可以入侵公開金鑰基礎結構 (PKI) 服務。 同時建議您將憑證管理角色分散給組織中的不同人。
如果您未一致地遵循這些建議,所有受密碼保護的新檔案安全性可能會遭到入侵。 貴公司或組織應該要已定義出一套完善的 Active Directory 憑證服務 (AD CS) 管理模型和憑證授權單位 (CA) 基礎結構策略,例如將私密金鑰和憑證儲存在異地。 如需詳細資訊,請參閱<實作角色型管理>。
注意事項
DocRecrypt 所用的憑證可以是以「使用者驗證」為預定用途的一般使用者憑證。 該憑證的主要目標是要能夠加密文件。
如何找到正確的憑證?
因為許多私鑰憑證可能位於 IT 計算機上,所以最好想知道如何探索正確的憑證。 在憑證管理員 (certmgr.msc) 中,Office 2016 DocRecrypt 工具會先搜尋 [邏輯] 存放區,然後再搜尋 [目前使用者] 存放區。 在每個存放區中,此工具會先搜尋不需要 Windows 系統強制 PIN 的憑證。 然後,它會搜尋需要憑證的憑證。
特殊考量
僅限 Open Office XML 檔案 Office DocRecrypt 工具只能處理 OfficeOpen XML 格式文件,例如 docx、pptx 和 xlsx 檔案。
先前加密的檔案Office DocRecrypt 工具無法解開在您部署憑證與委付金鑰之前就已受密碼保護的檔案。 在您部署憑證和委付密鑰之後,用戶可以開啟先前受保護的 Office 2016 檔案並加以儲存。 此動作會將委付金鑰新增至檔案。 從該時間點開始,您就可以使用 Office DocRecrypt 工具來移除或重設檔案的密碼。
保護 Word、Excel 和 PowerPoint 檔案的其他方法 如需保護 Word、Excel 和 PowerPoint 檔案的其他方式,請參閱在檔、活頁簿或簡報中新增或移除保護。
用戶可以獨立套用任何這些保護方法。 如果 IT 系統管理員移除密碼,所有其他保護設定都會保留在原處。 拿掉密碼不會影響這些其他設定。
有一些因素可能會影響您移除檔案密碼的能力。 如需詳細資料和建議,請參閱下表。
移除檔案密碼時的考量
問題 | 建議 |
---|---|
檔案已標示為唯讀或隱藏。 |
Office DocRecrypt 工具無法在標示為只讀或隱藏的檔案上運作。 但是,您可以移除設定、將檔案解密,然後在搜尋之後將檔案設回唯讀或隱藏狀態。 |
檔案儲存在多個位置。 |
Office DocRecrypt 工具只會移除您所參考特定檔案執行個體的密碼保護。 但是,您也應該移除 RAID 或其他硬碟設定上所參考檔案的密碼保護。 |
檔案位於共用活頁簿。 |
Office DocRecrypt 工具無法在包含內嵌檔案的共同撰寫檔案上運作。 |
檔案含有數位簽章。 |
從含有數位簽章的檔案上移除密碼保護,並不會破壞數位簽章的有效性。 |
檔案名稱開頭為連字號 ("-")。 |
如果您想用 Office DocRecrypt 工具來搜尋的檔案名稱包含連字號,請用引號括住檔案名稱。 |
要求者沒有開啟檔案的權限。 |
IT 系統管理員會檢查要求解密檔案的人員,是否有權在移除或變更密碼後存取其內容。 同樣地,如果密碼保護檔案具有相關聯的存取控制清單,則解密程序會移除該關聯。 您必須在事後重建關聯。 |
檔案或目的地位置為唯讀。 |
請確定密碼保護檔案和目的地位置為讀/寫狀態。 |
憑證已遭撤銷或過期。 |
您的 IT 部門必須確定您的私密金鑰憑證有效且為最新版本。 此外,Office DocRecrypt 工具不會檢查私鑰憑證撤銷狀態。 |
密碼保護檔案位於雲端。 |
檔案必須先複製到硬碟或讀/寫 UNC 共用,才能進行解密。 |
設定用戶端電腦以移除密碼保護
若要讓您的 IT 部門能夠移除密碼保護 Word、PowerPoint 或 Excel 檔案的密碼,則當您將 Office 2016 部署到貴組織時,必須先推送憑證公開金鑰,並在用戶端電腦上執行一些登錄動作。 此動作有兩種方式可以達成:
透過群組原則系統管理範本,這對於多個用戶端電腦或企業用戶端電腦是最佳選擇;或是
手動變更用戶端電腦的登錄,這對於單一電腦或少數用戶端電腦是最佳選擇。
若要使用群組原則物件設定多個用戶端電腦的密碼保護
從 Microsoft 下載中心下載 群組原則 系統管理範本 (ADMX/ADML) 檔案。
在 [本機群組原則編輯器] 中開啟範本,並瀏覽到委付金鑰設定。 開啟 [使用者設定] 分支,然後依序選擇 [系統管理範本]、[Microsoft Office 2016]、[安全性設定] 和 [委付憑證]。
您可以設定 20 個委付金鑰,而每個委付金鑰命名為「委付金鑰 #n」。
選取委付金鑰,然後從捷徑功能表 (滑鼠右鍵) 中選擇 [編輯] 來設定委付金鑰。
[委付金鑰 #n] 對話方塊隨即出現。
若要設定並啟用此金鑰,請選取 [已啟用] 按鈕。 如果您之後想要停用此金鑰,請回到 [委付金鑰 #n] 對話方塊,並選取 [已停用] 按鈕。
在 [ 憑證哈希] 方塊 中,輸入作為憑證唯一標識符的憑證哈希,也稱為「指紋」。例如,如果您的憑證指紋是9131517191121d94d143117fc126213c1781d21c,請將憑證哈希值設定為該數位。 如果您想要讓此雜湊更容易閱讀,可以在其中加上空格。
如有必要,請輸入批註以提供此特定憑證的詳細數據。 這是選擇性的。
選擇 [確定]。
若要使用新的登錄設定來設定單一用戶端電腦的密碼保護
若要能夠移除 Word、PowerPoint 或 Excel 檔案的密碼,您必須建立登錄機碼,來指出想要可用於密碼保護檔案的公開金鑰憑證。
注意事項
如需關於如何建立登錄機碼的特定指示,請參閱登錄編輯程式 (regedit.exe) [說明] 功能表中提供的 [說明]。
在 [登錄編輯程式] 中,於用戶端電腦登錄的下列登錄路徑中建立機碼:
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts
請手動或透過 .reg 批次檔建立這個新機碼。 若要使用 regedit.exe 建立 .reg 檔案,請參閱<建立 .reg 檔案>。
在用戶端電腦登錄中建立機碼
登錄元素 | 描述 |
---|---|
機碼名稱 |
這必須是 EscrowCerts。 |
資料類型 |
機碼 |
上層 |
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\ |
在步驟 1 建立的新機碼中,新增下表所示的公開金鑰憑證資訊。 為每個想要可用於密碼保護檔案的公開金鑰憑證,各建立一個項目。
新增公開金鑰憑證資訊
登錄元素 | 描述 |
---|---|
機碼名稱 |
用以描述公開金鑰憑證的唯一名稱,由使用者定義。 例如,EscrowCert01、EscrowCert02 等。 |
類型 |
STRING |
值 |
用作憑證唯一識別碼的雜湊 (在 [Windows 憑證] 對話方塊中也稱為「指紋」)。 例如,如果您的憑證指紋是 9131517191121d94d143117fc126213c1781d21c,請將此值設為該數字。 如果您想要讓此雜湊更容易閱讀,可以在其中加上空格。 |
設好登錄項目時,請將憑證推送到用戶端電腦。 公開金鑰憑證應該儲存在 Windows 憑證管理員 (certmgr.msc) 的 [憑證 - 目前使用者或邏輯、個人] 存放區中。 如需透過群組原則將公開金鑰憑證推送到用戶端電腦的詳細資料,請參閱<使用群組原則將憑證散發到用戶端電腦>。
重要事項
IT 管理員必須確定此程序所用的憑證有效且未過期。
當使用者決定用密碼保護其在 Office 2016Word、PowerPoint 或 Excel 中建立的檔案時,適當的公開金鑰資訊會儲存在檔案標頭中。 之後,系統管理員如果被要求移除密碼保護,就可以使用這個公開金鑰和對應的私密金鑰。
設定具有機碼和 DocRecrypt 工具的 IT 管理員電腦
IT 系統管理計算機不需要在登錄中擁有密鑰和子機碼,也不需要有公鑰憑證的複本。 但是,IT 管理員電腦需要下列項目:
對應的私密金鑰/憑證配對
Office DocRecrypt 工具
設定具有機碼和 DocRecrypt 工具的 IT 電腦
在 [Windows 憑證管理員] 中使用 [憑證匯入精靈],將對應的私密金鑰匯入至憑證。
下載並安裝 Office DocRecrypt 工具。 您可以從 Microsoft 下載中心取得此工具。
當您在 64 位電腦上安裝 Office DocRecrypt 工具時,它會安裝在下列位置:
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
當您在32位電腦上安裝 Office DocRecrypt 工具時,它會安裝在下列位置:
- %programfiles%\Microsoft Office\DOCRECRYPT
這樣就完成了。 所有部分都已就緒,而且您已準備好在下次使用者要求您這麼做時,移除 Word、Excel 或 PowerPoint 檔案上的密碼。
使用 Office DocRecrypt 工具
使用 DocRecrypt 工具 (現在已安裝於 IT 管理員電腦) 移除檔案密碼,並指派新密碼。
若要使用 DocRecrypt 工具
請遵循以下指示,從命令列使用 DocRecrypt 工具。 您也可以從批次檔或指令碼以無訊息方式執行 DocRecrypt 命令。
使用下列語法,瀏覽並開啟 Office DocRecrypt 工具命令列:
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]
下表說明 DocRecrypt 工具選項。
DocRecrypt 工具選項
參數 | 描述 |
---|---|
-p <new_password> |
(選擇性) 這是指派給輸入檔的新密碼,如果提供輸出檔名,則為輸出檔。 |
-i <inputfile_or_folder> |
這是因為密碼不明而鎖住的檔案,或是這類檔案所在的資料夾。 如果您指定資料夾,Office DocRecrypt 工具會忽略任何不是 Office Open XML 格式的檔案。 |
-o <outputfile_or_folder> |
(選用) 這是新輸出檔或資料夾 (包含要從輸入檔建立之檔案) 的名稱。 同樣地,任何不是 Office Open XML 格式的檔案都會被忽略。 |
-q |
(選用) 指出您想要以無訊息模式執行 (通常是透過指令碼) Office DocRecrypt 工具。 無訊息模式不會顯示 UI,而且如果憑證需要 IT 系統管理員輸入 PIN,則會失敗。 如果您的憑證需要 PIN,請勿使用無訊息模式。 |
例如:
若要移除檔案密碼,請使用下列程式碼:
DocRecrypt -i lockedfile
若要移除密碼,並指派新密碼 12345,請使用下列程式碼:
DocRecrypt -p 12345 -i lockedfile
若要移除密碼、建立新檔案,並將新密碼 12345 指派給該檔案,請使用下列程式碼:
DocRecrypt -p 12345 -i lockedfile -o newfile
一旦使用 Office 2016 保護檔案密碼,就不會移除密碼。
Office 2010 和 2007 檔案
使用 Office DocRecrypt 工具設定組織的用戶端電腦之後 (個別設定或透過群組原則),未來使用者在 Office 2016 中編輯之任何 Word 2016、Excel 2016 或 PowerPoint 2016 檔案 (docx、xlsx 及 pptx 檔案) 和任何現有以密碼保護的 Office Word 2007、Word 2010、Office Excel 2007、Excel 2010, Office PowerPoint 2007 或 PowerPoint 2010 檔案,都可以使用 DocRecrypt 工具解除鎖定或重設密碼。 將委付金鑰新增至以密碼保護的檔案之後,即使之前是在 Office 2007 或 Office 2010 中編輯,也可以解除鎖定或重設密碼。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應