Quitar o restablecer contraseñas de archivos en Office 2016

Resumen: Explica cómo usar la herramienta DocRecrypt de Office 2016 para desbloquear archivos de Word, Excel y PowerPoint con formato OOXML protegidos con contraseña.

Use directiva de grupo para insertar cambios en el registro que asocien un certificado a documentos protegidos con contraseña. Esta información del certificado está incrustada en el encabezado del archivo. Más adelante, si la contraseña se olvida o se pierde, use la herramienta de línea de comandos DocRecrypt y la clave privada para desbloquear el archivo y, opcionalmente, asignar una nueva contraseña.

Nota

  • Si quiere información sobre las contraseñas en una copia personal de Office 2016, vea Proteger un documento con una contraseña o Proteger un archivo de Excel.
  • Si es un Professional de TI que quiere quitar o restablecer contraseñas en archivos de Office 2016 de su organización, por ejemplo, si un empleado ha dejado la organización y no conoce la contraseña, está en el lugar correcto, así que siga leyendo. |

Información general: quitar o restablecer una contraseña de archivo en Office 2016 con la herramienta DocRecrypt

Existen muchos motivos por los que los usuarios pueden querer o tener que proteger con contraseña un documento de Word, Excel o PowerPoint. Por ejemplo:

  • Varias personas de una organización inmediata quieren trabajar en un presupuesto de grupo, pero no quieren que esos números sean visibles para la organización superior hasta que finalicen.

  • Los consultores trabajan con clientes que requieren, a través de un acuerdo de nivel de servicio, que sus datos confidenciales permanezcan protegidos cuando dejen el control del cliente.

  • Los profesores quieren asegurarse de que las pruebas creadas en Word no pueden verse comprometidas.

  • Los profesionales de los medios, y los científicos que trabajan en presentaciones a investigadores clave en sus campos, quieren asegurarse de que sus avances no se filtre al público antes de sus grandes anuncios.

Anteriormente, si el creador original de una contraseña de archivo olvidó la contraseña o dejó la organización, el archivo se hizo irrecuperable. Mediante el uso de Office 2016 y una clave de escrow, que se genera desde el almacén de certificados de clave privada de su empresa o organización, un administrador de TI puede "desbloquear" el archivo para un usuario y, a continuación, dejar el archivo sin protección con contraseña o asignar una nueva contraseña al archivo. Usted, el administrador de TI, es el encargado de la clave de escrow, que se genera a partir del almacén de certificados de clave privada de su empresa u organización. Puede insertar la información de clave pública de forma silenciosa en los equipos cliente una vez a través de una configuración de clave del Registro que puede crear manualmente o puede crearla a través de un script de directiva de grupo. Cuando un usuario crea posteriormente un archivo de Word, Excel o PowerPoint protegido con contraseña, esta clave pública se incluye en el encabezado del archivo. Más adelante, un profesional de TI puede usar la Office herramienta DocRecrypt para quitar la contraseña adjunta al archivo y, después, opcionalmente, proteger el archivo con una nueva contraseña. Para ello, el profesional de TI debe tener lo siguiente:

  • La nueva herramienta DocRecrypt Office

  • El archivo de Word, Excel o PowerPoint que tiene una clave pública incrustada

  • Permiso y acceso a claves públicas y privadas asociadas al certificado

Mantener la clave privada segura

Esta característica no prescribe un proceso corporativo para administrar y distribuir una clave privada, donde se almacena esa clave, los permisos y la autorización necesarios para solicitar que se agriete o restablezca una contraseña, o en qué lugar se debe ubicar el archivo después de su restauración. Estas decisiones deben guiarse por los estándares y procesos de su organización.

Dicho esto, para mantener un alto nivel de seguridad en los archivos protegidos con contraseña, recomendamos que su organización adopte estas directivas:

  • Nunca presione la clave privada en un equipo cliente. Esta es nuestra recomendación más importante.

  • Bloquee el almacén de certificados que tiene la clave privada y el certificado que se usó para generar la clave de escrow y las claves públicas.

  • Asegúrese de que ninguna persona puede poner en peligro los servicios de infraestructura de clave pública (PKI). Además, le recomendamos que distribuya roles de administración de certificados entre diferentes personas de su organización.

Si no sigue estas recomendaciones de forma coherente, la seguridad de todos los nuevos archivos protegidos con contraseña puede verse comprometida. Su empresa u organización ya debe tener un modelo de administración de Servicios de certificados de Active Directory (AD CS) bien definido y una estrategia de infraestructura de entidad de certificación (CA) bien definida que incluya, por ejemplo, almacenamiento fuera del sitio de la clave privada y certificados. Para obtener más información, vea Implementar la administración de Role-Based.

Nota

El certificado usado para DocRecrypt puede ser un certificado de usuario normal con la autenticación de usuario como finalidad. El objetivo principal del certificado es poder cifrar el documento.

¿Cómo se encuentra el certificado correcto?

Dado que muchos certificados de clave privada pueden encontrarse en un equipo de TI, es justo preguntarse cómo se puede detectar el certificado correcto. En Certificate Manager (certmgr.msc), la herramienta DocRecrypt de Office 2016 busca primero en el almacén lógico y después en el almacén del usuario actual. En cada uno de estos almacenes, la herramienta busca primero en los certificados que no requieren un PIN de aplicación del sistema Windows. A continuación, busca en las que sí lo requieren.

Consideraciones especiales

Abrir solo archivos XML Office La herramienta DocRecrypt Office solo funciona en Office documentos con formato Open XML, como archivos docx, pptx y xlsx.

Archivos cifrados anteriormente La Office herramienta DocRecrypt no se puede usar para recuperar archivos protegidos con contraseña antes de implementar el certificado y la clave de escrow. Sin embargo, después de implementar el certificado y la clave de escrow, si un usuario abre un archivo previamente protegido en Office 2016 y, a continuación, lo guarda, la clave de escrow se agrega al archivo en ese momento. A partir de ese momento, podrá quitar o restablecer la contraseña del archivo con la herramienta DocRecrypt Office.

Otras formas de proteger archivos de Word, Excel y PowerPoint Para otras formas de proteger archivos de Word, Excel y PowerPoint, vea Agregar o quitar la protección en un documento, un libro o una presentación.

Tenga en cuenta que los usuarios pueden aplicar independientemente cualquiera de estos métodos de protección. Si un administrador de TI quita una contraseña, se conservará cualquier otra configuración de protección. Quitar la contraseña no afecta a estas otras opciones de configuración.

Hay algunos factores que pueden afectar a la capacidad de quitar la contraseña de un archivo. Para obtener detalles y consejos, consulta la tabla siguiente.

Consideraciones al quitar la contraseña de un archivo

Problema Consejo
El archivo se marca como de solo lectura u oculto.
La Office herramienta DocRecrypt no funciona en archivos marcados como de solo lectura u ocultos. Sin embargo, puede quitar la configuración, descifrar el archivo y, a continuación, establecerlo de nuevo en Solo lectura u Oculto después de la búsqueda.
El archivo se almacena en varios lugares.
La herramienta Office DocRecrypt solo quita la protección con contraseña en la instancia específica del archivo al que se hace referencia. Sin embargo, debe quitar la protección con contraseña en los archivos a los que se hace referencia en RAID u otras configuraciones de disco duro.
El archivo se encuentra en un libro compartido.
La Office herramienta DocRecrypt no funciona en archivos de coautoría que contienen archivos incrustados.
El archivo está firmado digitalmente.
Quitar la protección con contraseña de un archivo firmado digitalmente no pone en peligro la validez de la firma digital.
El nombre de archivo comienza con un guión ("-").
Si el nombre del archivo que desea buscar con la Office herramienta DocRecrypt contiene un guión, escriba el nombre de archivo entre comillas.
El solicitante no tiene permisos para abrir el archivo.
El administrador de TI determina si la persona que solicita que se descifra un archivo tiene autoridad para ver el contenido del archivo cuando se quita o reasigna la contraseña. De forma similar, si un archivo protegido con contraseña tiene una lista de control de acceso asociada con él, el proceso de descifrado elimina la asociación. Debes restablecerlo después.
La ubicación del archivo o destino es de solo lectura.
Asegúrese de que tanto el archivo protegido con contraseña como la ubicación de destino son de lectura y escritura.
El certificado se ha revocado o ha expirado.
Su departamento de TI debe asegurarse de que sus certificados de clave privada sean válidos y estén actualizados. Además, tenga en cuenta que la herramienta DocRecrypt Office no comprueba el estado de revocación de certificados de clave privada.
El archivo protegido con contraseña se encuentra en la nube.
El archivo debe copiarse en un disco duro o en un recurso compartido UNC de lectura y escritura antes de que se pueda descifrar.

Configurar equipos cliente para la eliminación de la protección con contraseña

Para permitir que el departamento de TI quite una contraseña de un archivo de Word, PowerPoint o Excel protegido con contraseña, al implementar Office 2016 en su organización, primero debe insertar las claves públicas del certificado y realizar algún trabajo de registro en los equipos cliente. Hay dos formas de lograrlo:

  • A través de una plantilla administrativa de directiva de grupo, que es la mejor opción para varios equipos cliente de empresa o varios, o

  • Al cambiar manualmente el registro de un equipo cliente, que es la mejor opción para un solo equipo o para algunos equipos cliente.

Para configurar varios equipos cliente para la protección con contraseña mediante un objeto de directiva de grupo

  1. Descargue los archivos de plantilla administrativa directiva de grupo (ADMX/ADML) desde el Centro de descarga de Microsoft.

  2. Abra la plantilla en el Editor de directiva de grupo local y vaya a la configuración de la tecla escrow. Abra la rama Configuración de usuario, elija Plantillas administrativas, Microsoft Office 2016, Configuración de seguridad y, después, Certificados Escrow.

    Hay 20 teclas de escrow disponibles para configurar, cada una llamada Tecla Escrow #n.

  3. Seleccione una tecla de escrow y, a continuación, desde el menú contextual (haga clic con el botón derecho), elija Editar para configurar una tecla escrow.

    Aparece el cuadro de diálogo #n tecla Escrow .

  4. Para configurar y habilitar esta clave, selecciona el botón Habilitado . Si desea deshabilitar esta clave más adelante, vuelva al cuadro de diálogo #n tecla Esc y seleccione el botón Deshabilitado .

  5. En el cuadro Hash de certificado , escriba el hash de certificado que se usa como identificador único del certificado, también conocido como una "huella digital". Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, establezca el valor hash del certificado en ese número. Este hash puede incluir espacios si desea que sea más legible.

  6. Escriba un comentario para proporcionar más detalles sobre este certificado en particular, si es necesario. Esto es opcional.

  7. Elija Aceptar.

Para configurar un único equipo cliente para la protección con contraseña con la nueva configuración del Registro

Para poder quitar una contraseña de un archivo de Word, PowerPoint o Excel, debe crear una clave del Registro para indicar los certificados de clave pública que desea que estén disponibles para los archivos que protegen con contraseña.

Nota

Para obtener instrucciones específicas sobre cómo crear una clave del Registro, consulte la Ayuda disponible en el menú ayuda del Editor del Registro (regedit.exe).

  • En el Editor del Registro, cree una clave en el Registro del equipo cliente en la siguiente ruta del Registro:

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts

    Cree esta nueva clave manualmente o a través de un archivo por lotes .reg. Para crear un archivo .reg con regedit.exe, consulte Creación de un archivo .reg.

    Crear una clave en el Registro del equipo cliente

Elemento De registro Descripción
Nombre de clave
Debe ser EscrowCerts.
Tipo de datos
clave
Parent
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ común\Seguridad\Crypto\
  • En la nueva clave que creó en el paso 1, agregue la información del certificado de clave pública, tal como se muestra en la tabla siguiente. Cree una entrada para cada certificado de clave pública que quiera que esté disponible para los archivos que protegen con contraseña.

    Agregar información de certificado de clave pública

Elemento De registro Descripción
Nombre de clave
Nombre único definido por el usuario que describe el certificado de clave pública. Por ejemplo, EscrowCert01, EscrowCert02, etc.
Tipo
CADENA
Valor
El hash que se usa como identificador único del certificado, también conocido como una "huella digital" en el cuadro de diálogo Windows certificado. Por ejemplo, si la huella digital del certificado es 9131517191121d94d143117fc126213c1781d21c, establezca este valor en ese número. Este hash puede incluir espacios si desea que sea más legible.
  • Cuando las entradas del Registro estén en su lugar, envíe el certificado al equipo cliente. El certificado de clave pública debe almacenarse en Windows Certificate Manager (certmgr.msc) en el almacén de certificados - Usuario actual o Lógico, Personal. Para obtener más información sobre cómo insertar certificados de clave pública en equipos cliente a través de directiva de grupo, vea Distribuir certificados a equipos cliente con directiva de grupo.

    Importante

    El administrador de TI debe asegurarse de que el certificado que se usó para este proceso es válido y no ha expirado.

Cuando los usuarios deciden proteger con contraseña los archivos que crean en Word Office 2016, PowerPoint o Excel, la información de clave pública adecuada se guarda en el encabezado del archivo. El administrador puede usar esta clave pública y la clave privada coincidente más adelante si se le pide que quite la protección con contraseña.

Configurar el equipo de administración de TI que tiene la clave y la herramienta DocRecrypt

El equipo de administración de TI no tiene que tener clave y subclave en el Registro, ni tiene que tener una copia del certificado de clave pública. Sin embargo, el equipo de administración de TI necesita lo siguiente:

  • La clave privada o el par de certificados privados coincidentes

  • La herramienta DocRecrypt Office

Para configurar el equipo de TI que tiene la clave y la herramienta DocRecrypt

  1. Use el Asistente para la importación de certificados para importar la clave privada coincidente al certificado de Windows Certificate Manager.

  2. Descarga e instala la Office herramienta DocRecrypt. Esta herramienta está disponible en el Centro de descarga de Microsoft.

  • Al instalar la Office herramienta DocRecrypt en un equipo de 64 bits, se instala en la siguiente ubicación:

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT
  • Al instalar la Office herramienta DocRecrypt en un equipo de 32 bits, se instala en la siguiente ubicación:

    • %programfiles%\Microsoft Office\DOCRECRYPT

Eso es todo. Todas las partes están en su lugar y está listo para quitar la contraseña en un archivo de Word, Excel o PowerPoint la próxima vez que un usuario le pida que lo haga.

Usar la herramienta Office DocRecrypt

Use la herramienta DocRecrypt, que ahora está instalada en el equipo del administrador de TI, para quitar la contraseña del archivo y asignar una nueva contraseña.

Para usar la herramienta DocRecrypt

Siga estas instrucciones para usar la herramienta DocRecrypt desde la línea de comandos. También puede ejecutar comandos de DocRecrypt de forma silenciosa desde un archivo por lotes o un script.

  • Vaya a la línea de comandos de la herramienta DocRecrypt y ábrala Office mediante la siguiente sintaxis:

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    Las opciones de la herramienta DocRecrypt se describen en la tabla siguiente.

    Opciones de la herramienta DocRecrypt

Parámetro Descripción
-p <new_password>
(Opcional) Esta es la nueva contraseña que se asignará al archivo de entrada o al archivo de salida si se proporciona un nombre de archivo de salida.
-i <inputfile_or_folder>
Este es el archivo o carpeta que contiene archivos que están bloqueados porque se desconoce la contraseña. Si especifica una carpeta, la Office herramienta DocRecrypt omitirá los archivos que no estén Office formato Open XML.
-o <outputfile_or_folder>
(Opcional) Este es el nombre de un nuevo archivo o carpeta de salida para los archivos que se crearán a partir de los archivos de entrada. De nuevo, se omitirán todos los archivos que no Office formato Open XML.
-q
(Opcional) Indica que desea ejecutar la Office herramienta DocRecrypt en modo silencioso, normalmente en un script. El modo silencioso no muestra una interfaz de usuario y falla si un certificado requiere que el administrador de TI escriba un PIN. Si el certificado requiere un PIN, no uses el modo silencioso.

Por ejemplo:

Para quitar la contraseña de un archivo, usa este código:

DocRecrypt -i lockedfile

Para quitar la contraseña y asignar una nueva contraseña de 12345, usa este código:

DocRecrypt -p 12345 -i lockedfile

Para quitar la contraseña, crear un nuevo archivo y asignar una nueva contraseña de 12345 a ese archivo, usa este código:

DocRecrypt -p 12345 -i lockedfile -o newfile

Una vez que los archivos estén protegidos con contraseña con Office 2016, no se quitarán las contraseñas.

Office archivos de 2010 y 2007

Una vez que los equipos cliente de la organización se han configurado mediante la herramienta DocRecrypt de Office (ya sea de forma individual o a través de directiva de grupo), cualquier Word 2016, Excel 2016 o PowerPoint 2016 archivos (archivos docx, xlsx y pptx) y cualquier archivo protegido con contraseña existente Office archivos de Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 o PowerPoint 2010 que los usuarios editan en Office 2016 se pueden desbloquear o restablecer la contraseña con la herramienta DocRecrypt. Una vez agregada una tecla escrow a un archivo protegido con contraseña, se puede desbloquear o restablecer incluso si se ha editado en Office 2007 o Office 2010.