Supprimer ou réinitialiser les mots de passe de fichier dans Office 2016
Résumé: Explique comment utiliser l'outil DocRecrypt d'Office 2016 pour déverrouiller les fichiers Word, Excel et PowerPoint au format OOXML protégés par un mot de passe.
Utilisez la stratégie de groupe pour propager les modifications du Registre qui associent un certificat aux documents protégés par un mot de passe. Ces informations de certificat sont incorporées dans l'en-tête du fichier. Par la suite, en cas d'oubli ou de perte du mot de passe, utilisez l'outil de ligne de commande DocRecrypt et la clé privée pour déverrouiller le fichier et éventuellement lui attribuer un nouveau mot de passe.
Remarque
- Si vous souhaitez obtenir des informations sur les mots de passe dans une copie personnelle d’Office 2016, voir Protéger un document avec un mot de passe ou Protéger un fichier Excel.
- Si vous êtes un professionnel de l’informatique qui cherche à supprimer ou réinitialiser les mots de passe dans les fichiers Office 2016 de votre organization, par exemple si un employé a quitté le organization et que vous ne connaissez pas le mot de passe, vous êtes au bon endroit. Continuez à lire. |
Vue d'ensemble : suppression ou réinitialisation du mot de passe d'un fichier dans Office 2016 à l'aide de l'outil DocRecrypt
Il existe de nombreuses raisons pour lesquelles les utilisateurs peuvent vouloir ou avoir à protéger par mot de passe un document Word, Excel ou PowerPoint. Par exemple :
Plusieurs personnes d’une organization immédiate souhaitent travailler sur un budget de groupe, mais ne veulent pas que ces nombres soient visibles par le plus grand organization tant qu’ils n’ont pas terminé.
Les conseillers travaillent avec des clients qui ont besoin que, grâce à un accord de niveau de service, leurs données sensibles restent protégées lorsqu'ils en perdent le contrôle.
Les enseignants veulent s’assurer que les tests créés dans Word ne peuvent pas être compromis.
Les professionnels des médias et les scientifiques qui travaillent sur des présentations à des chercheurs clés dans leur domaine veulent s’assurer que leurs percées ne soient pas divulguées au public avant leurs annonces majeures.
Auparavant, si le créateur d'origine du mot de passe d'un fichier perdait ce mot de passe ou quittait l'organisation, le fichier devenait irrécupérable. Un administrateur informatique peut déverrouiller un fichier pour un utilisateur avec Office 2016 et une clé d’entiercement. Cette clé provient du magasin de certificats de clé privée de votre entreprise ou de votre organization. Après le déverrouillage, l’administrateur peut supprimer la protection par mot de passe ou définir un nouveau mot de passe pour le fichier. Vous, l’administrateur informatique, êtes le détenteur de la clé d’entiercement, qui est générée à partir du magasin de certificats de clé privée de votre entreprise ou de organization. Vous pouvez transmettre sans assistance les informations de clé publique à des ordinateurs clients une fois via un paramètre de clé de Registre que vous pouvez créer manuellement ou à l'aide d'un script de stratégie de groupe. Par la suite, lorsqu'un utilisateur crée un fichier Word, Excel ou PowerPoint protégé par un mot de passe, cette clé publique est incluse dans l'en-tête du fichier. De plus, un professionnel de l'informatique peut utiliser l'outil Office DocRecrypt pour supprimer le mot de passe associé au fichier et, éventuellement, protéger celui-ci avec un nouveau mot de passe. Le professionnel de l’informatique doit disposer des éléments suivants pour supprimer le mot de passe :
Le nouvel outil DocRecrypt Office
Le fichier Word, Excel ou PowerPoint qui possède une clé publique incorporée
Autorisation et accès aux clés publiques et privées qui sont associées au certificat
Protéger la clé privée
Cette fonctionnalité ne contrôle pas le processus d’entreprise de gestion et de distribution d’une clé privée. Il ne définit pas non plus où stocker la clé, les autorisations requises pour les demandes de réinitialisation de mot de passe ou l’emplacement du fichier après la restauration. Les normes et processus de votre organization doivent guider ces décisions
Pour maintenir un niveau élevé de sécurité sur les fichiers protégés par mot de passe, il est recommandé d’adopter ces stratégies :
Ne transmettez jamais la clé privée à un ordinateur client. Cette recommandation est la plus importante.
Verrouillez le magasin de certificats qui contient la clé privée et le certificat qui a été utilisé pour générer la clé secrète et les clés publiques.
Assurez-vous que personne ne puisse compromettre les services d'infrastructure de clés publiques (PKI). En outre, nous vous recommandons de distribuer les rôles de gestion des certificats parmi différentes personnes de votre organisation.
Si vous ne suivez pas ces recommandations de manière cohérente, la sécurité de tous les nouveaux fichiers protégés par mot de passe peut être compromise. Votre société ou organisation doit déjà disposer d'une stratégie d'infrastructure d'autorité de certification (CA) et de modèle d'administration de services de certificats Active Directory (AD CS) bien définie comprenant, par exemple, le stockage hors site de la clé privée et des certificats. Pour plus d'informations, voir Implémenter l'administration basée sur les rôles.
Remarque
Le certificat utilisé pour DocRecrypt peut être le certificat d'un utilisateur ordinaire dont le rôle prévu est l'authentification utilisateur. L’objectif principal du certificat est de pouvoir chiffrer le document.
Où se trouve le certificat approprié ?
Étant donné que de nombreux certificats de clé privée peuvent se trouver sur un ordinateur informatique, il est juste de se demander comment le certificat correct peut être découvert. Dans le gestionnaire de certificats (certmgr.msc), l'outil DocRecrypt Office 2016 recherche d'abord le magasin logique, puis le magasin de l'utilisateur actuel. Dans chacun de ces magasins, l’outil recherche d’abord les certificats qui ne nécessitent pas de code confidentiel d’application du système Windows. Ensuite, il recherche les certificats qui en nécessitent un.
Éléments à prendre en compte
Fichiers XML Open Office uniquement L'outil DocRecrypt Office fonctionne uniquement sur les documents au format XML Open Office, comme les fichiers docx, pptx et xlsx.
Fichiers chiffrés précédemment L'outil DocRecrypt Office ne peut pas être utilisé pour récupérer des fichiers qui étaient protégés par un mot de passe avant que vous ne déployiez le certificat et la clé secrète. Après avoir déployé le certificat et la clé d’entiercement, un utilisateur peut ouvrir un fichier Office 2016 précédemment protégé et l’enregistrer. Cette action ajoute la clé d’entiercement au fichier. À partir de là, vous pouvez supprimer ou réinitialiser le mot de passe du fichier à l’aide de l’outil DocRecrypt Office.
Autres façons de protéger les fichiers Word, Excel et PowerPoint Pour d’autres façons de protéger les fichiers Word, Excel et PowerPoint, voir Ajouter ou supprimer la protection dans votre document, classeur ou présentation.
Les utilisateurs peuvent appliquer indépendamment l’une de ces méthodes de protection. Si un administrateur informatique supprime un mot de passe, tous les autres paramètres de protection restent en place. La suppression du mot de passe n’affecte pas ces autres paramètres.
Certains facteurs peuvent affecter votre capacité à supprimer le mot de passe d’un fichier. Pour plus d'informations et de conseils, consultez le tableau suivant.
Éléments à prendre en compte lors de la suppression du mot de passe d'un fichier
| Problème | Conseil |
|---|---|
| Le fichier est marqué comme étant en lecture seule ou masqué. |
L’outil Office DocRecrypt ne fonctionne pas sur les fichiers marqués comme en lecture seule ou masqués. Toutefois, vous pouvez supprimer le paramétrage, déchiffrer le fichier, puis le définir à nouveau comme étant en lecture seule ou masqué une fois votre recherche terminée. |
| Le fichier est stocké dans plusieurs emplacements. |
L'outil DocRecrypt Office supprime uniquement la protection par mot de passe sur l'instance spécifique du fichier référencé. Toutefois, vous devez également supprimer la protection par mot de passe sur les fichiers référencés sur un système RAID ou une autre configuration de disque dur. |
| Le fichier se trouve dans un classeur partagé. |
L’outil DocRecrypt Office ne fonctionne pas sur les fichiers co-créés qui contiennent des fichiers incorporés. |
| Le fichier est signé numériquement. |
La suppression de la protection par mot de passe d'un fichier signé numériquement ne compromet pas la validité de la signature numérique. |
| Le nom du fichier commence par un trait d'union (« - »). |
Si le nom du fichier que vous recherchez à l'aide de l'outil DocRecrypt Office contient un trait d'union, mettez-le entre guillemets. |
| Le demandeur n'est pas autorisé à ouvrir le fichier. |
L’administrateur informatique vérifie si la personne qui demande à déchiffrer un fichier a le droit d’accéder à son contenu une fois le mot de passe supprimé ou modifié. De même, si un fichier protégé par un mot de passe est associé à une liste de contrôle d'accès, le processus de déchiffrement supprime cette association. Vous devez par la suite la rétablir. |
| L'emplacement de fichier ou de destination est en lecture seule. |
Assurez-vous que le fichier protégé par un mot de passe et l'emplacement de destination sont accessibles en lecture et en écriture. |
| Le certificat a été révoqué ou est arrivé à expiration. |
Votre service informatique doit s'assurer que les certificats de clé privée sont valides et à jour. En outre, l’outil Office DocRecrypt ne case activée pas pour les status de révocation de certificat de clé privée. |
| Le fichier protégé par un mot de passe se trouve dans le nuage. |
Pour pouvoir être déchiffré, le fichier doit être copié vers un disque dur ou un partage UNC en lecture/écriture. |
Configuration des ordinateurs clients pour la suppression de la protection par mot de passe
Pour permettre à votre service informatique de supprimer le mot de passe qui protège un fichier Word, PowerPoint ou Excel, lorsque vous déployez Office 2016 au sein de votre organisation, vous devez d'abord transmettre le certificat de clé publique et effectuer des actions relatives au Registre sur les ordinateurs clients. Pour ce faire, les deux méthodes suivantes sont disponibles :
Via un modèle d'administration de stratégie de groupe, solution la plus adaptée en présence de plusieurs ordinateurs clients ou d'ordinateurs clients d'entreprise, ou
En modifiant manuellement le Registre d'un ordinateur client, solution la plus adaptée en présence d'un ordinateur unique ou d'un petit nombre d'ordinateurs clients.
Pour configurer plusieurs ordinateurs clients pour la protection par mot de passe à l’aide d’un objet de stratégie de groupe
Téléchargez les fichiers de modèle d’administration stratégie de groupe (ADMX/ADML) à partir du Centre de téléchargement Microsoft.
Ouvrez le modèle dans l'éditeur de stratégie de groupe locale et accédez aux paramètres de la clé secrète. Ouvrez la branche Configuration utilisateur, puis sélectionnez Modèles d'administration, Microsoft Office 2016, Paramètres de sécurité et enfin Certificats de dépôt de clé.
20 clés secrètes peuvent être configurées ; elles sont toutes nommées Clé secrète #n.
Sélectionnez une clé secrète puis, dans le menu contextuel (clic droit), choisissez Modifier pour la configurer.
La boîte de dialogue Clé secrète #n s'affiche.
Pour configurer et activer cette clé, sélectionnez le bouton Activée. Pour désactiver cette clé ultérieurement, revenez à la boîte de dialogue Clé secrète #n et sélectionnez le bouton Désactivée.
Dans la zone Hachage du certificat, entrez le hachage de certificat utilisé comme identificateur unique de certificat, également appelé « empreinte numérique ». Par exemple, si votre empreinte numérique de certificat est 91315171911121d94d143117fc126213c1781d21c, définissez la valeur de hachage du certificat sur ce nombre. Ce hachage peut inclure des espaces pour le rendre plus lisible.
Entrez un commentaire pour fournir plus de détails sur ce certificat particulier, si nécessaire. Cette option est facultative.
Sélectionnez OK.
Pour configurer un ordinateur client unique pour la protection par mot de passe avec les nouveaux paramètres du Registre
Pour pouvoir supprimer le mot de passe d'un fichier Word, PowerPoint ou Excel, vous devez créer une clé de Registre afin d'indiquer les certificats de clé publique que vous voulez mettre à disposition pour la protection des fichiers par mot de passe.
Remarque
Pour obtenir des instructions spécifiques sur la création d'une clé de Registre, reportez-vous à l'aide disponible à partir du menu d'aide de l'Éditeur du Registre (regedit.exe).
Dans l'Éditeur du Registre, créez une clé dans le Registre de l'ordinateur client en suivant le chemin d'accès au Registre ci-dessous :
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts
Créez cette clé manuellement ou via un fichier de commandes .reg. Pour créer un fichier .reg à l'aide de regedit.exe, voir la page relative à la création d'un fichier .reg.
Créer une clé dans le Registre de l'ordinateur client
| Élément du Registre | Description |
|---|---|
| Nom de la clé |
Il doit s'agir de EscrowCerts. |
| Type de données |
clé |
| Parent |
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\ |
Dans la nouvelle clé que vous avez créée à l'étape 1, ajoutez des informations de certificat de clé publique comme indiqué dans le tableau ci-dessous. Créez une entrée par certificat de clé publique que vous voulez mettre à disposition pour la protection des fichiers par mot de passe.
Ajouter des informations de certificat de clé publique
| Élément du Registre | Description |
|---|---|
| Nom de la clé |
Nom unique défini par l'utilisateur qui décrit le certificat de clé publique. Par exemple, EscrowCert01, EscrowCert02, etc. |
| Type |
STRING |
| Valeur |
Hachage qui est utilisé en tant qu'identificateur unique du certificat, également appelé « empreinte » dans la boîte de dialogue Certificat Windows. Par exemple, si votre empreinte de certificat est 9131517191121d94d143117fc126213c1781d21c, définissez la valeur sur ce nombre. Ce hachage peut inclure des espaces pour le rendre plus lisible. |
Lorsque les entrées de Registre sont en place, transmettez le certificat à l'ordinateur client. Le certificat de clé publique doit être stocké dans le gestionnaire de certificats Windows (certmgr.msc) dans le magasin de certificats de l'utilisateur actuel, logique ou personnel. Pour plus de détails sur la transmission des certificats de clé publique aux ordinateurs clients via la stratégie de groupe, voir la page relative à la distribution des certificats aux ordinateurs clients à l'aide de la sratégie de groupe.
Importante
L'administrateur informatique doit s'assurer que le certificat qui a été utilisé pour ce processus est valide et qu'il n'est pas arrivé à expiration.
Lorsque les utilisateurs décident de protéger par un mot de passe les fichiers qu'ils créent dans Office 2016Word, PowerPoint ou Excel, les informations de clé publique appropriées sont enregistrées dans l'en-tête de fichier. L'administrateur peut utiliser cette clé publique et la clé privée correspondante s'il lui est demandé ultérieurement de supprimer la protection par mot de passe.
Configuration de l’ordinateur de l’administrateur informatique qui dispose de la clé et de l’outil DocRecrypt
L’ordinateur administrateur informatique n’a pas besoin d’avoir une clé et une sous-clé dans le Registre, ni une copie du certificat de clé publique. Toutefois, il doit disposer des éléments suivants :
La paire certificat/clé privée correspondante
L'outil DocRecrypt Office
Configuration de l'ordinateur de l'administrateur informatique qui dispose de la clé et de l'outil DocRecrypt
Utilisez l'Assistant Importation de certificat pour importer la clé privée correspondante vers le certificat dans le gestionnaire de certificats Windows.
Téléchargez et installez l'outil DocRecrypt Office. Cet outil est disponible dans le Centre de téléchargement Microsoft.
Lorsque vous installez l’outil Office DocRecrypt sur un ordinateur 64 bits, il est installé à l’emplacement suivant :
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
Lorsque vous installez l’outil Office DocRecrypt sur un ordinateur 32 bits, il est installé à l’emplacement suivant :
- %programfiles%\Microsoft Office\DOCRECRYPT
Voilà. Tous les éléments sont en place et vous êtes prêt à supprimer le mot de passe sur un fichier Word, Excel ou PowerPoint la prochaine fois qu’un utilisateur vous demandera de le faire.
Utilisation de l’outil Office DocRecrypt
Utilisez l’outil DocRecrypt, qui est maintenant installé sur l’ordinateur de l’administrateur informatique, pour supprimer le mot de passe du fichier et en attribuer un nouveau.
Pour utiliser l’outil DocRecrypt
Suivez les instructions suivantes pour utiliser l’outil DocRecrypt à partir de la ligne de commande. Vous pouvez également exécuter des commandes DocRecrypt sans assistance à partir d'un fichier de commandes ou d'un script.
Accédez à la ligne de commande de l'outil DocRecrypt Office et ouvrez-la à l'aide de la syntaxe suivante :
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]
Les options de l'outil DocRecrypt sont décrites dans le tableau ci-dessous.
Options de l'outil DocRecrypt
| Paramètre | Description |
|---|---|
| -p <new_password> |
(Facultatif) Il s’agit du nouveau mot de passe affecté au fichier d’entrée, ou du fichier de sortie si un nom de fichier de sortie est fourni. |
| -i <inputfile_or_folder> |
Il s'agit du fichier ou du dossier qui contient les fichiers verrouillés car le mot de passe est inconnu. Si vous spécifiez un dossier, l’outil Office DocRecrypt ignore tous les fichiers qui ne sont pas au format Office Open XML. |
| -o <outputfile_or_folder> |
(Facultatif) Il s'agit du nom du nouveau fichier ou dossier de fichiers de sortie qui sera créé à partir des fichiers d'entrée. Là encore, tous les fichiers qui ne sont pas au format Office Open XML sont ignorés. |
| -q |
(Facultatif) Indique que vous voulez exécuter l'outil DocRecrypt Office en mode silencieux, généralement dans un script. Le mode silencieux n’affiche pas d’interface utilisateur et échoue si un certificat exige que l’administrateur informatique entre un code confidentiel. Si votre certificat nécessite un code confidentiel, n’utilisez pas le mode silencieux. |
Par exemple :
Pour supprimer le mot de passe d’un fichier, utilisez le code suivant :
DocRecrypt -i lockedfile
Pour supprimer le mot de passe et attribuer 12345 comme nouveau mot de passe, utilisez le code suivant :
DocRecrypt -p 12345 -i lockedfile
Pour supprimer le mot de passe, créez un fichier et attribuez-lui le mot de passe 12345. Utilisez le code suivant :
DocRecrypt -p 12345 -i lockedfile -o newfile
Une fois que les fichiers sont protégés par mot de passe à l’aide d’Office 2016, ne supprime pas les mots de passe.
Fichiers Office 2010 et 2007
Une fois que les ordinateurs clients de votre organisation ont été configurés en utilisant l'outil DocRecrypt Office (soit individuellement, soit par stratégie de groupe), les fichiers Word 2016, Excel 2016 ou PowerPoint 2016 (.docx, .xlsx et .pptx) ultérieurs et les fichiers Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 ou PowerPoint 2010 existants protégés par mot de passe que les utilisateurs modifient dans Office 2016 peuvent être déverrouillés ou le mot de passe peut être réinitialisé avec l'outil DocRecrypt. Une fois qu'une clé secrète est ajoutée à un fichier protégé par mot de passe, celui-ci peut être déverrouillé ou réinitialisé même s'il a été modifié dans Office 2007 ou Office 2010.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour