Remover ou redefinir senhas de arquivos no Office 2016
Resumo: Explica como usar a ferramenta DocRecrypt do Office 2016 para desbloquear os arquivos do Word, Excel e PowerPoint formatados com OOXML e protegidos por senha.
Use a Política de Grupo para enviar as alterações do registro que associam um certificado aos documentos protegidos por senha. Essas informações do certificado são incorporadas no cabeçalho do arquivo. Mais tarde, se a senha for esquecida ou perdida, use a ferramenta da linha de comando DocRecrypt e a chave privada para desbloquear o arquivo e, opcionalmente, atribuir uma nova senha.
Observação
- Se você quiser informações sobre senhas em uma cópia pessoal do Office 2016, consulte Proteger um documento com uma senha ou Proteger um arquivo do Excel.
- Se você é um profissional de TI que procura remover ou redefinir senhas em arquivos do Office 2016 em sua organização, por exemplo, se um funcionário deixou a organização e você não sabe a senha, você está no lugar certo, então continue lendo. |
Visão geral: removendo ou redefinindo a senha de um arquivo no Office 2016 usando a ferramenta DocRecrypt
Há muitos motivos pelos quais os usuários podem querer ou ter que proteger por senha um documento Word, Excel ou PowerPoint. Por exemplo:
Várias pessoas em uma organização imediata querem trabalhar com um orçamento de grupo, mas não querem que esses números fiquem visíveis para a organização maior até que sejam concluídos.
Consultores trabalham com clientes que requerem, por meio de um contrato de nível de serviço, que seus dados particulares permaneçam protegidos quando saem do controle do cliente.
Os professores querem garantir que os testes criados em Word não possam ser comprometidos.
Profissionais de mídia e cientistas que trabalham em apresentações para os principais pesquisadores em seus campos, querem garantir que suas descobertas não vazem para o público antes de seus principais anúncios.
Antes, se o criador original da senha de um arquivo esquecesse a senha ou saísse da organização, o arquivo ficava irrecuperável. Um administrador de TI pode desbloquear um arquivo para um usuário com o Office 2016 e uma chave de escrow. Essa chave vem do repositório de certificados de chave privada da sua empresa ou da organização. Após o desbloqueio, o administrador pode remover a proteção de senha ou definir uma nova senha para o arquivo. Você, o administrador de TI, é o guardião da chave de escrow, que é gerada do repositório de certificados de chave privada da sua empresa ou da organização. Você pode enviar silenciosamente as informações da chave pública para os computadores cliente uma vez por meio da definição da chave do registro que você pode criar manualmente ou pode criá-la por meio de um script da Política de Grupo. Quando um usuário criar, posteriormente, um arquivo do Word, do Excel ou do PowerPoint protegido por senha, essa chave pública será incluída no cabeçalho do arquivo. Depois, um profissional de TI poderá usar a ferramenta DocRecrypt do Office para remover a senha anexada ao arquivo, então, opcionalmente, proteger o arquivo usando uma nova senha. O profissional de TI deve ter todo o seguinte para remover a senha:
A nova ferramneta Office DocRecrypt
O arquivo do Word, Excel ou PowerPoint com uma chave pública incorporada
Permissão e acesso às chaves pública e privada associadas ao certificado
Manter a chave privada segura
Esse recurso não controla o processo corporativo para manipular e distribuir uma chave privada. Ele também não define onde armazenar a chave, as permissões necessárias para solicitações de redefinição de senha ou o local do arquivo após a restauração. Os padrões e processos da sua organização devem orientar essas decisões
Para manter um alto nível de segurança em arquivos protegidos por senha, é recomendável adotar essas políticas:
Nunca envia a chave privada para um computador cliente! Essa recomendação é a mais importante.
Bloqueie o repositório de certificados que tem a chave privada e o certificado que foi usado para gerar a chave de caução e as chaves públicas.
Verifique se alguém pode comprometer os serviços da infraestrutura da chave pública (PKI). E mais, recomendamos que você distribua as funções de gerenciamento dos certificados entre pessoas diferentes em sua organização.
Se você não seguir essas recomendações consistentemente, a segurança de todos os novos arquivos protegidos por senha poderá ser comprometida. Sua empresa ou organização já deve ter um modelo de administração dos Serviços de Domínio Active Directory (AD CS) e estratégia de infraestrutura da autoridade de certificação (CA) bem definidas que inclui, por exemplo, um armazenamento fora do site da chave privada e dos certificados. Para mais informações, confira Implementar Administração Baseada em Funções.
Observação
O certificado usado para a ferramenta DocRecrypt pode ser um certificado comum do usuário com a Autenticação do usuário como a finalidade pretendida. O principal objetivo do certificado é ser capaz de criptografar o documento.
Como é localizado o certificado correto?
Como muitos certificados de chave privada podem estar localizados em um computador de TI, é justo imaginar como o certificado correto pode ser descoberto. No Gerenciador de certificados (certmgr.msc), a ferramenta DocRecrypt do Office 2016 primeiro pesquisa o armazenamento Lógico, então, o armazenamento Usuário atual. Em cada um desses armazenamentos, a ferramenta primeiro pesquisa por meio dos certificados que não exigem um PIN de aplicação do Sistema Windows. Em seguida, ele pesquisa os certificados que exigem um.
Considerações especiais
Abra os arquivos XML do Office apenas A ferramenta DocRecrypt do Office funciona apenas nos documentos com formato Open XML do Office, como os arquivos docx, pptx e xlsx.
Arquivos criptografados anteriormente A ferramenta DocRecrypt do Office não pode ser usada para recuperar arquivos que foram protegidos por senha antes de você ter implantado o certificado e a chave de caução. Depois de implantar o certificado e a chave de armazenamento, um usuário poderá abrir um arquivo do Office 2016 protegido anteriormente e salvá-lo. Essa ação adiciona a chave de escrow ao arquivo. Nesse ponto em diante, você pode remover ou redefinir a senha do arquivo usando a ferramenta Office DocRecrypt.
Outras maneiras de proteger arquivos Word, Excel e PowerPoint Para outras maneiras de proteger arquivos Word, Excel e PowerPoint, consulte Adicionar ou remover a proteção em seu documento, pasta de trabalho ou apresentação.
Os usuários podem aplicar independentemente qualquer um desses métodos de proteção. Se um administrador de TI remover uma senha, todas as outras configurações de proteção permanecerão em vigor. A remoção da senha não afeta essas outras configurações.
Há alguns fatores que podem afetar sua capacidade de remover a senha em um arquivo. Para obter detalhes e orientações, consulte a tabela a seguir.
Considerações ao remover a senha em um arquivo
| Problema | Orientação |
|---|---|
| O arquivo é marcado como somente leitura ou oculto. |
A ferramenta Office DocRecrypt não funciona em arquivos marcados como somente leitura ou ocultos. Mas, você pode remover a configuração, descriptografar o arquivo, então, configurá-lo novamente para Somente leitura ou Oculto após a pesquisa. |
| O arquivo é armazenado em vários locais. |
A ferramenta DocRecrypt do Office remove a proteção por senha na instância específica do arquivo referenciado. Mas, você deve remover a proteção por senha nos arquivos referenciados no RAID ou outras configurações do disco rígido também. |
| O arquivo está localizado em uma pasta de trabalho compartilhada. |
A ferramenta Do Office DocRecrypt não funciona em arquivos de coautoria que contêm arquivos inseridos. |
| O arquivo é assinado digitalmente. |
Remover a proteção por senha de um arquivo assinado digitalmente não compromete a validade da assinatura digital. |
| O nome de arquivo começa com hífen ("-"). |
Se o nome de arquivo que você deseja pesquisar usando a ferramenta DocRecrypt do Office contém um hífen, coloque o nome entre aspas. |
| O solicitante não tem permissões para abrir o arquivo. |
O administrador de TI verifica se a pessoa que pede para descriptografar um arquivo tem o direito de acessar seu conteúdo depois que a senha for removida ou alterada. Do mesmo modo, se um arquivo protegido por senha tiver uma lista de controle de acesso associada, o processe de descriptografia removerá a associação. Você deve retabelecê-la depois. |
| O arquivo ou local de destino é de somente leitura. |
Verifique se o arquivo protegido por senha e o local de destino são de leitura/gravação. |
| O certificado foi revogado ou expirou. |
Seu departamento de TI deve assegurar que os certificados da chave privada sejam válidos e atualizados. Além disso, a ferramenta Do Office DocRecrypt não marcar para status de revogação de certificado de chave privada. |
| O arquivo protegido por senha está localizado na nuvem. |
O arquivo deve ser copiado para um disco rígido ou um compartilhamento UNC de leitura/gravação antes de poder ser descriptografado. |
Configure os computadores cliente para a remoção da proteção por senha
Para permitir que seu departamento de TI remova uma senha de um arquivo do Word, PowerPoint ou Excel protegido por senha, quando você implantar o Office 2016 em sua organização, primeiro terá que enviar as chaves públicas do certificado e fazer algum registro nos computadores cliente. Há dois modos de fazer isto:
Por meio de um modelo Administrativo da política de grupo, que é a melhor escolha para vários computadores ou computadores cliente corporativos, ou
Mudando manualmente o registro de um computador cliente, que é a melhor escolha para um computador ou alguns computadores cliente.
Para configurar vários computadores cliente para a proteção por senha usando um objeto da política de grupo
Baixe os arquivos Política de Grupo modelo administrativo (ADMX/ADML) do Centro de Download da Microsoft.
Abra o modelo no Editor da Política de Grupo Local e navegue para as configurações da chave de caução. Abra o desvio Configuração do Usuário e escolha Modelos Administrativos, Microsoft Office 2016, Configurações da Segurança e Certificados da Caução.
20 chaves de caução estão disponíveis para configurar, cada uma nomeada como Chave de caução nº .
Selecione uma chave de caução e no menu de atalho (clique com o botão direito), escolha Editar para configurar uma chave de caução.
A caixa de diálogo Chave de caução nº será exibida.
Para configurar e ativar essa chave, selecione o botão Ativado. Se você quiser desativar essa chave depois, volte para a caixa de diálogo Chave de caução nº e selecione o botão Desativado.
Na caixa Hash de Certificado , insira o hash de certificado usado como identificador exclusivo do certificado, também conhecido como "impressão digital". Por exemplo, se a impressão digital do certificado for 9131517191121d94d143117fc126213c1781d21c, defina o valor do hash do certificado como esse número. Esse hash poderá incluir espaços se você quiser torná-lo mais legível.
Insira um comentário para fornecer mais detalhes sobre esse certificado específico, se for necessário. Isso é opcional.
Escolha OK.
Para configurar um computador cliente para a proteção por senha com novas configurações do registro
Para conseguir remover uma senha de um arquivo do Word, PowerPoint ou Excel, você deve criar uma chave do registro para indicar os certificados da chave pública que você deseja disponibilizar para proteger por senha os arquivos..
Observação
Para obter orientações específicas sobre como criar uma chave do registro, consulte a Ajuda disponível no menu Ajuda do Editor de Registro (regedit.exe).
No Editor de Registro, crie uma chave no registro do computador cliente no seguinte caminho do registro:
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts
Crie essa nova chave manualmente ou com um arquivo em batch .reg. Para criar um arquivo .reg usando o regedit.exe, confira Criando um Arquivo .reg.
Crie uma chave no registro do computador cliente
| Elemento Registry | Descrição |
|---|---|
| Nome da chave |
Este valor deve ser EscrowCerts. |
| Tipo de dados |
chave |
| Pai |
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\ |
Na nova chave criada na etapa 1, adicione as informações do certificado da chave pública, como mostrado na tabela a seguir. Crie uma entrada para cada certificado da chave pública que você deseja disponibilizar para proteger por senha os arquivos.
Adicione informações do certificado da chave pública
| Elemento Registry | Descrição |
|---|---|
| Nome da chave |
Nome exclusivo definido pelo usuário que descreve o certificado da chave pública. Por exemplo, EscrowCert01, EscrowCert02 etc. |
| Tipo |
STRING |
| Valor |
O hash usado como identificador exclusivo do certificado, também conhecido como "impressão digital" na caixa de diálogo Certificado do Windows. Por exemplo, se a impressão digital de seu certificado for 9131517191121d94d143117fc126213c1781d21c, defina o valor para esse número. Esse hash poderá incluir espaços se você quiser torná-lo mais legível. |
Quando as entradas do registro estiverem funcionando, envie o certificado para o computador cliente. O certificado da chave pública deve ser armazenado no Gerenciador de Certificados do Windows (certmgr.msc) em Certificados - Repositório Pessoal do Usuário Atual ou Lógico. Para obter detalhes sobre como enviar certificados da chave pública para os computadores cliente com a Política de Grupo, confira Distribuir Certificados para Computadores Cliente Usando a Política de Grupo.
Importante
O administrador de TI deve assegurar que o certificado usado para este processo seja válido e não tenha expirado.
Quando os usuários decidirem proteger por senha os arquivos criados no Office 2016Word, PowerPoint ou Excel, as devidas informações da chave pública serão salvas no cabeçalho do arquivo. O administrador poderá usar essa chave pública e combinar a chave privada posteriormente se for solicitado remover a proteção por senha.
Configure o computador do administrador de TI que tem a chave e a ferramenta DocRecrypt
O computador administrador de TI não precisa ter chave e subchave no registro, nem precisa ter uma cópia do certificado de chave pública. Mas o computador do administrador de TI precisa do seguinte:
O par de chave privada/certificado correspondente
A ferramenta DocRecrypt do Office
Para configurar o computador da TI que tem a chave e a ferramenta DocRecrypt
Use o Assistente de importação de certificados para importar a chave privada correspondente ao certificado no Gerenciador de certificados do Windows.
Baixe e instale a ferramenta DocRecrypt do Office. Essa ferramenta está disponível no Centro de Download da Microsoft.
Quando você instala a ferramenta Do Office DocRecrypt em um computador de 64 bits, ela é instalada no seguinte local:
- %programfiles(x86)%\Microsoft Office\DOCRECRYPT
Quando você instala a ferramenta Do Office DocRecrypt em um computador de 32 bits, ela é instalada no seguinte local:
- %programfiles%\Microsoft Office\DOCRECRYPT
É tudo. Todas as peças estão em vigor e você está pronto para remover a senha em um arquivo Word, Excel ou PowerPoint na próxima vez que um usuário pedir que você faça isso.
Use a ferramenta DocRecrypt do Office
Use a ferramenta DocRecrypt, que agora está instalada no computador do administrador de TI, para remover a senha do arquivo e atribuir uma nova senha.
Para usar a ferramenta DocRecrypt
Siga estas instruções para usar a ferramenta DocRecrypt a partir da linha de comando. Você também pode executar os comandos DocRecrypt silenciosamente a partir de um arquivo em batch ou script.
Navegue e abra a linha de comando da ferramenta DocRecrypt do Office usando a seguinte sintaxe:
DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]
As opções da ferramenta DocRecrypt são descritas na tabela a seguir.
Opções da ferramenta DocRecrypt
| Parâmetro | Descrição |
|---|---|
| -p <new_password> |
(Opcional) Essa é a nova senha atribuída ao arquivo de entrada ou ao arquivo de saída se um nome de arquivo de saída for fornecido. |
| -i <inputfile_or_folder> |
Este é o arquivo que contém os arquivos bloqueados porque a senha é desconhecida. Se você especificar uma pasta, a ferramenta Do Office DocRecrypt ignorará todos os arquivos que não são formato XML do Office Open. |
| -o <outputfile_or_folder> |
(Opcional) Este é nome de um novo arquivo de saída ou pasta para os arquivos que serão criados a partir dos arquivos de entrada. Novamente, todos os arquivos que não são formato XML do Office Open são ignorados. |
| -q |
(Opcional) Indica que você deseja executar a ferramenta DocRecrypt do Office no modo silencioso, geralmente em um script. O modo silencioso não mostra uma interface do usuário e falha se um certificado exigir que o administrador de TI insira um PIN. Se o certificado exigir um PIN, não use o modo silencioso. |
Por exemplo:
Para remover a senha de um arquivo, use este código:
DocRecrypt -i lockedfile
Para remover a senha e atribuir uma nova senha 12345, use este codigo:
DocRecrypt -p 12345 -i lockedfile
Para remover a senha, crie um novo arquivo e atribuir uma nova senha 12345 a esse arquivo, use este código:
DocRecrypt -p 12345 -i lockedfile -o newfile
Depois que os arquivos forem protegidos por senha usando o Office 2016, não removerá as senhas.
Arquivos do Office 2010 e 2007
Após a configuração dos computadores clientes em sua organização usando a ferramenta Office DocRecrypt (individualmente ou por meio da Política de Grupo), quaisquer arquivos futuros do Word 2016, do Excel 2016 ou do PowerPoint 2016 (arquivos docx, xlsx e pptx) e quaisquer arquivos do Office Word 2007, do Word 2010, do Office Excel 2007, do Excel 2010, Office PowerPoint 2007 ou do PowerPoint 2010 protegidos por senha editados pelos usuários no Office 2016 podem ser desbloqueados ou as senhas podem ser redefinidas com a ferramenta DocRecrypt. Após a adição de uma chave de caução a um arquivo protegido por senha, ele pode ser desbloqueado ou redefinido mesmo se tiver sido editado no Office 2007 ou no Office 2010.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de