Планирование параметров криптографии и шифрования для Office 2013

 

Применимо к: Office 2013, Office 365 ProPlus

Последнее изменение раздела: 2016-12-16

Сводка. В этой статье рассказывается о параметрах, с помощью которых можно шифровать данные в Office 2013, и совместимости с предыдущими версиями Office.

Аудитория: ИТ-специалисты

Office 2013 включает параметры, позволяющие управлять способом шифрования данных при использовании Access 2013, Excel 2013, OneNote 2013, PowerPoint 2013, Project 2013 и Word 2013.

В этой статье обсуждается криптография и шифрование в Office 2013, описываются параметры шифрования данных и предоставляется информация о совместимости с предыдущими версиями Office. Сведения о Outlook 2013 см. в статье Планирование шифрования сообщений электронной почты в Outlook 2010 (Планирование шифрования сообщений электронной почты).

Указатель для справочника по безопасности Office.

Эта статья входит в состав набора Руководство по безопасности Office 2013. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, примеров и видеозаписей, помогающих оценить совместимость Office 2013.

Ищете информацию о безопасности отдельных приложений Office 2013? Для этого можно выполнить поиск по словам "2013 security" (безопасность 2013) на сайте Office.com.

Планируя применение параметров шифрования, учитывайте следующее.

  • Рекомендуется не изменять параметры шифрования по умолчанию, если только модель безопасности вашей организации не требует других параметров шифрования.

  • Рекомендуется включить требование к длине и сложности пароля, чтобы гарантировать использование надежных паролей при шифровании данных. Дополнительные сведения см. в статье Планирование параметров сложности паролей для Office 2013 (Планирование параметров сложности паролей для Office 2013).

  • Рекомендуется не использовать шифрование RC4. Дополнительные сведения см. в разделе Совместимость с предыдущими версиями Office далее в этой статье.

  • Не существует административного параметра, принудительно включающего шифрование документов для пользователей. При этом, существует административный параметр, который запрещает пользователям добавлять пароли на документы и, таким образом, запрещает их шифрование. Дополнительные сведения см. в разделе Параметры криптографии и шифрования далее в этой статье.

  • Сохранение документов в надежных расположениях не влияет на параметры шифрования. Если документ зашифрован и сохранен в надежном расположении, пользователю все равно необходимо ввести пароль, чтобы открыть его.

  • Если пользователям разрешено защищать документы с помощью паролей, то в случае потери пароля с помощью средства DocRecrypt вы сможете сбросить или удалить пароль. Дополнительные сведения см. в статье Удаление и сброс паролей файлов в Office 2013 (Удаление или сброс паролей в Office 2013).

В этой статье

  • Криптография и шифрование в Office 2010

  • Параметры криптографии и шифрования

  • Совместимость с предыдущими версиями Office

Криптография и шифрование в Office 2010

Алгоритмы шифрования, доступные для использования с Office, зависят от того, к каким алгоритмам можно получать доступ через API (программные интерфейсы) в операционной системе Windows. Кроме поддержки API криптографии (CryptoAPI), Office 2013 также поддерживает CNG (CryptoAPI: Next Generation), который впервые появился в Система Microsoft Office 2007 с пакетом обновления 2 (SP2).

CNG обеспечивает более гибкое шифрование, при котором можно указать алгоритмы шифрования и хэширования, поддерживаемые на главном компьютере, для использования в процессе шифрования документов. В CNG также улучшена расширяемость шифрования, при которой можно использовать модули шифрования сторонних поставщиков.

При использовании CryptoAPI в Office алгоритмы шифрования зависят от того, какие алгоритмы доступны у поставщика службы криптографии (CSP), который входит в состав операционной системы Windows. Следующий раздел реестра содержит список CSP, которые установлены на компьютере:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

Указанные ниже алгоритмы шифрования CNG, а также другие установленные в системе расширения шифрования CNG можно использовать с Система Office 2007 с пакетом обновления 2, Office 2010 и Office 2013:

AES, DES, DESX, 3DES, 3DES_112 и RC2.

Указанные ниже алгоритмы хэширования CNG, а также другие расширения шифрования CNG, установленные в системе, можно использовать с Система Office 2007 с пакетом обновления 2, Office 2010 и Office 2013:

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 и SHA512.

Можно изменять параметры выполнения шифрования Office 2013, однако при шифровании файлов в формате Open XML (DOCX, XSLX, PPTX и др.) значения по умолчанию — AES, 128-разрядная длина ключа, SHA1 и CBC — обеспечивают надежное шифрование и должны подходить для большинства организаций. AES — это самый надежный из стандартных в отрасли алгоритмов, который был выбран Агентством национальной безопасности США (NSA) для использования в качестве стандартного метода в правительстве США. Шифрование AES поддерживается в Windows XP с пакетом обновления 2, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2 и Windows Server 2012.

Параметры криптографии и шифрования

В следующей таблице приведены параметры алгоритма шифрования, которые можно использовать с версиями Office, которые имеют доступ к CryptoAPI. Это версии Office до Office 2013 включительно.

Параметры алгоритмов шифрования для использования с CryptoAPI

Параметр Описание

Тип шифрования для защищенных паролем файлов Office Open XML

С помощью этого параметра можно выбрать тип шифрования для файлов Open XML из доступных поставщиков служб шифрования (CSP). Этот параметр необходим при использовании надстройки с настраиваемым шифрованием модели COM. Этот параметр также необходим, если используется Система Office 2007 с пакетом обновления 1 или старая версия пакета обеспечения совместимости Microsoft Office для форматов файлов Word, Excel и PowerPoint и нужно изменить алгоритм шифрования на отличный от установленного по умолчанию.

Тип шифрования для защищенных паролем файлов Office 97–2003

С помощью этого параметра можно выбрать тип шифрования для файлов Office 97–2003 (двоичные) из доступных поставщиков службы шифрования (CSP). С этим параметром поддерживается всего один алгоритм шифрования — RC4, который не рекомендуется использовать.

Если в Office 2013 нужно изменить параметр Тип шифрования для защищенных паролем файлов Office Open XML , сначала включите параметр Задать совместимость шифрования и выберите опцию Использовать формат прежних версий. Параметр Задать совместимость шифрования доступен для Access 2013, Excel 2013, PowerPoint 2013 и Word 2013.

В следующей таблице приведены параметры, с помощью которых можно изменить алгоритмы шифрования при использовании Office 2013. Эти параметры применяются к Access 2013, Excel 2013, OneNote 2013, PowerPoint 2013, Project 2013 и Word 2013.

ПримечаниеПримечание
Можно применять все указанные ниже параметры, кроме Задать алгоритм генерации случайных чисел CNG и Задать параметры для контекста CNG, даже при использовании поддерживаемой операционной системы для Office 2013, например Windows XP с пакетом обновления 3, которая не поддерживает CNG. В таком случае Office 2013 использует CryptoAPI вместо CNG. Эти параметры применяются, только когда вы используете Office 2013 для шифрования файлов Open XML.

Параметры, изменяющие алгоритм шифрования

Параметр Описание

Задать алгоритм шифрования CNG

Позволяет настроить используемый алгоритм шифрования CNG. Значение по умолчанию: AES.

Настройка режима цепочки шифрования CNG

Позволяет настроить используемый режим цепочки шифрования. Значение по умолчанию: Cipher Block Chaining (CBC).

Задать длину ключа шифрования CNG

Позволяет указать количество битов, которые будут использоваться при создании ключа шифрования. Значение по умолчанию: 128 бит.

Задать совместимость шифрования

Позволяет указать формат совместимости. Значение по умолчанию: Использовать формат следующего поколения.

Задать параметры для контекста CNG

Позволяет указать параметры шифрования, которые следует использовать для контекста CNG. Чтобы использовать этот параметр, сначала необходимо создать контекст CNG с помощью CryptoAPI: Next Generation (CNG). Дополнительные сведения см. в статье Функции конфигурации шифрования CNG.

Задать алгоритм хэширования CNG

Позволяет указать используемый алгоритм хэширования. Значение по умолчанию: SHA1.

Задать число смен хэша пароля CNG

Позволяет указать количество смен хэша в средстве проверки пароля. Значение по умолчанию: 100000.

Задать алгоритм генерации случайных чисел CNG

Позволяет настроить генератор случайных чисел CNG, который будет использоваться. Значение по умолчанию: RNG (Random Number Generator).

Задать длину соли CNG

Позволяет указать количество байтов соли, которое нужно использовать. Соль является дополнительными входными данными на ряду с паролем и хэшем. Значение по умолчанию: 16.

В следующей таблице указаны дополнительные параметры CNG, которые можно настроить для Excel 2013, PowerPoint 2013 и Word 2013.

Параметр CHG для Excel 2013, PowerPoint 2013 и Word 2013

Параметр Описание

Использовать новый ключ при смене пароля

Позволяет указать, нужно ли использовать новый ключ шифрования при смене пароля. По умолчанию при смене пароля новый ключ не используется.

С помощью параметра, указанного в следующей таблице, можно запретить пользователям добавлять пароли для документов. Это также запретит пользователям шифровать документы.

Параметр, который запрещает пользователям защищать документы с помощью паролей

Параметр Описание

Отключить пароль для открытия пользовательского интерфейса

Этот параметр определяет, могут ли пользователи Office 2013 добавлять пароли для документов. По умолчанию пароли можно добавлять.

ПримечаниеПримечание
Сведения о том, как настроить параметры безопасности в центре развертывания Office (OCT) и административных шаблонах Office 2013, см. в статье Настройка параметров безопасности с использованием центра развертывания Office или групповой политики Office 2013 (Настройка безопасности для Office 2013).

Совместимость с предыдущими версиями Office

Документы Office, которые нужно зашифровать, рекомендуем сохранять в формате Open XML (DOCX, XLSX, PPTX и т. д.), а не в формате Office 97–2003 (DOC, XLS, PPT и т. д.). Для шифрования двоичных документов (DOC, XLS, PPT) используется алгоритм RC4, но его не рекомендуется применять, как объясняется в разделах о вопросах безопасности 4.3.2 и 4.3.3 статьи Спецификация структуры шифрования документа Office. Документы, сохраненные в более старых двоичных форматах Office, можно шифровать только с помощью алгоритма RC4 для сохранения совместимости с предыдущими версиями Office. Для шифрования форматов файлов Open XML используется алгоритм AES, который выбран по умолчанию и является рекомендуемым.

В Office 2013, Office 2010 и Система Office 2007 можно сохранять документы в формате Open XML. Кроме того, при наличии Office XP или Office 2003 можно использовать пакет обеспечения совместимости, чтобы сохранять документы в формате Open XML.

Документы, сохраненные в формате Open XML и зашифрованные с помощью Office 2013, доступны для чтения только в Office 2013, Office 2007 с пакетом обновления 2 и Office 2003 с пакетом обеспечения совместимости Office 2007 с пакетом обновления 2. Чтобы гарантировать совместимость со всеми предыдущими версиями Office, можно создать раздел реестра (если он еще не создан) CompatMode в разделе HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ и отключить его, установив значение 0. Значения, которые можно вводить для <приложения>, представляют определенное приложение Office, для которого можно настроить этот раздел реестра. Например, можно ввести Access, Excel, PowerPoint или Word. Необходимо помнить, что когда для CompatMode устанавливается значение 0, Office 2013 использует формат шифрования, совместимый с Office 2007, вместо усиленной безопасности, которая по умолчанию действует при использовании Office 2013 для шифрования файлов в формате Open XML. Если нужно настроить этот параметр для целей совместимости, рекомендуется также использовать модуль шифрования стороннего поставщика, обеспечивающий усиленную безопасность, например шифрование AES.

Если для шифрования файлов Open XML организация использует пакет обеспечения совместимости Microsoft Office для форматов файлов Word, Excel и PowerPoint, ознакомьтесь со следующей информацией.

  • По умолчанию в пакете совместимости используются следующие параметры шифрования файлов в формате Open XML.

    • Microsoft Enhanced RSA and AES Cryptographic Provider (прототип), AES 128, 128 (в операционной системе Windows XP Professional).

    • Microsoft Enhanced RSA and AES Cryptographic Provider, AES 128, 128 (в операционных системах Windows Server 2003 и Windows Vista).

  • Пользователи не получают уведомление о том, что пакет обеспечения совместимости использует эти параметры шифрования.

  • Если установлен пакет обеспечения совместимости, графический пользовательский интерфейс на более ранних версиях Office может отображать неправильные параметры шифрования для файлов в формате Open XML.

  • Пользователи не могут изменить параметры шифрования для файлов в формате Open XML с помощью графического пользовательского интерфейса более ранних версий Office.

ПримечаниеПримечание
Самые последние сведения о параметрах политики см. в статье Файлы административных шаблонов групповой политики (ADMX, ADML) и файлы центра развертывания Office для Office 2013 (Файлы администрирования шаблонов Office 2013 (ADMX, ADML) и центр развертывания Office).

См. также

Руководство по безопасности Office 2013
Обзор безопасности в Office 2013
Настройка параметров безопасности с использованием центра развертывания Office или групповой политики Office 2013
Удаление и сброс паролей файлов в Office 2013

Спецификация структуры шифрования документа Office