بدءا من تحديث الأمان لشهر أغسطس 2023 Microsoft Exchange Server، سيكون AES256 في وضع سلسلة كتل التشفير (AES256-CBC) هو وضع التشفير الافتراضي عبر جميع التطبيقات التي تستخدم حماية البيانات في Microsoft Purview. لمزيد من المعلومات، راجع تغييرات خوارزمية التشفير في حماية البيانات في Microsoft Purview.
إذا كنت تستخدم Exchange Server ولديك توزيع Exchange مختلط، أو كنت تستخدم Microsoft 365 Apps هذا المستند سيساعدك على الاستعداد للتغيير بحيث لا توجد أي اضطرابات.
تساعد التغييرات التي تم إدخالها في تحديث الأمان لشهر أغسطس 2023 (SU) في فك تشفير رسائل البريد الإلكتروني والمرفقات المشفرة بواسطة AES256-CBC. تمت إضافة دعم لتشفير رسائل البريد الإلكتروني في وضع AES256-CBC في أكتوبر 2023 SU.
كيفية تنفيذ تغيير وضع AES256-CBC في Exchange Server
إذا كنت تستخدم ميزات إدارة حقوق المعلومات (IRM) في Exchange Server مع خدمات إدارة حقوق Active Directory (AD RMS) أو Azure RMS (AzRMS)، فيجب عليك تحديث Exchange Server 2019 Exchange Server خوادم 2016 إلى تحديث الأمان لشهر أغسطس 2023 وإكمال الخطوات الإضافية الموضحة في الأقسام التالية بحلول نهاية أغسطس 2023. ستتأثر وظيفة البحث ودفتر اليومية إذا لم تقم بتحديث خوادم Exchange إلى أغسطس 2023 SU بنهاية أغسطس.
إذا كانت مؤسستك بحاجة إلى وقت إضافي لتحديث خوادم Exchange، فاقرأ بقية المقالة لفهم كيفية التخفيف من تأثير التغييرات.
تمكين دعم وضع التشفير AES256-CBC في Exchange Server
يدعم SU لشهر أغسطس 2023 ل Exchange Server فك تشفير رسائل البريد الإلكتروني والمرفقات المشفرة لوضع AES256-CBC. لتمكين هذا الدعم، اتبع الخطوات التالية:
-
قم بتثبيت وحدة SU لشهر أغسطس 2023 على جميع خوادم Exchange 2019 و2016.
-
قم بتشغيل أوامر cmdlets التالية على جميع خوادم Exchange 2019 و2016.
ملاحظة: أكمل الخطوة 2 على جميع خوادم Exchange 2019 و2016 في بيئتك قبل المتابعة إلى الخطوة 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
ملاحظة: تتم إضافة مفتاح $acl -AclObject إلى السجل أثناء تثبيت وحدة SU لشهر أغسطس.
-
إذا كنت تستخدم AzRMS، فيجب تحديث موصل AzRMS على جميع خوادم Exchange. قم بتشغيل البرنامج النصي GenConnectorConfig.ps1 المحدث لإنشاء مفاتيح التسجيل التي تم تقديمها لدعم وضع AES256-CBC في Exchange Server أغسطس 2023 SU وإصدارات Exchange الأحدث. قم بتنزيل أحدث برنامج نصي GenConnectorConfig.ps1 من مركز تنزيل Microsoft.
لمزيد من المعلومات حول كيفية تكوين خوادم Exchange لاستخدام الموصل، راجع تكوين الخوادم لموصل Microsoft Rights Management.تتناول المقالة تغييرات التكوين المحددة Exchange Server 2019 Exchange Server 2016.
لمزيد من المعلومات حول كيفية تكوين الخوادم لموصل Rights Management، بما في ذلك كيفية تشغيله وكيفية نشر الإعدادات، راجع إعدادات التسجيل لموصل إدارة الحقوق. -
إذا كان لديك وحدة SU لشهر أغسطس 2023 مثبتة، فهناك دعم فقط لفك تشفير رسائل البريد الإلكتروني والمرفقات المشفرة بواسطة AES-256 CBC في Exchange Server. لتمكين هذا الدعم، قم بتشغيل تجاوز الإعداد التالي:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
بالإضافة إلى التغييرات التي تم إجراؤها في وحدة SU لشهر أغسطس 2023، يضيف SU أكتوبر 2023 دعما لتشفير رسائل البريد الإلكتروني والمرفقات في وضع AES256-CBC. إذا كان لديك وحدة SU لشهر أكتوبر 2023 مثبتة، فقم بتشغيل تجاوزات الإعداد التالية:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
قم بتحديث وسيطة VariantConfiguration. للقيام بذلك، قم بتشغيل cmdlet التالي:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
لتطبيق الإعدادات الجديدة، أعد تشغيل خدمة نشر الويب العالمية وخدمة تنشيط عملية Windows (WAS). للقيام بذلك، قم بتشغيل cmdlet التالي:
Restart-Service -Name W3SVC, WAS -Force
ملاحظة: أعد تشغيل هذه الخدمات على خادم Exchange الذي تتجاوز الإعدادات cmdlet عليه فقط.
إذا كان لديك توزيع Exchange المختلط (علب البريد في كل من الموقع المحلي Exchange Online)
سيتم إلغاء اشتراك المؤسسات التي تستخدم Exchange Server مع موصل خدمة إدارة حقوق Azure (Azure RMS) تلقائيا من تحديث وضع AES256-CBC في Exchange Online حتى يناير 2024 على الأقل. ومع ذلك، إذا كنت تريد استخدام وضع AES-256 CBC الأكثر أمانا لتشفير رسائل البريد الإلكتروني والمرفقات في Exchange Online، وفك تشفير رسائل البريد الإلكتروني والمرفقات هذه في Exchange Server، فأكمل هذه الخطوات لإجراء التغييرات الضرورية على توزيع Exchange Server.
بعد إكمال الخطوات المطلوبة، افتح حالة دعم، ثم اطلب تحديث إعداد Exchange Online لتمكين وضع AES256-CBC.
إذا كنت تستخدم Microsoft 365 Apps مع Exchange Server
بشكل افتراضي، ستستخدم جميع تطبيقات M365، مثل Microsoft Outlook وMicrosoft Word وMicrosoft Excel وMicrosoft PowerPoint، تشفير وضع AES256-CBC بدءا من أغسطس 2023.
هام: إذا لم تتمكن مؤسستك من تطبيق تحديث الأمان لخادم Exchange في أغسطس 2023 على جميع خوادم Exchange (2019 و2016)، أو إذا لم تتمكن من تحديث تغييرات تكوين الموصل عبر البنية الأساسية Exchange Server بنهاية أغسطس 2023، يجب إلغاء الاشتراك في تغيير AES256-CBC على تطبيقات Microsoft 365.
يصف القسم التالي كيفية فرض AES128-ECB للمستخدمين الذين يستخدمون إعدادات السجل نهج المجموعة.
يمكنك تكوين Office Microsoft 365 Apps ل Windows لاستخدام وضع ECB أو CBC باستخدام إعداد وضع التشفير لإدارة حقوق المعلومات (IRM) ضمنConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. بشكل افتراضي، يتم استخدام وضع CBC بدءا من الإصدار 16.0.16327 من Microsoft 365 Apps.
على سبيل المثال، لفرض وضع CBC لعملاء Windows، قم بتعيين إعداد نهج المجموعة كما يلي:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
لتكوين الإعدادات لعملاء Office for Mac، راجع تعيين تفضيلات على مستوى المجموعة Office for Mac.
لمزيد من المعلومات، راجع قسم "دعم AES256-CBC ل Microsoft 365" من التفاصيل المرجعية التقنية حول التشفير.
المشاكل المعروفة
-
لا يتم تثبيت وحدة SU لشهر أغسطس 2023 عند محاولة تحديث خوادم Exchange التي تم تثبيت RMS SDKعليها. نوصي بعدم تثبيت RMS SDK على نفس الكمبيوتر الذي تم تثبيت Exchange Server عليه.
-
يفشل تسليم البريد الإلكتروني ودفتر اليومية بشكل متقطع إذا تم تمكين دعم وضع AES256-CBC في Exchange Server 2019 Exchange Server 2016 في بيئة تتعايش مع Exchange Server 2013. Exchange Server 2013 غير مدعوم. لذلك، يجب ترقية جميع الخوادم إلى Exchange Server 2019 أو Exchange Server 2016.
الأعراض إذا لم يتم تكوين تشفير CBC بشكل صحيح أو لم يتم تحديثه
إذا تم تعيين TransportDecryptionSetting إلى إلزامي ("اختياري" افتراضيا) داخل Set-IRMConfiguration، ولم يتم تحديث خوادم Exchange وعملائها، فقد تنشئ الرسائل التي يتم تشفيرها باستخدام AES256-CBC تقارير عدم التسليم (NDR) ورسالة الخطأ التالية:
أرجع الخادم البعيد '550 5.7.157 RmsDecryptAgent؛ يتعذر على Microsoft Exchange Transport فك تشفير الرسالة بواسطة RMS.
قد يتسبب هذا الإعداد أيضا في حدوث مشكلات تؤثر على قواعد النقل للتشفير ودفتر اليومية وeDiscovery إذا لم يتم تحديث الخوادم.
