От актуализацията на защитата от август 2023 г. за Microsoft Exchange Server AES256 в режим на верига от шифроване (AES256-CBC) ще бъде режимът на шифроване по подразбиране във всички приложения, които използват Защита на информацията на Microsoft Purview. За повече информация вижте Промени в алгоритъма за шифроване в Защита на информацията на Microsoft Purview.
Ако използвате Exchange Server и имате хибридно разполагане на Exchange или използвате Приложения на Microsoft 365 този документ ще ви помогне да се подготвите за промяната, така че да няма прекъсвания.
Промените, които бяха въведени в актуализацията на защитата (SU) от август 2023 г., помагат за дешифриране на шифровани с AES256 CBC имейл съобщения и прикачени файлове. Поддръжката за шифроване на имейл съобщения в режим AES256-CBC е добавена през октомври 2023 г. за суипове.
Как да се реализира промяна в AES256 CBC режим в Exchange Server
Ако използвате функциите за управление на правата за достъп до информация (IRM) в Exchange Server заедно с услугите за управление на правата за достъп до Active Directory (AD RMS) или Azure RMS (AzRMS), трябва да актуализирате Exchange Server 2019 и Exchange Server 2016 сървъри на актуализацията на защитата от август 2023 г. и изпълнете допълнителните стъпки, които са описани в следващите раздели до края на август 2023 г. Функцията за търсене и регистриране в дневника ще бъде засегната, ако не актуализирате вашите сървъри на Exchange до август 2023 г., до края на август.
Ако вашата организация се нуждае от допълнително време, за да актуализира вашите сървъри на Exchange, прочетете останалата част от статията, за да разберете как да смекчите ефекта от промените.
Разрешаване на поддръжка за AES256-CBC режим на шифроване в Exchange Server
SU за август 2023 г. за Exchange Server поддържа дешифроване на шифровани с AES256-CBC режим имейл съобщения и прикачени файлове. За да разрешите тази поддръжка, изпълнете следните стъпки:
-
Инсталирайте СУ от август 2023 г. на всички ваши сървъри на Exchange 2019 и 2016.
-
Изпълнете следните кратки команди на всички сървъри на Exchange 2019 и 2016.
Забележка: Изпълнете стъпка 2 на всички сървъри на Exchange 2019 и 2016 във вашата среда, преди да продължите със стъпка 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Забележка: Ключът -AclObject $acl се добавя към системния регистър по време на инсталирането на SU през август.
-
Ако използвате AzRMS, AzRMS конекторът трябва да бъде актуализиран на всички сървъри на Exchange. Изпълнете актуализирания скрипт на GenConnectorConfig.ps1 , за да генерирате ключовете от системния регистър, които са въведени за поддръжката на режим AES256 CBC в Exchange Server август 2023 г. за su и по-нови версии на Exchange. Изтеглете най-новия GenConnectorConfig.ps1 скрипт от центъра на Microsoft за изтегляния.
За повече информация как да конфигурирате сървърите на Exchange да използват конектора, вижте Конфигуриране на сървъри за конектор на Microsoft Rights Management.В статията се обсъждат конкретни промени в конфигурацията за Exchange Server 2019 и Exchange Server 2016 г.
За повече информация как да конфигурирате сървъри за конектора за управление на правата, включително как да го изпълните и как да разположите настройките, вижте Настройки на системния регистър за конектора за управление на правата. -
Ако имате инсталиран SU от август 2023 г., има поддръжка само за дешифриране на шифровани с AES-256 CBC имейл съобщения и прикачени файлове в Exchange Server . За да разрешите тази поддръжка, изпълнете следната настройка замяна:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
В допълнение към промените, направени в суап от август 2023 г., суиповете от октомври 2023 г. добавят поддръжка за шифроване на имейл съобщения и прикачени файлове в режим AES256-CBC. Ако имате инсталиран СУ от октомври 2023 г., изпълнете следните замествания на настройките:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Обновете аргумента VariantConfiguration. За да направите това, изпълнете следната кратка команда:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
За да приложите новите настройки, рестартирайте услугата за публикуване World Wide Web и услугата за активиране на процеси на Windows (WAS). За да направите това, изпълнете следната кратка команда:
Restart-Service -Name W3SVC, WAS -Force
Забележка: Рестартирайте тези услуги само на сървъра на Exchange, на който се изпълнява кратката команда за заместване на настройките.
Ако имате хибридно разполагане на Exchange (пощенски кутии както локално, така и в Exchange Online)
Организациите, които използват Exchange Server заедно с конектора за услуги за Azure Rights Management (Azure RMS), автоматично ще бъдат отписани от актуализацията на режима AES256 CBC в Exchange Online най-малко до януари 2024 г. Ако обаче искате да използвате по-сигурния AES-256 CBC режим за шифроване на имейл съобщения и прикачени файлове в Exchange Online и дешифриране на тези имейл съобщения и прикачени файлове в Exchange Server , изпълнете тези стъпки, за да направите необходимите промени във вашето Exchange Server разполагане.
След като изпълните необходимите стъпки, отворете случай на поддръжка и след това поискайте настройката за Exchange Online да бъде актуализирана, за да разрешите режим AES256 CBC.
Ако използвате Приложения на Microsoft 365 с Exchange Server
По подразбиране всички ваши приложения M365, като например Microsoft Outlook, Microsoft Word, Microsoft Excel и Microsoft PowerPoint, ще използват шифроване на AES256 CBC режим, започвайки от август 2023 г.
Важно: Ако вашата организация не може да приложи актуализацията на защитата на Exchange server от август 2023 г. на всички сървъри на Exchange (2019 и 2016 г.) или ако не можете да актуализирате промените в конфигурацията на конектора в инфраструктурата на Exchange Server до края на август 2023 г., трябва да се отпишете от промяната AES256 –CBC в приложенията на Microsoft 365.
Следващият раздел описва как да наложите AES128-ЕЦБ за потребителите, които използват настройките на системния регистър и групови правила.
Можете да конфигурирате Office и Приложения на Microsoft 365 за Windows да използва ЕЦБ или CBC режим с помощта на настройката Режим на шифроване за управление на правата за достъп до информация (IRM) подConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. По подразбиране се използва режим на CBC, започващ от версия 16.0.16327 на Приложения на Microsoft 365.
Например за принудително изпълнение на CBC режим за клиенти на Windows задайте настройката за групови правила по следния начин:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
За да конфигурирате настройките за клиенти на Office for Mac, вижте Задаване на предпочитания за целия пакет за Office for Mac.
За повече информация вижте раздела "Поддръжка на AES256 CBC за Microsoft 365" на Подробности за техническа справка относно шифроването.
Известни проблеми
-
SU август 2023 не се инсталира, когато се опитате да актуализирате сървърите на Exchange, на които е инсталиран RMS SDK. Препоръчваме да не инсталирате RMS SDK на същия компютър, на който е инсталиран Exchange Server .
-
Доставянето и регистрирането на имейл периодично е неуспешно, ако поддръжката на режим AES256 CBC е разрешена в Exchange Server 2019 и Exchange Server 2016 в среда, която съществува съвместно с Exchange Server 2013. Exchange Server 2013 е извън поддръжка. Затова трябва да надстроите всички свои сървъри до Exchange Server 2019 или Exchange Server 2016.
Симптоми, ако шифроването на CBC не е конфигурирано правилно или не е актуализирано
Ако TransportDecryptionSetting е зададено на задължително ("незадължително" е по подразбиране) в рамките на Set-IRMConfigurationи сървърите и клиентите на Exchange не се актуализират, съобщенията, които са шифровани с помощта на AES256-CBC, може да генерират съобщения за недоставяне (NDR) и следното съобщение за грешка:
Отдалеченият сървър върна '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport не може да дешифрира съобщението с RMS.
Тази настройка може да предизвика проблеми, които засягат транспортни правила за шифроване, регистриране и откриване на електронни данни, ако сървърите не са актуализирани.
