Od aktualizace zabezpečení pro Microsoft Exchange Server ze srpna 2023 bude AES256 v režimu řetězení šifrovaných bloků (AES256-CBC) výchozím režimem šifrování ve všech aplikacích, které používají Microsoft Purview Information Protection. Další informace najdete v tématu Změny šifrovacího algoritmu v Microsoft Purview Information Protection.
Pokud používáte Exchange Server a máte hybridní nasazení Exchange nebo používáte Microsoft 365 Apps tento dokument vám pomůže připravit se na změnu, aby nedošlo k přerušení.
Změny, které byly zavedeny v aktualizaci zabezpečení (SU) ze srpna 2023, pomáhají dešifrovat e-mailové zprávy a přílohy šifrované AES256-CBC. Podpora šifrování e-mailových zpráv v režimu AES256-CBC byla přidána v SU z října 2023.
Implementace změny režimu AES256-CBC v Exchange Server
Pokud používáte funkce IRM (Správa přístupových práv k informacím) v Exchange Server společně se službou Active Directory Rights Management Services (AD RMS) nebo Azure RMS (AzRMS), musíte aktualizovat Exchange Server 2019 a Exchange Server Servery z roku 2016 pro aktualizaci zabezpečení ze srpna 2023 a do konce srpna 2023 dokončete další kroky popsané v následujících částech. Funkce vyhledávání a zápisu do deníku bude ovlivněna, pokud do konce srpna neaktualizujete servery Exchange na srpna 2023 SU.
Pokud vaše organizace potřebuje další čas na aktualizaci serverů Exchange, přečtěte si zbytek článku, abyste pochopili, jak zmírnit dopad změn.
Povolení podpory šifrování AES256-CBC v Exchange Server
Aktualizace SU pro Exchange Server ze srpna 2023 podporuje dešifrování e-mailových zpráv a příloh šifrovaných v režimu AES256-CBC. Pokud chcete tuto podporu povolit, postupujte takto:
-
Nainstalujte si SU ze srpna 2023 na všechny servery Exchange 2019 a 2016.
-
Na všech serverech Exchange 2019 a 2016 spusťte následující rutiny.
Poznámka: Než budete pokračovat krokem 3, proveďte krok 2 na všech serverech Exchange 2019 a 2016 ve vašem prostředí.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Poznámka: Klíč $acl -AclObject se přidá do registru během instalace srpnové aktualizace SU.
-
Pokud používáte AzRMS, musí se konektor AzRMS aktualizovat na všech serverech Exchange. Spuštěním aktualizovaného skriptu GenConnectorConfig.ps1 vygenerujte klíče registru, které jsou zavedeny pro podporu režimu AES256-CBC v SU Exchange Server srpna 2023 a novějších verzích Exchange. Stáhněte si nejnovější skript GenConnectorConfig.ps1 z webu Microsoft Download Center.
Další informace o tom, jak nakonfigurovat servery Exchange pro použití konektoru, najdete v tématu Konfigurace serverů pro konektor Microsoft Rights Management.Tento článek popisuje konkrétní změny konfigurace pro Exchange Server 2019 a Exchange Server 2016.
Další informace o konfiguraci serverů pro konektor Rights Management, včetně toho, jak ho spustit a jak nasadit nastavení, najdete v tématu Nastavení registru pro Rights Management Connector. -
Pokud máte nainstalovanou aktualizaci SU ze srpna 2023, podporuje se v Exchange Server pouze dešifrování E-mailových zpráv a příloh zašifrovaných CBC AES-256. Pokud chcete tuto podporu povolit, spusťte následující přepsání nastavení:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Kromě změn provedených v SU ze srpna 2023 přidává aktualizace SU z října 2023 podporu šifrování e-mailových zpráv a příloh v režimu AES256-CBC. Pokud máte nainstalovanou aktualizaci SU z října 2023, spusťte následující přepsání nastavení:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Aktualizujte argument VariantConfiguration. Provedete to spuštěním následující rutiny:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Pokud chcete použít nové nastavení, restartujte službu publikování na webu a aktivační službu procesů systému Windows (WAS). Provedete to spuštěním následující rutiny:
Restart-Service -Name W3SVC, WAS -Force
Poznámka: Restartujte tyto služby pouze na serveru Exchange, na kterém je spuštěna rutina přepsání nastavení.
Pokud máte hybridní nasazení Exchange (poštovní schránky v místním prostředí i Exchange Online)
Organizace, které používají Exchange Server společně s konektorem služby Azure Rights Management Service Connector (Azure RMS), budou z aktualizace režimu AES256-CBC v Exchange Online automaticky odhlášení nejméně do ledna 2024. Pokud ale chcete používat bezpečnější režim AES-256 CBC k šifrování e-mailových zpráv a příloh v Exchange Online a dešifrování takových e-mailových zpráv a příloh v Exchange Server, proveďte tyto kroky a proveďte potřebné změny v nasazení Exchange Server.
Po dokončení požadovaných kroků otevřete případ podpory a požádejte o aktualizaci nastavení Exchange Online, aby se povolil režim AES256-CBC.
Pokud používáte Microsoft 365 Apps s Exchange Server
Ve výchozím nastavení budou všechny aplikace M365, například Microsoft Outlook, Microsoft Word, Microsoft Excel a Microsoft PowerPoint, používat šifrování režimu AES256-CBC od srpna 2023.
Důležité informace: Pokud vaše organizace nemůže použít aktualizaci zabezpečení Exchange serveru ze srpna 2023 na všech serverech Exchange (2019 a 2016) nebo pokud do konce srpna 2023 nemůžete aktualizovat změny konfigurace konektoru v infrastruktuře Exchange Server, musíte u aplikací Microsoftu 365 vyjádřit výslovný nesouhlas se změnou AES256-CBC.
Následující část popisuje, jak vynutit AES128-ECB pro uživatele, kteří používají nastavení registru a Zásady skupiny.
Office a Microsoft 365 Apps pro Windows můžete nakonfigurovat tak, aby používaly režim ECB nebo CBC, a to pomocí nastavení Režim šifrování pro správu přístupových práv k informacím (IRM) v částiConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Ve výchozím nastavení se režim CBC používá od verze 16.0.16327 Microsoft 365 Apps.
Pokud chcete například vynutit režim CBC pro klienty Windows, nastavte Zásady skupiny následujícím způsobem:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Informace o konfiguraci nastavení pro klienty Office pro Mac najdete v tématu Nastavení předvoleb pro celou sadu pro Office pro Mac.
Další informace najdete v části "AES256-CBC support for Microsoft 365" (Podpora AES256-CBC pro Microsoft 365) v tématu Technické referenční informace o šifrování.
Známé problémy
-
Aktualizace SU ze srpna 2023 se nenainstaluje při pokusu o aktualizaci serverů Exchange, na kterých je nainstalována sada RMS SDK. Doporučujeme neinstalovat sadu RMS SDK na stejný počítač, na kterém je nainstalovaná Exchange Server.
-
Email doručení a zápis do deníku občas selže, pokud je v Exchange Server 2019 a Exchange Server 2016 povolená podpora režimu AES256-CBC v prostředí, které existuje společně s Exchange Server 2013. Exchange Server 2013 není podporován. Proto byste měli upgradovat všechny servery na Exchange Server 2019 nebo Exchange Server 2016.
Příznaky, pokud šifrování CBC není správně nakonfigurované nebo se neaktualizuje
Pokud je TransportDecryptionSetting v rámci Set-IRMConfigurationnastaveno na povinné (ve výchozím nastavení je volitelné) a servery Exchange a klienti se neaktualizují, můžou zprávy, které jsou šifrovány pomocí AES256-CBC, generovat oznámení o nedoručení (NDR) a následující chybová zpráva:
Vzdálený server vrátil 550 5.7.157 RmsDecryptAgent; Přenos serveru Microsoft Exchange nemůže zprávu dešifrovat službou RMS.
Toto nastavení může také způsobit problémy, které mají vliv na pravidla přenosu pro šifrování, zápis do deníku a eDiscovery, pokud se servery neaktualizují.
