Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Fra og med sikkerhedsopdateringen for august 2023 til Microsoft Exchange Server vil AES256 i krypteringstilstanden for kryptering (AES256-CBC) være standardkrypteringstilstanden på tværs af alle programmer, der bruger Microsoft Purview Information Protection. Du kan få mere at vide under Ændringer af krypteringsalgoritme i Microsoft Purview Information Protection.

Hvis du bruger Exchange Server og har en hybrid Exchange-installation, eller hvis du bruger Microsoft 365 Apps hjælper dette dokument dig med at forberede ændringen, så der ikke er afbrydelser. 

De ændringer, der blev introduceret i sikkerhedsopdateringen for august 2023 (SU), hjælper med at dekryptere AES256-CBC-krypterede mails og vedhæftede filer. Understøttelse af kryptering af mails i AES256-CBC-tilstand blev tilføjet i su'en for oktober 2023.

Sådan implementeres ændring af AES256-CBC-tilstand i Exchange Server

Hvis du bruger IRM-funktionerne (Information Rights Management) i Exchange Server sammen med enten AD RMS (Active Directory Rights Management Services) eller Azure RMS (AzRMS), skal du opdatere din Exchange Server 2019 og Exchange Server 2016-serverne til sikkerhedsopdateringen for august 2023 og fuldføre de yderligere trin, der er beskrevet i de følgende afsnit, i slutningen af august 2023. Søge- og journalfunktionen påvirkes, hvis du ikke opdaterer dine Exchange-servere til august 2023 SU i slutningen af august.

Hvis din organisation har brug for yderligere tid til at opdatere dine Exchange-servere, skal du læse resten af artiklen for at forstå, hvordan du kan mindske effekten af ændringerne.

Aktivér understøttelse af krypteringstilstanden AES256-CBC i Exchange Server 

August 2023 SU til Exchange Server understøtter dekryptering af AES256-CBC-tilstandskrypterede mails og vedhæftede filer. Følg disse trin for at aktivere denne support: 

  1. Installér august 2023 SU på alle dine Exchange 2019- og 2016-servere.

  2. Kør følgende cmdlet'er på alle Exchange 2019- og 2016-servere.

    Bemærk!: Fuldfør trin 2 på alle Exchange 2019- og 2016-servere i dit miljø, før du fortsætter til trin 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Bemærk!: Nøglen -AclObject $acl føjes til registreringsdatabasen under installationen af AUGUST SU. 

  3. Hvis du bruger AzRMS, skal AzRMS-forbindelsen opdateres på alle Exchange-servere. Kør det opdaterede GenConnectorConfig.ps1 script for at generere de registreringsdatabasenøgler, der introduceres til understøttelse af AES256-CBC-tilstand i Exchange Server august 2023 SU og nyere Exchange-versioner. Download det nyeste script til GenConnectorConfig.ps1 fra Microsoft Download Center.

    Du kan få mere at vide om, hvordan du konfigurerer Exchange-servere til at bruge forbindelsen, under Konfigurer servere til Forbindelse til Microsoft Rights Management.I artiklen beskrives specifikke konfigurationsændringer for Exchange Server 2019 og Exchange Server 2016. 

    Du kan få mere at vide om, hvordan du konfigurerer servere for Rights Management-forbindelsen, herunder hvordan du kører den, og hvordan du installerer indstillingerne, under Indstillinger i registreringsdatabasen for Rights Management Connector.

  4. Hvis du har august 2023 SU installeret, understøttes kun dekryptering af AES-256 CBC-krypterede mails og vedhæftede filer i Exchange Server. Hvis du vil aktivere denne support, skal du køre følgende tilsidesættelsesindstilling:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    Ud over de ændringer, der blev foretaget i august 2023 SU, tilføjer SU fra oktober 2023 understøttelse af kryptering af mails og vedhæftede filer i AES256-CBC-tilstand. Hvis du har installeret SU for oktober 2023, skal du køre følgende tilsidesættelser:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Opdater argumentet VariantConfiguration. Det gør du ved at køre følgende cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Hvis du vil anvende de nye indstillinger, skal du genstarte Tjenesten World Wide Web Publishing og Windows Process Activation Service (WAS). Det gør du ved at køre følgende cmdlet:

    Restart-Service -Name W3SVC, WAS -Force

Bemærk!: Genstart kun disse tjenester på den Exchange-server, hvor indstillingerne tilsidesætter cmdlet'en.

Hvis du har Exchange-hybridinstallation (postkasser i både det lokale miljø og Exchange Online) 

Organisationer, der bruger Exchange Server sammen med Azure Rights Management Service Connector (Azure RMS), fravælger automatisk AES256-CBC-tilstandsopdateringen i Exchange Online indtil mindst januar 2024. Men hvis du vil bruge den mere sikre AES-256 CBC-tilstand til at kryptere mails og vedhæftede filer i Exchange Online og dekryptere sådanne mails og vedhæftede filer i Exchange Server, skal du udføre disse trin for at foretage de nødvendige ændringer i din Exchange Server installation.  

Når du har fuldført de nødvendige trin, skal du åbne en supportsag og derefter anmode om, at indstillingen for Exchange Online opdateres for at aktivere AES256-CBC-tilstand.  

Hvis du bruger Microsoft 365 Apps med Exchange Server 

Som standard bruger alle dine M365-programmer, f.eks. Microsoft Outlook, Microsoft Word, Microsoft Excel og Microsoft PowerPoint, AES256-CBC-tilstandskryptering fra og med august 2023. 

Vigtigt!: Hvis din organisation ikke kan anvende sikkerhedsopdateringen for august 2023 til Exchange-serveren på alle Exchange-servere (2019 og 2016), eller hvis du ikke kan opdatere ændringerne i forbindelseskonfigurationen på tværs af Exchange Server infrastrukturen i slutningen af august 2023, skal du fravælge AES256-CBC-ændringen på Microsoft 365-programmer.  

I følgende afsnit beskrives det, hvordan du gennemtvinger AES128-ECB for de brugere, der bruger indstillinger i registreringsdatabasen og Gruppepolitik.

Du kan konfigurere Office og Microsoft 365 Apps til Windows til at bruge ECB- eller CBC-tilstand ved hjælp af indstillingen Krypteringstilstand for IRM (Information Rights Management) underConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Som standard bruges CBC-tilstand fra og med version 16.0.16327 af Microsoft 365 Apps. 

Hvis du f.eks. vil gennemtvinge CBC-tilstand for Windows-klienter, skal du angive indstillingen for Gruppepolitik som følger: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Hvis du vil konfigurere indstillinger for Office til Mac klienter, skal du se Angiv indstillinger for hele pakken for Office til Mac.

Du kan finde flere oplysninger i afsnittet "AES256-CBC-understøttelse af Microsoft 365" i Tekniske referenceoplysninger om kryptering.

Kendte problemer 

  • August 2023 SU installeres ikke, når du forsøger at opdatere Exchange-servere, hvor RMS SDKer installeret. Vi anbefaler, at du ikke installerer RMS SDK på den samme computer, som Exchange Server er installeret på. 

  • Levering og journalisering af mails mislykkes periodisk, hvis understøttelse af AES256-CBC-tilstand er aktiveret i Exchange Server 2019 og Exchange Server 2016 i et miljø, der sameksisterer med Exchange Server 2013. Exchange Server 2013 er uden support. Derfor skal du opgradere alle dine servere til Exchange Server 2019 eller Exchange Server 2016.

Symptomer, hvis CBC-kryptering ikke er konfigureret korrekt eller ikke opdateres

Hvis TransportDecryptionSetting er angivet til obligatorisk ("valgfrit" er standard) inden for Set-IRMConfiguration, og Exchange-servere og -klienter ikke opdateres, kan meddelelser, der krypteres ved hjælp af AES256-CBC, generere rapporter om manglende levering (NDR) og følgende fejlmeddelelse:

Fjernserver returnerede '550 5.7.157 RmsDecryptAgent; Microsoft Exchange-transport kan ikke dekryptere meddelelsen i RMS.

Denne indstilling kan også medføre problemer, der påvirker transportregler for kryptering, journalisering og eDiscovery, hvis servere ikke opdateres. 

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×