Ab dem Sicherheitsupdate vom August 2023 für Microsoft Exchange Server ist AES256 im Verschlüsselungsblockverkettungsmodus (AES256-CBC) der Standardverschlüsselungsmodus für alle Anwendungen, die Microsoft Purview Information Protection verwenden. Weitere Informationen finden Sie unter Änderungen des Verschlüsselungsalgorithmus in Microsoft Purview Information Protection.

Wenn Sie Exchange Server verwenden und über eine Exchange-Hybridbereitstellung verfügen oder Microsoft 365 Apps hilft Ihnen dieses Dokument bei der Vorbereitung auf die Änderung, sodass keine Unterbrechungen auftreten. 

Die änderungen, die im August 2023-Sicherheitsupdate (SU) eingeführt wurden, helfen bei der Entschlüsselung von AES256-CBC-verschlüsselten E-Mail-Nachrichten und Anlagen. Die Unterstützung für die Verschlüsselung von E-Mail-Nachrichten im AES256-CBC-Modus wurde im SuS vom Oktober 2023 hinzugefügt.

Implementieren einer Änderung des AES256-CBC-Modus in Exchange Server

Wenn Sie die IRM-Features (Information Rights Management) in Exchange Server zusammen mit Active Directory Rights Management Services (AD RMS) oder Azure RMS (AzRMS) verwenden, müssen Sie Ihre Exchange Server 2019 und Exchange Server 2016 serveret das August 2023-Sicherheitsupdate, und führen Sie die zusätzlichen Schritte aus, die in den folgenden Abschnitten bis Ende August 2023 beschrieben werden. Die Such- und Journalfunktion ist betroffen, wenn Sie Ihre Exchange-Server bis Ende August 2023 SU nicht aktualisieren.

Wenn Ihr organization zusätzliche Zeit benötigt, um Ihre Exchange-Server zu aktualisieren, lesen Sie den rest des Artikels, um zu verstehen, wie Sie die Auswirkungen der Änderungen verringern können.

Aktivieren der Unterstützung für den AES256-CBC-Verschlüsselungsmodus in Exchange Server 

Die August 2023 SU für Exchange Server unterstützt die Entschlüsselung von E-Mail-Nachrichten und Anlagen, die im AES256-CBC-Modus verschlüsselt sind. Führen Sie die folgenden Schritte aus, um diese Unterstützung zu aktivieren: 

  1. Installieren Sie die SU vom August 2023 auf allen Exchange 2019- und 2016-Servern.

  2. Führen Sie die folgenden Cmdlets auf allen Exchange 2019- und 2016-Servern aus.

    Hinweis: Führen Sie Schritt 2 auf allen Exchange 2019- und 2016-Servern in Ihrer Umgebung aus, bevor Sie mit Schritt 3 fortfahren.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Hinweis: Der Schlüssel -AclObject $acl wird der Registrierung während der Installation der August-SU hinzugefügt. 

  3. Wenn Sie AzRMS verwenden, muss der AzRMS-Connector auf allen Exchange-Servern aktualisiert werden. Führen Sie das aktualisierte GenConnectorConfig.ps1 Skript aus, um die Registrierungsschlüssel zu generieren, die für die Unterstützung des AES256-CBC-Modus in der Exchange Server August 2023 SU und höheren Exchange-Versionen eingeführt wurden. Laden Sie das neueste GenConnectorConfig.ps1 Skript aus dem Microsoft Download Center herunter.

    Weitere Informationen zum Konfigurieren von Exchange-Servern für die Verwendung des Connectors finden Sie unter Konfigurieren von Servern für den Microsoft Rights Management-Connector.In diesem Artikel werden spezifische Konfigurationsänderungen für Exchange Server 2019 und Exchange Server 2016 erläutert. Weitere Informationen zum Konfigurieren von Servern für den Rights Management-Connector, einschließlich dessen Ausführung und Bereitstellung der Einstellungen, finden Sie unter Registrierungseinstellungen für den Rights Management Connector.

  4. Wenn Sie die August 2023 SU installiert haben, wird nur die Entschlüsselung von AES-256 CBC-verschlüsselten E-Mail-Nachrichten und -Anlagen in Exchange Server unterstützt. Führen Sie zum Aktivieren dieser Unterstützung die folgende Einstellungsüberschreibung aus:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” Zusätzlich zu den Änderungen, die im August 2023-SU vorgenommen wurden, bietet die SU vom Oktober 2023 Unterstützung für die Verschlüsselung von E-Mail-Nachrichten und Anlagen im AES256-CBC-Modus. Wenn Sie die SU vom Oktober 2023 installiert haben, führen Sie die folgenden Einstellungsüberschreibungen aus:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Aktualisieren Sie das Argument VariantConfiguration. Führen Sie dazu das folgende Cmdlet aus:Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Um die neuen Einstellungen anzuwenden, starten Sie den World Wide Web Publishing-Dienst und den Windows-Prozessaktivierungsdienst (WAS) neu. Führen Sie dazu das folgende Cmdlet aus:Restart-Service -Name W3SVC, WAS -Force

Hinweis: Starten Sie diese Dienste nur auf dem Exchange-Server neu, auf dem das Einstellungsüberschreibungs-Cmdlet ausgeführt wird.

Wenn Sie über eine Exchange-Hybridbereitstellung verfügen (Postfächer sowohl in der lokalen Umgebung als auch in Exchange Online) 

Organisationen, die Exchange Server zusammen mit dem Azure Rights Management Service Connector (Azure RMS) verwenden, werden bis mindestens Januar 2024 automatisch vom AES256-CBC-Modusupdate in Exchange Online deaktiviert. Wenn Sie jedoch den sichereren AES-256-CBC-Modus verwenden möchten, um E-Mail-Nachrichten und Anlagen in Exchange Online zu verschlüsseln und solche E-Mail-Nachrichten und Anlagen in Exchange Server zu entschlüsseln, führen Sie diese Schritte aus, um die erforderlichen Änderungen an Ihrer Exchange Server Bereitstellung vorzunehmen.  

Nachdem Sie die erforderlichen Schritte ausgeführt haben, öffnen Sie eine Supportanfrage, und fordern Sie dann die Aktualisierung der Exchange Online Einstellung an, um den AES256-CBC-Modus zu aktivieren.  

Wenn Sie Microsoft 365 Apps mit Exchange Server 

Standardmäßig verwenden alle Ihre M365-Anwendungen wie Microsoft Outlook, Microsoft Word, Microsoft Excel und Microsoft PowerPoint ab August 2023 die Verschlüsselung im AES256-CBC-Modus. 

Wichtig: Wenn Ihr organization das Exchange Server-Sicherheitsupdate vom August 2023 nicht auf alle Exchange-Server (2019 und 2016) anwenden kann, oder wenn Sie die Konfigurationsänderungen des Connectors in der Exchange Server-Infrastruktur bis Ende August 2023 nicht aktualisieren können, müssen Sie die Änderung AES256-CBC für Microsoft 365-Anwendungen deaktivieren.  

Im folgenden Abschnitt wird beschrieben, wie Sie AES128-ECB für die Benutzer erzwingen, die Registrierungseinstellungen und Gruppenrichtlinie verwenden.

Sie können Office und Microsoft 365 Apps für Windows für die Verwendung des ECB- oder CBC-Modus konfigurieren, indem Sie die Einstellung Verschlüsselungsmodus für die Verwaltung von Informationsrechten (IRM) unterConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Standardmäßig wird der CBC-Modus ab Version 16.0.16327 von Microsoft 365 Apps verwendet. 

Um beispielsweise den CBC-Modus für Windows-Clients zu erzwingen, legen Sie die einstellung Gruppenrichtlinie wie folgt fest: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Informationen zum Konfigurieren von Einstellungen für Office für Mac Clients finden Sie unter Festlegen von suiteweiten Einstellungen für Office für Mac.

Weitere Informationen finden Sie im Abschnitt "AES256-CBC-Unterstützung für Microsoft 365" unter Technische Referenzdetails zur Verschlüsselung.

Bekannte Probleme 

  • Die SU vom August 2023 wird nicht installiert, wenn Sie versuchen, Exchange-Server zu aktualisieren, auf denen das RMS SDKinstalliert ist. Es wird empfohlen, das RMS SDK nicht auf demselben Computer zu installieren, auf dem Exchange Server installiert ist. 

  • Email Übermittlung und Journalerstellung tritt zeitweilig auf, wenn die Unterstützung des AES256-CBC-Modus in Exchange Server 2019 und Exchange Server 2016 in einer Umgebung aktiviert ist, die gleichzeitig mit Exchange Server 2013 vorhanden ist. Exchange Server 2013 wird nicht mehr unterstützt. Daher sollten Sie alle Ihre Server auf Exchange Server 2019 oder Exchange Server 2016 aktualisieren.

Symptome, wenn die CBC-Verschlüsselung nicht ordnungsgemäß konfiguriert oder nicht aktualisiert wird

Wenn TransportDecryptionSetting in Set-IRMConfigurationauf "optional" festgelegt ist und Exchange-Server und -Clients nicht aktualisiert werden, generieren Nachrichten, die mit AES256-CBC verschlüsselt werden, möglicherweise Non Delivery Reports (NDR) und die folgende Fehlermeldung:

Remoteserver hat '550 5.7.157 RmsDecryptAgent; Microsoft Exchange-Transport kann die Nachricht nicht mit RMS entschlüsseln.

Diese Einstellung kann auch Probleme verursachen, die sich auf Transportregeln für Verschlüsselung, Journalerstellung und eDiscovery auswirken, wenn Server nicht aktualisiert werden. 

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.