Aktivieren der Unterstützung für AES256-CBC-verschlüsselte Inhalte in Exchange Server August 2023 SU

Aktivieren der Unterstützung für den AES256-CBC-Verschlüsselungsmodus in Exchange Server 

Die August 2023 SU für Exchange Server unterstützt die Entschlüsselung von E-Mail-Nachrichten und Anlagen, die im AES256-CBC-Modus verschlüsselt sind. Führen Sie die folgenden Schritte aus, um diese Unterstützung zu aktivieren: 

1. Installieren Sie die SU vom August 2023 auf allen Exchange 2019- und 2016-Servern.

2. Führen Sie die folgenden Cmdlets auf allen Exchange 2019- und 2016-Servern aus.

   Hinweis: Führen Sie Schritt 2 auf allen Exchange 2019- und 2016-Servern in Ihrer Umgebung aus, bevor Sie mit Schritt 3 fortfahren.

   $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

   $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

   $acl.SetAccessRule($rule) 

   Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

   Hinweis: Der Schlüssel -AclObject $acl wird der Registrierung während der Installation der August-SU hinzugefügt. 

3. Wenn Sie AzRMS verwenden, muss der AzRMS-Connector auf allen Exchange-Servern aktualisiert werden. Führen Sie das aktualisierte GenConnectorConfig.ps1 Skript aus, um die Registrierungsschlüssel zu generieren, die für die Unterstützung des AES256-CBC-Modus in der Exchange Server August 2023 SU und höheren Exchange-Versionen eingeführt wurden. Laden Sie das neueste GenConnectorConfig.ps1 Skript aus dem Microsoft Download Center herunter.

   Weitere Informationen zum Konfigurieren von Exchange-Servern für die Verwendung des Connectors finden Sie unter Konfigurieren von Servern für den Microsoft Rights Management-Connector.In diesem Artikel werden spezifische Konfigurationsänderungen für Exchange Server 2019 und Exchange Server 2016 erläutert. 
   
   Weitere Informationen zum Konfigurieren von Servern für den Rights Management-Connector, einschließlich dessen Ausführung und Bereitstellung der Einstellungen, finden Sie unter Registrierungseinstellungen für den Rights Management Connector.

4. Wenn Sie die August 2023 SU installiert haben, wird nur die Entschlüsselung von AES-256 CBC-verschlüsselten E-Mail-Nachrichten und -Anlagen in Exchange Server unterstützt. Führen Sie zum Aktivieren dieser Unterstützung die folgende Einstellungsüberschreibung aus:
   
   New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
   
   Zusätzlich zu den Änderungen, die im August 2023-SU vorgenommen wurden, bietet die SU vom Oktober 2023 Unterstützung für die Verschlüsselung von E-Mail-Nachrichten und Anlagen im AES256-CBC-Modus. Wenn Sie die SU vom Oktober 2023 installiert haben, führen Sie die folgenden Einstellungsüberschreibungen aus:
   
   New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 
   
   New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

5. Aktualisieren Sie das Argument VariantConfiguration. Führen Sie dazu das folgende Cmdlet aus:
   
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

6. Um die neuen Einstellungen anzuwenden, starten Sie den World Wide Web Publishing-Dienst und den Windows-Prozessaktivierungsdienst (WAS) neu. Führen Sie dazu das folgende Cmdlet aus:
   
   Restart-Service -Name W3SVC, WAS -Force

Wenn Sie über eine Exchange-Hybridbereitstellung verfügen (Postfächer sowohl in der lokalen Umgebung als auch in Exchange Online) 

Organisationen, die Exchange Server zusammen mit dem Azure Rights Management Service Connector (Azure RMS) verwenden, werden bis mindestens Januar 2024 automatisch vom AES256-CBC-Modusupdate in Exchange Online deaktiviert. Wenn Sie jedoch den sichereren AES-256-CBC-Modus verwenden möchten, um E-Mail-Nachrichten und Anlagen in Exchange Online zu verschlüsseln und solche E-Mail-Nachrichten und Anlagen in Exchange Server zu entschlüsseln, führen Sie diese Schritte aus, um die erforderlichen Änderungen an Ihrer Exchange Server Bereitstellung vorzunehmen.  

Nachdem Sie die erforderlichen Schritte ausgeführt haben, öffnen Sie eine Supportanfrage, und fordern Sie dann die Aktualisierung der Exchange Online Einstellung an, um den AES256-CBC-Modus zu aktivieren.  

Wenn Sie Microsoft 365 Apps mit Exchange Server 

Standardmäßig verwenden alle Ihre M365-Anwendungen wie Microsoft Outlook, Microsoft Word, Microsoft Excel und Microsoft PowerPoint ab August 2023 die Verschlüsselung im AES256-CBC-Modus. 

Im folgenden Abschnitt wird beschrieben, wie Sie AES128-ECB für die Benutzer erzwingen, die Registrierungseinstellungen und Gruppenrichtlinie verwenden.

Sie können Office und Microsoft 365 Apps für Windows für die Verwendung des ECB- oder CBC-Modus konfigurieren, indem Sie die Einstellung Verschlüsselungsmodus für die Verwaltung von Informationsrechten (IRM) unterConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Standardmäßig wird der CBC-Modus ab Version 16.0.16327 von Microsoft 365 Apps verwendet. 

Um beispielsweise den CBC-Modus für Windows-Clients zu erzwingen, legen Sie die einstellung Gruppenrichtlinie wie folgt fest: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Informationen zum Konfigurieren von Einstellungen für Office für Mac Clients finden Sie unter Festlegen von suiteweiten Einstellungen für Office für Mac.

Weitere Informationen finden Sie im Abschnitt "AES256-CBC-Unterstützung für Microsoft 365" unter Technische Referenzdetails zur Verschlüsselung.