Ξεκινώντας από την ενημέρωση ασφαλείας του Αυγούστου 2023 για το Microsoft Exchange Server, το AES256 στη λειτουργία αλυσίδας μπλοκ κρυπτογράφησης (AES256-CBC) θα είναι η προεπιλεγμένη λειτουργία κρυπτογράφησης σε όλες τις εφαρμογές που χρησιμοποιούν Προστασία πληροφοριών Microsoft Purview. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Αλλαγές αλγορίθμων κρυπτογράφησης σε Προστασία πληροφοριών Microsoft Purview.
Εάν χρησιμοποιείτε Exchange Server και έχετε υβριδική ανάπτυξη exchange ή χρησιμοποιείτε Εφαρμογές Microsoft 365 αυτό το έγγραφο θα σας βοηθήσει να προετοιμαστείτε για την αλλαγή, ώστε να μην υπάρξουν διακοπές.
Οι αλλαγές που παρουσιάστηκαν στην ενημέρωση ασφαλείας (SU) του Αυγούστου 2023 βοηθούν στην αποκρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου και συνημμένων με κρυπτογράφηση AES256-CBC. Η υποστήριξη για την κρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου στη λειτουργία AES256-CBC προστέθηκε στο SU του Οκτωβρίου 2023.
Πώς μπορείτε να υλοποιήσετε την αλλαγή λειτουργίας AES256-CBC στο Exchange Server
Εάν χρησιμοποιείτε τις δυνατότητες διαχείρισης δικαιωμάτων πληροφοριών (IRM) στο Exchange Server μαζί με τις Υπηρεσίες διαχείρισης δικαιωμάτων υπηρεσίας καταλόγου Active Directory (AD RMS) ή το Azure RMS (AzRMS), πρέπει να ενημερώσετε τις Exchange Server 2019 και Exchange Server Διακομιστές 2016 στην Ενημέρωση ασφαλείας Αυγούστου 2023 και ολοκληρώστε τα πρόσθετα βήματα που περιγράφονται στις ακόλουθες ενότητες μέχρι τα τέλη Αυγούστου 2023. Η λειτουργία αναζήτησης και καταχώρησης σε χρονικό θα επηρεαστεί εάν δεν ενημερώσετε τους διακομιστές Exchange σε SU Αυγούστου 2023 μέχρι τα τέλη Αυγούστου.
Εάν η εταιρεία σας χρειάζεται περισσότερο χρόνο για να ενημερώσει τους διακομιστές Exchange, διαβάστε το υπόλοιπο άρθρο για να κατανοήσετε πώς μπορείτε να μετριάσετε τις επιπτώσεις των αλλαγών.
Ενεργοποίηση υποστήριξης για τη λειτουργία κρυπτογράφησης AES256-CBC σε Exchange Server
Το SU Αυγούστου 2023 για Exchange Server υποστηρίζει την αποκρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου και συνημμένων με κρυπτογράφηση λειτουργίας AES256-CBC. Για να ενεργοποιήσετε αυτήν την υποστήριξη, ακολουθήστε τα παρακάτω βήματα:
-
Εγκαταστήστε τη su αυγούστου 2023 σε όλους τους διακομιστές Exchange 2019 και 2016.
-
Εκτελέστε τα ακόλουθα cmdlet σε όλους τους διακομιστές Exchange 2019 και 2016.
Σημείωση: Ολοκληρώστε το βήμα 2 σε όλους τους διακομιστές Exchange 2019 και 2016 στο περιβάλλον σας πριν συνεχίσετε στο βήμα 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Σημείωση: Το κλειδί $acl -AclObject προστίθεται στο μητρώο κατά την εγκατάσταση του SU του Αυγούστου.
-
Εάν χρησιμοποιείτε AzRMS, το AzRMS Connector πρέπει να ενημερωθεί σε όλους τους διακομιστές Exchange. Εκτελέστε την ενημερωμένη δέσμη ενεργειών GenConnectorConfig.ps1 για να δημιουργήσετε τα κλειδιά μητρώου που παρουσιάστηκαν για την υποστήριξη της κατάστασης λειτουργίας AES256-CBC στις Exchange Server μηνυρίου 2023 και στις νεότερες εκδόσεις του Exchange. Κατεβάστε την πιο πρόσφατη δέσμη ενεργειών GenConnectorConfig.ps1 από το Κέντρο λήψης αρχείων της Microsoft.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης των παραμέτρων των διακομιστών Exchange ώστε να χρησιμοποιούν τη σύνδεση, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων διακομιστών για τη σύνδεση της Διαχείρισης δικαιωμάτων της Microsoft.Το άρθρο περιγράφει συγκεκριμένες αλλαγές ρύθμισης παραμέτρων για Exchange Server 2019 και Exchange Server 2016.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης των παραμέτρων των διακομιστών για τη σύνδεση της Διαχείρισης δικαιωμάτων, καθώς και τον τρόπο εκτέλεσής της και τον τρόπο ανάπτυξης των ρυθμίσεων, ανατρέξτε στο θέμα Ρυθμίσεις μητρώου για τη Σύνδεση διαχείρισης δικαιωμάτων. -
Εάν έχετε εγκαταστήσει το SU του Αυγούστου 2023, υπάρχει υποστήριξη μόνο για την αποκρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου και συνημμένων με κρυπτογράφηση AES-256 CBC στο Exchange Server. Για να ενεργοποιήσετε αυτή την υποστήριξη, εκτελέστε την ακόλουθη παράκαμψη ρύθμισης:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Εκτός από τις αλλαγές που έγιναν στη SU του Αυγούστου 2023, η su του Οκτωβρίου 2023 προσθέτει υποστήριξη για την κρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου και συνημμένων σε λειτουργία AES256-CBC. Αν έχετε εγκαταστήσει το SU του Οκτωβρίου 2023, εκτελέστε τις ακόλουθες παρακάμπτει τις ακόλουθες ρυθμίσεις:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Ανανεώστε το όρισμα VariantConfiguration. Για να το κάνετε αυτό, εκτελέστε το ακόλουθο cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Για να εφαρμόσετε τις νέες ρυθμίσεις, επανεκκινήστε την υπηρεσία World Wide Web Publishing και την Υπηρεσία ενεργοποίησης διαδικασίας των Windows (WAS). Για να το κάνετε αυτό, εκτελέστε το ακόλουθο cmdlet:
Restart-Service -Name W3SVC, WAS -Force
Σημείωση: Επανεκκινήστε αυτές τις υπηρεσίες μόνο στο διακομιστή Exchange στον οποίο εκτελούνται οι ρυθμίσεις παράκαμψης cmdlet.
Εάν έχετε υβριδική ανάπτυξη του Exchange (γραμματοκιβώτια τόσο στην εσωτερική εγκατάσταση όσο και στο Exchange Online)
Οι οργανισμοί που χρησιμοποιούν Exchange Server μαζί με το Azure Rights Management Service Connector (Azure RMS) θα εξαιρεθούν αυτόματα από την ενημέρωση λειτουργίας AES256-CBC στο Exchange Online τουλάχιστον μέχρι τον Ιανουάριο του 2024. Ωστόσο, εάν θέλετε να χρησιμοποιήσετε την πιο ασφαλή λειτουργία CBC AES-256 για να κρυπτογραφήσετε μηνύματα ηλεκτρονικού ταχυδρομείου και συνημμένα σε Exchange Online και να αποκρυπτογραφήσετε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου και τα συνημμένα σε Exchange Server, ολοκληρώστε αυτά τα βήματα για να κάνετε τις απαραίτητες αλλαγές στην ανάπτυξη Exchange Server.
Αφού ολοκληρώσετε τα απαιτούμενα βήματα, ανοίξτε μια υπόθεση υποστήριξης και, στη συνέχεια, ζητήστε την ενημέρωση της ρύθμισης Exchange Online, ώστε να ενεργοποιηθεί η λειτουργία AES256-CBC.
Εάν χρησιμοποιείτε το Εφαρμογές Microsoft 365 με Exchange Server
Από προεπιλογή, όλες οι εφαρμογές M365, όπως το Microsoft Outlook, το Microsoft Word, το Microsoft Excel και το Microsoft PowerPoint, θα χρησιμοποιούν κρυπτογράφηση λειτουργίας AES256-CBC από τον Αύγουστο του 2023.
Σημαντικό: Εάν ο οργανισμός σας δεν μπορεί να εφαρμόσει την ενημέρωση ασφαλείας Αυγούστου 2023 του Exchange server σε όλους τους διακομιστές Exchange (2019 και 2016) ή εάν δεν μπορείτε να ενημερώσετε τις αλλαγές ρύθμισης παραμέτρων σύνδεσης σε όλες τις Exchange Server υποδομής μέχρι το τέλος Αυγούστου 2023, πρέπει να εξαιρεθείτε από την αλλαγή AES256-CBC στις Εφαρμογές Microsoft 365.
Στην ακόλουθη ενότητα περιγράφεται ο τρόπος επιβολής στον AES128-ECB των χρηστών που χρησιμοποιούν ρυθμίσεις μητρώου και Πολιτική ομάδας.
Μπορείτε να ρυθμίσετε τις παραμέτρους του Office και του Εφαρμογές Microsoft 365 για Windows ώστε να χρησιμοποιούν τη λειτουργία ΕΚΤ ή CBC, χρησιμοποιώντας τη ρύθμιση Λειτουργία κρυπτογράφησης για τη Διαχείριση δικαιωμάτων πληροφοριών (IRM) στην περιοχήConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Από προεπιλογή, η λειτουργία CBC χρησιμοποιείται από την έκδοση 16.0.16327 του Εφαρμογές Microsoft 365.
Για παράδειγμα, για να επιβάλετε τη λειτουργία CBC για προγράμματα-πελάτες Windows, ορίστε τη ρύθμιση Πολιτική ομάδας ως εξής:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Για να ρυθμίσετε τις παραμέτρους για προγράμματα-πελάτες Office για Mac, ανατρέξτε στο θέμα Ορισμός προτιμήσεων για το σύνολο της οικογένειας προγραμμάτων για Office για Mac.
Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα "Υποστήριξη AES256-CBC για το Microsoft 365" στο θέμα Λεπτομέρειες τεχνικής αναφοράς σχετικά με την κρυπτογράφηση.
Γνωστά προβλήματα
-
Η ενημέρωση SU Αυγούστου 2023 δεν εγκαθίσταται όταν προσπαθείτε να ενημερώσετε τους διακομιστές Exchange στους οποίους είναι εγκατεστημένο το SDK RMS. Συνιστάται να μην εγκαθιστάτε το SDK RMS στον ίδιο υπολογιστή στον οποίο είναι εγκατεστημένο το Exchange Server.
-
Η παράδοση μηνυμάτων ηλεκτρονικού ταχυδρομείου και η καταχώρηση σε χρονικό αποτυγχάνουν κατά διαστήματα, εάν η υποστήριξη της λειτουργίας AES256-CBC είναι ενεργοποιημένη στο Exchange Server 2019 και Exchange Server 2016 σε ένα περιβάλλον που συνυπάρχει με Exchange Server 2013. Exchange Server 2013 δεν υποστηρίζεται. Επομένως, θα πρέπει να αναβαθμίσετε όλους τους διακομιστές σας σε Exchange Server 2019 ή Exchange Server 2016.
Συμπτώματα εάν η κρυπτογράφηση CBC δεν έχει ρυθμιστεί σωστά ή δεν ενημερώνεται
Εάν TransportDecryptionSetting έχει οριστεί σε υποχρεωτικό (το "προαιρετικό" είναι προεπιλογή) εντός Set-IRMConfigurationκαι οι διακομιστές και οι υπολογιστές-πελάτες του Exchange δεν ενημερώνονται, τα μηνύματα που κρυπτογραφούνται με χρήση AES256-CBC ενδέχεται να δημιουργούν αναφορές μη παράδοσης (NDR) και το ακόλουθο μήνυμα σφάλματος:
Ο Απομακρυσμένος διακομιστής επέστρεψε το '550 5.7.157 RmsDecryptAgent. Η υπηρεσία μεταφοράς του Microsoft Exchange δεν μπορεί να αποκρυπτογραφήσει το μήνυμα.
Αυτή η ρύθμιση μπορεί επίσης να προκαλέσει προβλήματα που επηρεάζουν τους κανόνες μεταφοράς για την κρυπτογράφηση, την καταχώρηση σε χρονικό και το eDiscovery, εάν δεν ενημερώνονται οι διακομιστές.
