Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

A partir de la actualización de seguridad de agosto de 2023 para Microsoft Exchange Server, el AES256 en el modo de cadena de bloques de cifrado (AES256-CBC) será el modo de cifrado predeterminado en todas las aplicaciones que usan Microsoft Purview Information Protection. Para obtener más información, vea Cambios del algoritmo de cifrado en Microsoft Purview Information Protection.

Si usa Exchange Server y tiene una implementación híbrida de Exchange, o si usa Aplicaciones Microsoft 365 este documento le ayudará a preparar el cambio para que no haya interrupciones. 

Los cambios que se introdujeron en la actualización de seguridad de agosto de 2023 (SU) ayudan a descifrar los mensajes de correo electrónico cifrados con AES256-CBC y los datos adjuntos. Se agregó compatibilidad para cifrar mensajes de correo electrónico en el modo AES256-CBC en el SU de octubre de 2023.

Cómo implementar el cambio de modo AES256-CBC en Exchange Server

Si usa las características de Information Rights Management (IRM) en Exchange Server junto con Active Directory Rights Management Services (AD RMS) o Azure RMS (AzRMS), debe actualizar su Exchange Server 2019 y Exchange Server Servidores de 2016 a la actualización de seguridad de agosto de 2023 y complete los pasos adicionales que se describen en las secciones siguientes a finales de agosto de 2023. La función de búsqueda y registro en diario se verá afectada si no actualiza los servidores de Exchange a agosto de 2023 SU a finales de agosto.

Si su organización necesita más tiempo para actualizar los servidores de Exchange, lea el resto del artículo para comprender cómo mitigar el efecto de los cambios.

Habilitar la compatibilidad con el modo AES256-CBC de cifrado en Exchange Server 

El agosto de 2023 SU para Exchange Server admite el descifrado de AES256-CBC modo-cifrado mensajes de correo electrónico y datos adjuntos. Para habilitar este soporte técnico, sigue estos pasos: 

  1. Instale el SU de agosto de 2023 en todos los servidores de Exchange 2019 y 2016.

  2. Ejecute los siguientes cmdlets en todos los servidores de Exchange 2019 y 2016.

    Nota: Complete el paso 2 en todos los servidores de Exchange 2019 y 2016 en su entorno antes de continuar con el paso 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Nota: La clave de $acl -AclObject se agrega al registro durante la instalación del SU de agosto. 

  3. Si usa AzRMS, el conector AzRMS debe actualizarse en todos los servidores de Exchange. Ejecute el script de GenConnectorConfig.ps1 actualizado para generar las claves del Registro que se introdujeron para la compatibilidad con el modo AES256-CBC en la Exchange Server de agosto de 2023 SU y versiones posteriores de Exchange. Descarga el script de GenConnectorConfig.ps1 más reciente desde el Centro de descarga de Microsoft.

    Para obtener más información sobre cómo configurar los servidores de Exchange para que usen el conector, consulte Configuración de servidores para el conector Microsoft Rights Management.En el artículo se describen los cambios de configuración específicos para Exchange Server 2019 y Exchange Server 2016. 

    Para obtener más información sobre cómo configurar servidores para el conector Rights Management, incluido cómo ejecutarlo y cómo implementar la configuración, vea Configuración del Registro para Rights Management Connector.

  4. Si tiene instalado el SU de agosto de 2023, solo se admite descifrar los mensajes de correo electrónico cifrados con CBC AES-256 y los datos adjuntos en Exchange Server. Para habilitar esta compatibilidad, ejecuta la siguiente invalidación de configuración:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    Además de los cambios realizados en el SU de agosto de 2023, el SU de octubre de 2023 agrega compatibilidad para cifrar mensajes de correo electrónico y datos adjuntos en el modo AES256-CBC. Si tienes instalado el SU de octubre de 2023, ejecuta las siguientes invalidaciones de configuración:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Actualice el argumento VariantConfiguration. Para ello, ejecute el siguiente cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Para aplicar la nueva configuración, reinicie el servicio de publicación World Wide Web y el Servicio de activación de procesos de Windows (WAS). Para ello, ejecute el siguiente cmdlet:

    Restart-Service -Name W3SVC, WAS -Force

Nota: Reinicie estos servicios solo en el servidor de Exchange en el que se ejecuta el cmdlet de invalidación de configuración.

Si tiene una implementación híbrida de Exchange (buzones tanto locales como Exchange Online) 

Las organizaciones que usen Exchange Server junto con Azure Rights Management Service Connector (Azure RMS) optarán automáticamente por no participar en la actualización del modo AES256-CBC en Exchange Online al menos hasta enero de 2024. Sin embargo, si desea usar el modo CBC AES-256 más seguro para cifrar mensajes de correo electrónico y datos adjuntos en Exchange Online, y descifrar dichos mensajes de correo electrónico y datos adjuntos en Exchange Server, siga estos pasos para realizar los cambios necesarios en la implementación de Exchange Server.  

Después de completar los pasos necesarios, abre un caso de soporte técnico y, a continuación, solicita que se actualice la configuración de Exchange Online para habilitar el modo AES256-CBC.  

Si usa Aplicaciones Microsoft 365 con Exchange Server 

De forma predeterminada, todas las aplicaciones de M365, como Microsoft Outlook, Microsoft Word, Microsoft Excel y Microsoft PowerPoint, usarán el cifrado en modo AES256-CBC a partir de agosto de 2023. 

Importante: Si su organización no puede aplicar la actualización de seguridad de agosto de 2023 de Exchange Server en todos los servidores de Exchange (2019 y 2016), o si no puede actualizar los cambios de configuración del conector en la infraestructura de Exchange Server a finales de agosto de 2023, debe optar por no participar en el cambio AES256-CBC en aplicaciones de Microsoft 365.  

En la siguiente sección se describe cómo forzar el AES128-ECB para los usuarios que usan la configuración del registro y directiva de grupo.

Puede configurar Office y Aplicaciones Microsoft 365 para Que Windows use el modo BCE o CBC mediante el ajuste Modo de cifrado para Information Rights Management (IRM) enConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. De forma predeterminada, el modo CBC se usa a partir de la versión 16.0.16327 de Aplicaciones Microsoft 365. 

Por ejemplo, para forzar el modo CBC para clientes Windows, establezca la configuración de directiva de grupo como se indica a continuación: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Para configurar las opciones para Office para Mac clientes, consulte Establecer preferencias de todo el conjunto de aplicaciones para Office para Mac.

Para obtener más información, consulte la sección "Soporte AES256-CBC para Microsoft 365" de Detalles de referencia técnica sobre el cifrado.

Problemas conocidos 

  • El SU de agosto de 2023 no se instala al intentar actualizar los servidores de Exchange en los que está instalado el SDK de RMS. Le recomendamos que no instale RMS SDK en el mismo equipo en el que está instalado Exchange Server. 

  • Email entrega y el registro en diario fallan intermitentemente si se habilita la compatibilidad del modo AES256-CBC en Exchange Server 2019 y Exchange Server 2016 en un entorno que coexiste con Exchange Server 2013. Exchange Server 2013 no tiene soporte técnico. Por lo tanto, debe actualizar todos los servidores a Exchange Server 2019 o Exchange Server 2016.

Síntomas si el cifrado CBC no está configurado correctamente o no se actualiza

Si TransportDecryptionSetting se establece en obligatorio ("opcional" es predeterminado) en Set-IRMConfigurationy los servidores y clientes de Exchange no se actualizan, los mensajes cifrados mediante AES256-CBC podrían generar informes de no entrega (NDR) y el siguiente mensaje de error:

Servidor remoto devuelto '550 5.7.157 RmsDecryptAgent; El transporte de Microsoft Exchange no puede descifrar el mensaje.

Esta configuración también puede causar problemas que afectan a las reglas de transporte para el cifrado, el registro en diario y la exhibición de documentos electrónicos si los servidores no se actualizan. 

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×