Alates Microsoft Exchange Server 2023. aasta augusti turbevärskendusest on AES256 šifri plokiahela režiimis (AES256-CBC) kõigis Microsoft Purview' teabekaitse kasutavates rakendustes vaikimisi krüptimisrežiim. Lisateavet leiate teemast Microsoft Purview' teabekaitse krüptimisalgoritmi muudatused.
Kui kasutate Exchange Server ja teil on Exchange'i hübriidjuurutus või kasutate Microsoft 365 rakendused aitab see dokument teil muudatusteks valmistuda, et häireid ei esineks.
2023. aasta augusti turbevärskenduses (SU) tehtud muudatused aitavad dekrüptida AES256-CBC-krüptitud meilisõnumid ja manused. 2023. aasta oktoobris lisati meilisõnumite krüptimise tugi AES256-CBC režiimis.
Kuidas rakendada AES256-CBC režiimi muutmist Exchange Server
Kui kasutate Exchange Server teabeõiguste halduse (IRM) funktsioone koos Active Directory õiguste halduse teenuste (AD RMS) või Azure RMS-iga (AzRMS), peate oma Exchange Server 2019 ja Exchange Server 2016. aasta augusti turbevärskendusse ja täitke 2023. aasta augusti lõpuks järgmistes jaotistes kirjeldatud lisatoimingud. See mõjutab otsingu- ja päevikufunktsiooni, kui te ei värskenda oma Exchange'i servereid augusti lõpuks 2023 SU-le.
Kui teie ettevõte vajab Exchange'i serverite värskendamiseks lisaaega, lugege ülejäänud artiklist, kuidas muudatuste mõju leevendada.
AES256-CBC krüptimisrežiimi toe lubamine Exchange Server
2023. aasta augusti Exchange Server su toetab AES256-CBC režiimis krüptitud meilisõnumite ja manuste dekrüptimist. Selle toe lubamiseks tehke järgmist.
-
Installige 2023. aasta augusti SU kõigis oma Exchange 2019 ja 2016 serverites.
-
Käivitage järgmised cmdlet-käsud kõigis Exchange 2019 ja 2016 serverites.
Märkus.: Enne 3. toiminguga jätkamist täitke 2. juhis kõigis teie keskkonna Exchange 2019 ja 2016 serverites.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Märkus.: August SU installimise ajal lisatakse registrisse võti -AclObject $acl.
-
Kui kasutate AzRMS-i, tuleb AzRMS-i konnektor värskendada kõigis Exchange'i serverites. Käivitage värskendatud GenConnectorConfig.ps1 skript, et luua registrivõtmed, mis võeti kasutusele AES256-CBC režiimi toe jaoks Exchange Server augustis 2023 SU ja uuemates Exchange'i versioonides. Laadige Microsofti allalaadimiskeskusest alla uusim GenConnectorConfig.ps1 skript.
Lisateavet selle kohta, kuidas konfigureerida Exchange'i servereid konnektori kasutamiseks, leiate teemast Serverite konfigureerimine Microsofti õiguste halduse konnektori jaoks.Artiklis käsitletakse konkreetseid konfiguratsioonimuudatusi Exchange Server 2019 ja Exchange Server 2016 jaoks.
Lisateavet õiguste halduse konnektori serverite konfigureerimise (sh selle käivitamise ja sätete juurutamise) kohta leiate teemast Õiguste halduse konnektori registrisätted. -
Kui teil on installitud august 2023 SU, toetatakse ainult AES-256 CBC-krüptitud meilisõnumite ja manuste dekrüptimist Exchange Server. Selle toe lubamiseks käivitage järgmine sätte alistamine:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Lisaks 2023. aasta augustis TEHTUD muudatustele lisab 2023. aasta oktoobri SU meilisõnumite ja manuste krüptimise toe AES256-CBC režiimis. Kui teil on installitud 2023. aasta oktoobri SU, käivitage järgmine säte:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Värskendage argumenti VariantConfiguration. Selleks käivitage järgmine cmdlet-käsk:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Uute sätete rakendamiseks taaskäivitage veebis avaldamise teenus ja Windowsi protsesside aktiveerimise teenus (WAS). Selleks käivitage järgmine cmdlet-käsk:
Restart-Service -Name W3SVC, WAS -Force
Märkus.: Taaskäivitage need teenused ainult Exchange'i serveris, kus sätete alistamise cmdlet-käsk käivitatakse.
Kui teil on Exchange'i hübriidjuurutus (postkastid nii kohapealses kui ka Exchange Online)
Asutused, mis kasutavad Exchange Server koos Azure Rights Management Service Connectoriga (Azure RMS), loobutakse automaatselt AES256-CBC režiimi värskendusest Exchange Online vähemalt jaanuarini 2024. Kui soovite siiski kasutada turvalisemat AES-256 CBC-režiimi Exchange Online meilisõnumite ja manuste krüptimiseks ning selliste meilisõnumite ja manuste dekrüptimiseks Exchange Server, tehke Exchange Server juurutamiseks vajalikud muudatused.
Pärast nõutavate juhiste täitmist avage tugiteenuse juhtum ja taotlege seejärel AES256-CBC-režiimi lubamiseks Exchange Online sätte värskendamist.
Kui kasutate Microsoft 365 rakendused koos Exchange Server
Vaikimisi kasutavad kõik M365 rakendused (nt Microsoft Outlook, Microsoft Word, Microsoft Excel ja Microsoft PowerPoint) AES256-CBC-režiimi krüptimist alates augustist 2023.
NB!: Kui teie ettevõte ei saa rakendada Exchange'i serveri 2023. aasta augusti turbevärskendust kõigile Exchange'i serveritele (2019 ja 2016) või kui te ei saa 2023. aasta augusti lõpuks Exchange Server taristus konnektori konfiguratsiooni muudatusi värskendada, peate Microsoft 365 rakendusteS AES256-CBC muudatusest loobuma.
Järgmises jaotises kirjeldatakse, kuidas jõustada AES128-ECB registrisätteid ja Rühmapoliitika kasutavate kasutajate jaoks.
Office'i ja Microsoft 365 rakendused Windowsi jaoks saate konfigureerida ekp- või CBC-režiimi kasutamiseks teabeõiguste halduse (IRM) sättega jaotisesConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Vaikimisi kasutatakse CBC-režiimi alates Microsoft 365 rakendused versioonist 16.0.16327.
Näiteks CBC-režiimi jõustamiseks Windowsi klientrakendustes määrake Rühmapoliitika säte järgmiselt.
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Office for Maci klientrakenduste sätete konfigureerimise kohta leiate teavet teemast Kogu komplekti hõlmavate eelistuste määramine Office for Maci jaoks.
Lisateavet leiate krüptimise tehnilise viite jaotisest "AES256-CBC tugi Microsoft 365 jaoks".
Teadaolevad probleemid
-
2023. aasta augusti SU-d ei installita, kui proovite värskendada Exchange'i servereid, kuhu on installitud RMS SDK. Soovitame RMS SDK-d mitte installida samasse arvutisse, kuhu on installitud Exchange Server.
-
Meilisõnumite kohaletoimetamine ja töölehele saatmine nurjub aeg-ajalt, kui AES256-CBC režiimi tugi on lubatud Exchange Server 2019 ja Exchange Server 2016 keskkonnas, mis eksisteerib koos versiooniga Exchange Server 2013. Exchange Server 2013 tugi on otsas. Seetõttu peaksite kõik oma serverid uuendama versioonile Exchange Server 2019 või Exchange Server 2016.
Sümptomid, kui CBC-krüptimine pole õigesti konfigureeritud või seda ei värskendata
Kui TransportDecryptionSetting on Set-IRMConfigurationmääratud kohustuslikuks (vaikimisi valikuline) ja Exchange'i servereid ja kliente ei värskendata, võivad AES256-CBC abil krüptitud sõnumid genereerida kättetoimematuse aruanded (NDR) ja järgmise tõrketeate:
Kaugserver tagastas väärtuse '550 5.7.157 RmsDecryptAgent; Microsoft Exchange'i transport ei saa sõnumit RMS-i dekrüptida.
See säte võib põhjustada probleeme, mis mõjutavad krüptimise, töölehele kirjutamise ja e-juurdluse transpordireegleid, kui servereid ei värskendata.
