Microsoft Exchange Server elokuun 2023 suojauspäivityksestä alkaen salauslohkon ketjutustilan (AES256-CBC) AES256 on oletussalaustila kaikissa Microsoft Purview Information Protection käyttävissä sovelluksissa. Lisätietoja on artikkelissa Salausalgoritmin muutokset Microsoft Purview Information Protection.
Jos käytät Exchange Server ja käytössäsi on Exchange-yhdistelmäympäristö tai käytät Microsoft 365 -sovellukset tämä asiakirja auttaa sinua valmistautumaan muutokseen, jotta häiriöitä ei tule.
Elokuun 2023 suojauspäivityksessä (SU) käyttöön otetut muutokset auttavat purkamaan AES256-CBC-salattujen sähköpostiviestien ja liitteiden salauksen. Tuki sähköpostiviestien salaamiseen AES256-CBC-tilassa lisättiin lokakuun 2023 SU:ssa.
AES256-CBC-tilan muutoksen käyttöönotto Exchange Server
Jos käytät sisältöoikeuksien hallinnan (IRM) ominaisuuksia Exchange Server yhdessä active directory -oikeuksien hallintapalvelujen (AD RMS) tai Azure RMS:n (AzRMS) kanssa, sinun on päivitettävä Exchange Server 2019 ja Exchange Server 2016-palvelimet elokuun 2023 suojauspäivitykseen ja suorita lisävaiheet, jotka on kuvattu seuraavissa osissa elokuun 2023 loppuun mennessä. Tämä vaikuttaa haku- ja päivyrifunktioon, jos et päivitä Exchange-palvelimia elokuun 2023 SU-versioon elokuun loppuun mennessä.
Jos organisaatiosi tarvitsee lisäaikaa Exchange-palvelinten päivittämiseen, lue loput artikkelista, miten voit lieventää muutosten vaikutusta.
Ota AES256-CBC-salaustilan tuki käyttöön Exchange Server
Elokuun 2023 SU for Exchange Server tukee AES256-CBC mode -salattujen sähköpostiviestien ja liitteiden salauksen purkamista. Voit ottaa tämän tuen käyttöön seuraavasti:
-
Asenna elokuun 2023 SU kaikkiin Exchange 2019- ja 2016-palvelimiin.
-
Suorita seuraavat cmdlet-komennot kaikissa Exchange 2019- ja 2016-palvelimissa.
Huomautus: Suorita vaihe 2 kaikissa Ympäristön Exchange 2019- ja 2016-palvelimissa, ennen kuin jatkat vaiheeseen 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Huomautus: -AclObject-$acl-avain lisätään rekisteriin elokuun SU:n asennuksen aikana.
-
Jos käytössäsi on AzRMS, AzRMS-yhdistin on päivitettävä kaikissa Exchange-palvelimissa. Suorita päivitetty GenConnectorConfig.ps1 -komentosarja luodaksesi rekisteriavaimet, jotka otetaan käyttöön AES256-CBC-tilatuessa Exchange Server elokuuta 2023 SU- ja uudemmissa Exchange-versioissa. Lataa uusin GenConnectorConfig.ps1 komentosarja Microsoft Download Centeristä.
Lisätietoja Exchange-palvelinten määrittämisestä käyttämään yhdistintä on artikkelissa Microsoft Rights Management -yhdistimen palvelinten määrittäminen.Artikkelissa käsitellään Exchange Server 2019:n ja Exchange Server 2016:n määritysmuutoksia.
Lisätietoja oikeuksien hallinnan yhdistimen palvelinten määrittämisestä, kuten sen suorittamisesta ja asetusten käyttöönotosta, on kohdassa Oikeuksienhallinnan yhdistimen rekisteriasetukset. -
Jos olet asentanut elokuun 2023 SU:n, AES-256 CBC-salattujen sähköpostiviestien ja liitteiden salauksen purkaminen on tuettua vain Exchange Server. Ota tuki käyttöön suorittamalla seuraava ohitusasetus:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Elokuun 2023 su-tilassa tehtyjen muutosten lisäksi lokakuun 2023 SU lisää tuen sähköpostiviestien ja liitteiden salaamiseen AES256-CBC-tilassa. Jos olet asentanut lokakuun 2023 SU:n, suorita seuraava asetus:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Päivitä VariantConfiguration-argumentti. Voit tehdä tämän suorittamalla seuraavan cmdlet-komennon:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Voit ottaa uudet asetukset käyttöön käynnistämällä World Wide Web -julkaisupalvelun ja Windowsin prosessin aktivointipalvelun (WAS). Voit tehdä tämän suorittamalla seuraavan cmdlet-komennon:
Restart-Service -Name W3SVC, WAS -Force
Huomautus: Käynnistä nämä palvelut uudelleen vain Exchange-palvelimessa, jossa asetukset ohittavat cmdlet-komennon.
Jos käytössäsi on Exchange-yhdistelmäympäristö (postilaatikot sekä paikallisesti että Exchange Online)
Organisaatiot, jotka käyttävät Exchange Server yhdessä Azure Rights Management Service Connectorin (Azure RMS) kanssa, jättäytyvät automaattisesti pois AES256-CBC-tilapäivityksestä Exchange Online ainakin tammikuuhun 2024 asti. Jos kuitenkin haluat käyttää turvallisempaa AES-256 CBC -tilaa sähköpostiviestien ja liitteiden salaamiseen Exchange Online ja tällaisten sähköpostiviestien ja liitteiden salauksen purkamiseen Exchange Server, tee tarvittavat muutokset Exchange Server käyttöönottoon näiden ohjeiden mukaisesti.
Kun olet suorittanut tarvittavat vaiheet, avaa tukipyyntö ja pyydä sitten, että Exchange Online-asetus päivitetään niin, että AES256-CBC-tila otetaan käyttöön.
Jos käytät Microsoft 365 -sovellukset Exchange Server
Oletusarvoisesti kaikki M365-sovellukset, kuten Microsoft Outlook, Microsoft Word, Microsoft Excel ja Microsoft PowerPoint, käyttävät AES256-CBC-tilan salausta elokuusta 2023 alkaen.
Tärkeää: Jos organisaatiosi ei voi ottaa Käyttöön Exchange-palvelimen elokuun 2023 suojauspäivitystä kaikissa Exchange-palvelimissa (2019 ja 2016) tai jos et voi päivittää yhdistimen määritysmuutoksia koko Exchange Server infrastruktuurissa elokuun 2023 loppuun mennessä, sinun on kieltäydyttävä AES256-CBC-muutoksesta Microsoft 365 -sovelluksissa.
Seuraavassa osiossa kuvataan, miten AES128-EKP pakotetaan rekisteriasetuksia ja ryhmäkäytäntö käyttäville käyttäjille.
Voit määrittää Windowsin Officen ja Microsoft 365 -sovellukset käyttämään EKP- tai CBC-tilaaConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Oletusarvoisesti CBC-tilaa käytetään Microsoft 365 -sovellukset versiosta 16.0.16327 alkaen.
Jos esimerkiksi haluat pakottaa Windows-asiakkaiden CBC-tilan, määritä ryhmäkäytäntö-asetus seuraavasti:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Lisätietoja Office for Mac asiakkaiden asetusten määrittämisestä on artikkelissa Ohjelmistopaketin laajuisten asetusten määrittäminen Office for Mac.
Lisätietoja on Microsoft 365:n AES256-CBC-tuki -osiossa, joka sisältää salauksen tekniset tiedot.
Tunnetut ongelmat
-
Elokuun 2023 SU ei asennu, kun yrität päivittää Exchange-palvelimia, joihin RMS SDKon asennettu. Suosittelemme, että et asenna RMS SDK:a samaan tietokoneeseen, johon Exchange Server on asennettu.
-
Sähköpostin toimitus ja kirjaus epäonnistuu ajoittain, jos AES256-CBC-tilan tuki on käytössä Exchange Server 2019:ssä ja Exchange Server 2016 ympäristössä, jossa on Exchange Server 2013. Exchange Server 2013:n tuki on loppunut. Siksi kaikki palvelimet kannattaa päivittää Exchange Server 2019:ään tai Exchange Server 2016:een.
Ongelmia, jos CBC-salausta ei ole määritetty oikein tai sitä ei ole päivitetty
Jos TransportDecryptionSetting on määritetty pakolliseksi ("valinnainen" on oletusarvo) Set-IRMConfigurationja Exchange-palvelimia ja -asiakkaita ei päivitellä, AES256-CBC:n avulla salatut viestit saattavat luoda toimituksen epäonnistumisraportteja (NDR) ja seuraavan virhesanoman:
Etäpalvelin palautti '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport ei voi purkaa viestin salausta.
Tämä asetus voi myös aiheuttaa ongelmia, jotka vaikuttavat salauksen, kirjauskansion ja eDiscoveryn siirtosääntöihin, jos palvelimia ei päivitetä.
