דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

החל מעדכון האבטחה של אוגוסט 2023 עבור Microsoft Exchange Server, AES256 במצב של שרשרת בלוקים של Cipher (AES256-CBC) יהיה מצב ההצפנה המוגדר כברירת מחדל בכל היישומים המשתמשים הגנה על מידע ב- Microsoft Purview. לקבלת מידע נוסף, ראה שינויי אלגוריתם הצפנה הגנה על מידע ב- Microsoft Purview.

אם אתה משתמש Exchange Server פריסה היברידית של Exchange, או אם אתה משתמש ב- יישומי Microsoft 365 מסמך זה יעזור לך להתכונן לשינוי כך שלא יהיו הפרעות. 

השינויים שהוצגו בעדכון האבטחה של אוגוסט 2023 (SU) עוזרים לפענח הודעות דואר אלקטרוני וקבצים מצורפים המוצפנים באמצעות AES256-CBC. תמיכה בהצפנת הודעות דואר אלקטרוני במצב AES256-CBC נוספה ב- SU מאוקטובר 2023.

כיצד ליישם שינוי במצב AES256-CBC Exchange Server

אם אתה משתמש בתכונות ניהול זכויות המידע (IRM) ב- Exchange Server יחד עם Active Directory Rights Management Services (AD RMS) או Azure RMS (AzRMS), עליך לעדכן את Exchange Server 2019 ואת Exchange Server 2016 שרתים לעדכון האבטחה של אוגוסט 2023 ובצעו את השלבים הנו נוספים המתוארים בסעיפים הבאים עד סוף אוגוסט 2023. פונקציית החיפוש והיומן תושפע אם לא תעדכן את שרתי Exchange לאוגוסט 2023 SU עד סוף אוגוסט.

אם הארגון שלך זקוק לזמן נוסף כדי לעדכן את שרתי Exchange שלך, קרא את שאר המאמר כדי להבין כיצד לצמצם את השפעת השינויים.

אפשר תמיכה במצב הצפנה מסוג AES256-CBC Exchange Server 

SU לחודש אוגוסט 2023 Exchange Server תומך בפענוח של הודעות דואר אלקטרוני וקבצים מצורפים מוצפנים במצב AES256-CBC. כדי להפוך תמיכה זו לזמינה, בצע את הפעולות הבאות: 

  1. התקן את SU של אוגוסט 2023 בכל שרתי Exchange 2019 ו- Exchange 2016 שלך.

  2. הפעל את רכיבי ה- cmdlet הבאים בכל שרתי Exchange 2019 ו- Exchange 2016.

    הערה: השלם את שלב 2 בכל שרתי Exchange 2019 ו- Exchange 2016 בסביבה שלך לפני שתמשיך לשלב 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    הערה: מפתח ה- -AclObject $acl נוסף לרישום במהלך התקנת SU של אוגוסט. 

  3. אם אתה משתמש ב- AzRMS, יש לעדכן את מחבר AzRMS בכל שרתי Exchange. הפעל את קובץ ה GenConnectorConfig.ps1 Script המעודכן כדי ליצור את מפתחות הרישום שהוצגו עבור התמיכה במצב AES256-CBC בגירסאות su של Exchange Server אוגוסט 2023 וגירסאות מאוחרות יותר של Exchange. הורד את קובץ ה GenConnectorConfig.ps1 Script העדכני ביותר ממרכז ההורדות של Microsoft.

    לקבלת מידע נוסף אודות אופן קביעת התצורה של שרתי Exchange לשימוש במחבר, ראה קביעת תצורה של שרתים עבור המחבר של Microsoft Rights Management.המאמר דן בשינויי תצורה ספציפיים עבור Exchange Server 2019 ו- Exchange Server 2016. 

    לקבלת מידע נוסף אודות אופן קביעת התצורה של שרתים עבור מחבר Rights Management, כולל אופן ההפעלה שלו ואופן הפריסה של ההגדרות, ראה הגדרות רישום עבור מחבר ניהול הזכויות.

  4. אם מותקן אצלך SU באוגוסט 2023, קיימת תמיכה רק לפענוח הודעות דואר אלקטרוני וקבצים מצורפים המוצפנים באמצעות AES-256 CBC ב- Exchange Server. כדי להפוך תמיכה זו לזמינה, הפעל את עקיפת ההגדרה הבאה:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    בנוסף לשינויים שבוצעו ב- SU באוגוסט 2023, SU מאוקטובר 2023 מוסיף תמיכה כדי להצפין הודעות דואר אלקטרוני וקבצים מצורפים במצב AES256-CBC. אם התקנת את SU מאוקטובר 2023, הפעל את עקיפות ההגדרה הבאות:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. רענן את הארגומנט VariantConfiguration. לשם כך, הפעל את ה- cmdlet הבא:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. כדי להחיל את ההגדרות החדשות, הפעל מחדש את שירות הפרסום באינטרנט ואת שירות הפעלת התהליך של Windows (היה). לשם כך, הפעל את ה- cmdlet הבא:

    Restart-Service -Name W3SVC, WAS -Force

הערה: הפעל מחדש שירותים אלה רק בשרת Exchange שבו ה- cmdlet של עקיפת ההגדרות פועל.

אם יש לך פריסה היברידית של Exchange (תיבות דואר הן באופן מקומי והן Exchange Online) 

ארגונים המשתמשים ב- Exchange Server יחד עם מחבר Azure Rights Management Service (Azure RMS) יבטלו באופן אוטומטי את הצטרפותם לעדכון מצב AES256-CBC ב- Exchange Online עד לינואר 2024 לפחות. עם זאת, אם ברצונך להשתמש במצב AES-256 CBC המאובטח יותר כדי להצפין הודעות דואר אלקטרוני וקבצים מצורפים ב- Exchange Online ולפענוח הודעות דואר אלקטרוני וקבצים מצורפים כאלה ב- Exchange Server, בצע שלבים אלה כדי לבצע שינויים דרושים בפריסת Exchange Server שלך.  

לאחר השלמת השלבים הדרושים, פתח מקרה תמיכה ולאחר מכן בקש עדכון של הגדרת Exchange Online כדי להפוך את מצב AES256-CBC לזמין.  

אם אתה משתמש ב- יישומי Microsoft 365 עם Exchange Server 

כברירת מחדל, כל יישומי M365, כגון Microsoft Outlook, Microsoft Word, Microsoft Excel ו- Microsoft PowerPoint, ישתמשו בהצפנה במצב AES256-CBC החל באוגוסט 2023. 

חשוב: אם לארגון שלך אין אפשרות להחיל את עדכון האבטחה של שרת Exchange באוגוסט 2023 בכל שרתי Exchange (2019 ו- 2016), או אם אינך מצליח לעדכן את שינויי תצורת המחבר בתשתית Exchange Server עד סוף אוגוסט 2023, עליך לבטל את הצטרפותך לשינוי התצורה של AES256-CBC ביישומי Microsoft 365.  

הסעיף הבא מתאר כיצד לכפות AES128-ECB עבור משתמשים המשתמשים בהגדרות הרישום ובהגדרות מדיניות קבוצתית.

באפשרותך לקבוע את התצורה של Office יישומי Microsoft 365 עבור Windows לשימוש במצב ECB או CBC באמצעות ההגדרה מצב הצפנה עבור ניהול זכויות מידע (IRM) תחתConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. כברירת מחדל, מצב CBC נמצא בשימוש החל מגירסה 16.0.16327 של יישומי Microsoft 365. 

לדוגמה, כדי לכפות מצב CBC עבור לקוחות Windows, הגדר את מדיניות קבוצתית הבאה: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

כדי לקבוע הגדרות עבור Office עבור Mac, ראה הגדרת העדפות עבור כל החבילה עבור לקוחות Office עבור Mac.

לקבלת מידע נוסף, עיין בסעיף "תמיכה ב- AES256-CBC עבור Microsoft 365" של פרטי חומר עזר טכני אודות הצפנה.

בעיות ידועות 

  • ה- SU של אוגוסט 2023 אינו מותקן כאשר אתה מנסה לעדכן שרתי Exchange שבהם מותקן ה- SDK של RMS. מומלץ לא להתקין את RMS SDK באותו מחשב שבו Exchange Server מותקן. 

  • מסירת דואר אלקטרוני ורישום ביומן נכשלים לסירוגין אם תמיכה במצב AES256-CBC מופעלת ב- Exchange Server 2019 וב- Exchange Server 2016 בסביבה הדו-exists עם Exchange Server 2013. Exchange Server 2013 אינה נתמך. לכן, עליך לשדרג את כל השרתים שלך ל- Exchange Server 2019 או Exchange Server 2016.

תסמינים אם התצורה של הצפנת CBC לא נקבעה כראוי או אינה מתעדכנת

אם TransportDecryptionSetting מוגדר להכרחי ("אופציונלי" הוא ברירת מחדל) בתוך Set-IRMConfiguration, ושרתים והלקוחות של Exchange אינם מעודכנים, הודעות שהוצפנו באמצעות AES256-CBC עשויות ליצור דוחות אי-מסירה (NDR) ואת הודעת השגיאה הבאה:

שרת מרוחק החזיר '550 5.7.157 RmsDecryptAgent; לתעבורה של Microsoft Exchange אין אפשרות לפענח את ההודעה באמצעות RMS.

הגדרה זו עשויה גם לגרום לבעיות המשפיעות על כללי תעבורה עבור הצפנה, רישום ביומן וגילוי אלקטרוני אם שרתים אינם מעודכנים. 

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×