Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Počevši od sigurnosnog ažuriranja za Microsoft Exchange Server iz kolovoza 2023., AES256 u načinu rada za povezivanje s blokom šifriranja (AES256-CBC) bit će zadani način šifriranja u svim aplikacijama koje koriste Microsoft Purview Information Protection. Dodatne informacije potražite u članku Promjene algoritma šifriranja u Microsoft Purview Information Protection.

Ako koristite Exchange Server i imate hibridnu implementaciju sustava Exchange ili koristite Microsoft 365 Apps ovaj dokument pomoći će vam da se pripremite za promjenu tako da ne postoje prekidi. 

Promjene uvedene u sigurnosnom ažuriranju (SU) za kolovoz 2023. pomažu dešifrirati poruke e-pošte i privitke šifrirane AES256-CBC-om. Podrška za šifriranje poruka e-pošte u AES256-CBC načinu dodana je u listopadu 2023. SU.

Implementacija promjene načina rada AES256-CBC u Exchange Server

Ako koristite značajke upravljanja pravima na informacije (IRM) u sustavu Exchange Server zajedno sa servisima Active Directory Rights Management Services (AD RMS) ili Azure RMS (AzRMS), morate ažurirati svoj Exchange Server 2019 i Exchange Server Poslužitelji za 2016. do sigurnosnog ažuriranja iz kolovoza 2023. i dovršite dodatne korake opisane u sljedećim odjeljcima do kraja kolovoza 2023. To će utjecati na funkciju pretraživanja i dnevnika ako poslužitelje sustava Exchange ne ažurirate na kolovoz 2023. su do kraja kolovoza.

Ako je vašoj tvrtki ili ustanovi potrebno dodatno vrijeme za ažuriranje poslužitelja sustava Exchange, pročitajte ostatak članka da biste saznali kako umanjiti učinak promjena.

Omogućivanje podrške za AES256-CBC način šifriranja u Exchange Server 

SU za kolovoz 2023. Exchange Server podržava dešifriranje poruka e-pošte i privitaka šifriranih načinom rada AES256-CBC. Da biste omogućili tu podršku, slijedite ove korake: 

  1. Instalirajte SU za kolovoz 2023. na sve poslužitelje sustava Exchange 2019 i 2016.

  2. Pokrenite sljedeće cmdlete na svim poslužiteljima sustava Exchange 2019 i 2016.

    Napomena: Dovršite drugi korak na svim poslužiteljima sustava Exchange 2019 i 2016 u okruženju prije no što nastavite na treći korak.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Napomena: Ključ -AclObject $acl se u registar tijekom instalacije kolovozskog SU-a. 

  3. Ako koristite AzRMS, AzRMS Connector mora se ažurirati na svim poslužiteljima sustava Exchange. Pokrenite ažuriranu GenConnectorConfig.ps1 za generiranje ključeva registra koji su uvedeni za podršku za AES256-CBC način rada u Exchange Server kolovozu 2023. su i novijim verzijama sustava Exchange. Preuzmite najnoviju GenConnectorConfig.ps1 iz Microsoftova centra za preuzimanje.

    Dodatne informacije o konfiguriranju poslužitelja sustava Exchange za korištenje poveznika potražite u članku Konfiguriranje poslužitelja za poveznik za Upravljanje pravima tvrtke Microsoft.U članku se razmatraju određene promjene konfiguracije Exchange Server 2019. i Exchange Server 2016. 

    Dodatne informacije o konfiguriranju poslužitelja za poveznik za upravljanje pravima, uključujući upute za pokretanje i implementaciju postavki potražite u članku Postavke registra za poveznik za upravljanje pravima.

  4. Ako ste instalirali su za kolovoz 2023., podrška je podržana samo za dešifriranje poruka e-pošte šifriranih CBC-om I privitaka šifriranih pomoću AES-256 CBC-a u Exchange Server. Da biste omogućili tu podršku, pokrenite sljedeće nadjačavanje postavki:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    Osim promjena izvršenih u kolovozu 2023. SU, SU iz listopada 2023. dodaje podršku za šifriranje poruka e-pošte i privitaka u AES256-CBC načinu rada. Ako ste instalirali su za listopad 2023., pokrenite sljedeće nadjačavanje postavki:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Osvježite argument VariantConfiguration. Da biste to učinili, pokrenite sljedeći cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Da biste primijenili nove postavke, ponovno pokrenite servis World Wide Web Publishing i servis za aktivaciju procesa sustava Windows (WAS). Da biste to učinili, pokrenite sljedeći cmdlet:

    Restart-Service -Name W3SVC, WAS -Force

Napomena: Ponovno pokrenite te servise samo na poslužitelju sustava Exchange na kojem se pokreće cmdlet nadjačavanja postavki.

Ako imate hibridnu implementaciju sustava Exchange (poštanske sandučiće u lokalnoj i Exchange Online) 

Tvrtke ili ustanove koje koriste Exchange Server uz Azure Rights Management Service Connector (Azure RMS) automatski će se isključiti iz ažuriranja AES256-CBC načina rada u sustavu Exchange Online do najmanje siječnja 2024. No ako želite koristiti sigurniji CBC način rada AES-256 za šifriranje poruka e-pošte i privitaka u sustavu Exchange Online i dešifriranje takvih poruka e-pošte i privitaka u sustavu Exchange Server, slijedite ove korake da biste unijeli potrebne promjene u implementaciju sustava Exchange Server.  

Kada dovršite potrebne korake, otvorite slučaj podrške, a zatim zatražite ažuriranje Exchange Online da biste omogućili način rada AES256-CBC.  

Ako koristite Microsoft 365 Apps s Exchange Server 

Prema zadanim postavkama sve vaše M365 aplikacije, kao što su Microsoft Outlook, Microsoft Word, Microsoft Excel i Microsoft PowerPoint, koristit će šifriranje načina rada AES256-CBC počevši od kolovoza 2023. 

Važno: Ako vaša tvrtka ili ustanova ne može primijeniti sigurnosno ažuriranje poslužitelja sustava Exchange iz kolovoza 2023. na svim poslužiteljima sustava Exchange (2019 i 2016) ili ako ne možete ažurirati promjene konfiguracije poveznika u cijeloj infrastrukturi sustava Exchange Server do kraja kolovoza 2023., morate odustati od promjene AES256-CBC u aplikacijama sustava Microsoft 365.  

U sljedećem se odjeljku opisuje kako prisiliti AES128-ESB za korisnike koji koriste postavke registra i pravilnik grupe.

Možete konfigurirati Office i Microsoft 365 Apps za Windows tako da koriste način RADA ESB-a ili CBC-a pomoću postavke Način šifriranja za upravljanje pravima na informacije (IRM) u odjeljkuConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. CBC način po zadanom se koristi počevši od verzije 16.0.16327 Microsoft 365 Apps. 

Da biste, primjerice, prisilno nametli CBC način za klijente sustava Windows, postavite pravilnik grupe na sljedeći način: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Da biste konfigurirali postavke za klijente sustava Office za Mac, pročitajte članak Postavljanje preferenci u cijelom paketu za Office za Mac.

Dodatne informacije potražite u odjeljku "Podrška za AES256-CBC za Microsoft 365" u odjeljku Tehničke reference o šifriranju.

Poznati problemi 

  • SU iz kolovoza 2023. ne instalira se kada pokušate ažurirati poslužitelje sustava Exchange na kojima je instaliran RMS SDK. Preporučujemo da RMS SDK ne instalirate na isto računalo na kojem Exchange Server instaliran. 

  • Isporuka e-pošte i bilježenje povremeno ne uspijeva ako je podrška za AES256-CBC omogućena u verzijama Exchange Server 2019 i Exchange Server 2016 u okruženju koje suegstira sa sustavom Exchange Server 2013. Exchange Server 2013 je izvan podrške. Stoga biste trebali nadograditi sve poslužitelje na Exchange Server 2019 ili Exchange Server 2016.

Simptomi ako CBC šifriranje nije ispravno konfigurirano ili nije ažurirano

Ako je TransportDecryptionSetting postavljen na obavezno ("neobavezno" je zadano) unutar sustava Set-IRMConfiguration, a poslužitelji i klijenti sustava Exchange ne ažuriraju se, poruke šifrirane pomoću AES256-CBC-a mogu generirati izvješća o nemogućnosti isporuke (NDR) i sljedeću poruku o pogrešci:

Udaljeni poslužitelj vratio je '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport ne može RMS dešifrirati poruku.

Ta postavka može uzrokovati i probleme koji utječu na pravila prijenosa za šifriranje, biljeg i obavezu predočavanja elektroničkih dokumenata ako se poslužitelji ne ažuriraju. 

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×