A Microsoft Exchange Server 2023. augusztusi biztonsági frissítésétől kezdve az AES256 titkosítási blokklánc módban (AES256-CBC) lesz az alapértelmezett titkosítási mód az összes olyan alkalmazásban, amely Microsoft Purview információvédelem használ. További információ: Titkosítási algoritmusok változásai Microsoft Purview információvédelem.
Ha Exchange Server használ, és hibrid Exchange-telepítést használ, vagy Microsoft 365-alkalmazások ez a dokumentum segít felkészülni a változásra, hogy ne legyenek fennakadások.
A 2023. augusztusi biztonsági frissítésben (SU) bevezetett módosítások segítenek az AES256-CBC által titkosított e-mailek és mellékletek visszafejtésében. Az E-mailek AES256-CBC módban való titkosításának támogatása 2023 októberében lett hozzáadva.
Az AES256-CBC módváltás implementálása Exchange Server
Ha Exchange Server tartalomvédelmi (IRM) funkcióit használja az Active Directory Tartalomvédelmi szolgáltatásokkal (AD RMS) vagy az Azure RMS-sel (AzRMS) együtt, frissítenie kell a Exchange Server 2019-et és Exchange Server A 2016-os kiszolgálókat a 2023. augusztusi biztonsági frissítésre, és hajtsa végre a következő szakaszokban ismertetett további lépéseket 2023 augusztusának végéig. A keresési és naplózási függvény akkor lesz érintett, ha augusztus végéig nem frissíti az Exchange-kiszolgálókat 2023 augusztusi SU-ra.
Ha a szervezetnek további időre van szüksége az Exchange-kiszolgálók frissítéséhez, olvassa el a cikk további részeit, és ismerje meg, hogyan mérsékelheti a változások hatását.
Az AES256-CBC titkosítási mód támogatásának engedélyezése Exchange Server
A 2023. augusztusi su for Exchange Server támogatja az AES256-CBC módú titkosított e-mailek és mellékletek visszafejtását. A támogatás engedélyezéséhez kövesse az alábbi lépéseket:
-
Telepítse a 2023. augusztusi SU-t az összes Exchange 2019- és 2016-kiszolgálón.
-
Futtassa az alábbi parancsmagokat az összes Exchange 2019- és 2016-kiszolgálón.
Megjegyzés: A 3. lépés folytatása előtt végezze el a 2. lépést a környezetben lévő összes Exchange 2019- és 2016-kiszolgálón.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Megjegyzés: Az -AclObject $acl kulcs hozzá lesz adva a beállításjegyzékhez az augusztusi SU telepítése során.
-
Az AzRMS használata esetén az AzRMS-összekötőt minden Exchange-kiszolgálón frissíteni kell. Futtassa a frissített GenConnectorConfig.ps1 szkriptet az AES256-CBC mód támogatásához bevezetett beállításkulcsok létrehozásához a 2023. augusztus Exchange Server SU és újabb Exchange verziókban. Töltse le a legújabb GenConnectorConfig.ps1 szkriptet a Microsoft letöltőközpontból.
Az Exchange-kiszolgálók összekötő használatára való konfigurálásával kapcsolatos további információkért lásd: Kiszolgálók konfigurálása a Microsoft Rights Management-összekötőhöz.A cikk a 2019-Exchange Server és Exchange Server 2016 konkrét konfigurációs változásait ismerteti.
A Rights Management-összekötő kiszolgálóinak konfigurálásáról, többek között a futtatásáról és a beállítások telepítéséről további információt a Rights Management-összekötő beállításjegyzék-beállításai című témakörben talál. -
Ha a 2023. augusztusi SU telepítve van, csak az AES-256 CBC által titkosított e-mailek és mellékletek visszafejtése támogatott a Exchange Server. A támogatás engedélyezéséhez futtassa a következő beállítás felülbírálását:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
A 2023. augusztusi SU-ban végrehajtott módosítások mellett a 2023. októberi SU támogatja az E-mailek és mellékletek titkosítását AES256-CBC módban. Ha a 2023. októberi SU telepítve van, futtassa a következő felülbírálásokat:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Frissítse a VariantConfiguration argumentumot. Ehhez futtassa a következő parancsmagot:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Az új beállítások alkalmazásához indítsa újra a World Wide Web Publishing szolgáltatást és a Windows Folyamataktiválási szolgáltatást (WAS). Ehhez futtassa a következő parancsmagot:
Restart-Service -Name W3SVC, WAS -Force
Megjegyzés: Indítsa újra ezeket a szolgáltatásokat csak azon az Exchange-kiszolgálón, amelyen a beállítások felülbírálják a parancsmagot.
Ha hibrid Exchange-telepítéssel rendelkezik (helyszíni és Exchange Online postaládákkal is)
A Exchange Server és az Azure Tartalomvédelmi szolgáltatások Service Connector (Azure RMS) szolgáltatást használó szervezetek legalább 2024 januárjáig automatikusan kikapcsolják az AES256-CBC mód frissítését Exchange Online. Ha azonban a biztonságosabb AES-256 CBC módot szeretné használni az e-mailek és mellékletek titkosítására Exchange Online, és vissza szeretné fejteni az ilyen e-maileket és mellékleteket Exchange Server, hajtsa végre ezeket a lépéseket a Exchange Server üzemelő példányának szükséges módosításához.
A szükséges lépések elvégzése után nyisson meg egy támogatási esetet, majd kérje meg a Exchange Online beállítás frissítését az AES256-CBC mód engedélyezéséhez.
Ha Microsoft 365-alkalmazások Exchange Server
Alapértelmezés szerint az összes M365-alkalmazás, például a Microsoft Outlook, a Microsoft Word, a Microsoft Excel és a Microsoft PowerPoint az AES256-CBC módú titkosítást fogja használni 2023 augusztusától kezdve.
Fontos: Ha szervezete nem tudja alkalmazni az Exchange Server 2023. augusztusi biztonsági frissítését az összes Exchange-kiszolgálón (2019 és 2016), vagy ha 2023 augusztusának végéig nem tudja frissíteni az összekötő konfigurációs módosításait az Exchange Server infrastruktúrában, le kell tiltania az AES256-CBC módosítását a Microsoft 365-alkalmazásokban.
A következő szakasz azt ismerteti, hogyan kényszeríthet AES128-EKB-t a beállításjegyzék-beállításokat és Csoportházirend használó felhasználók számára.
A WindowsHoz készült Office és Microsoft 365-alkalmazások konfigurálhatja ekbe vagy CBC mód használatára a Tartalomvédelmi szolgáltatás titkosítási módjának (IRM) beállításával aConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Alapértelmezés szerint a CBC mód a Microsoft 365-alkalmazások 16.0.16327-es verziójától kezdve használatos.
A CBC mód Windows-ügyfelekre való kényszerítéséhez például állítsa be a Csoportházirend beállítást az alábbiak szerint:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
A Mac Office-ügyfelek beállításainak konfigurálásához lásd: Csomagszintű beállítások megadása Mac Office.
További információt a titkosítással kapcsolatos technikai referencia részleteinek "AES256-CBC-támogatás a Microsoft 365-höz" című szakaszában talál.
Ismert problémák
-
A 2023. augusztusi SU nem települ, amikor olyan Exchange-kiszolgálókat próbál frissíteni, amelyeken az RMS SDKtelepítve van. Azt javasoljuk, hogy ne telepítse az RMS SDK-t ugyanarra a számítógépre, amelyre a Exchange Server telepítve van.
-
Email kézbesítés és naplózás időszakosan meghiúsul, ha az AES256-CBC mód támogatása 2019 Exchange Server és 2016 Exchange Server 2016-ban is engedélyezve van a Exchange Server 2013-ban. Exchange Server 2013 nem támogatott. Ezért minden kiszolgálót frissítenie kell a 2019-Exchange Server vagy Exchange Server 2016-ra.
Tünetek, ha a CBC-titkosítás nincs megfelelően konfigurálva vagy nem frissül
Ha TransportDecryptionSetting kötelezőre van állítva (ez az alapértelmezett beállítás Set-IRMConfiguration), és az Exchange-kiszolgálók és -ügyfelek nem frissülnek, az AES256-CBC használatával titkosított üzenetek nem kézbesítési jelentéseket (NDR) és a következő hibaüzenetet hozhatnak létre:
A távoli kiszolgáló "550 5.7.157 RmsDecryptAgent" hibát adott vissza; A Microsoft Exchange Transport nem tudja visszafejteni az üzenetet.
Ez a beállítás olyan problémákat is okozhat, amelyek hatással vannak a titkosítás, a naplózás és az elektronikus feltárás átviteli szabályaira, ha a kiszolgálók nincsenek frissítve.