Mulai pembaruan keamanan Agustus 2023 untuk Microsoft Exchange Server, AES256 dalam mode Rantai Blok Sandi (AES256-CBC) akan menjadi mode enkripsi default di seluruh aplikasi yang menggunakan Perlindungan Informasi Microsoft Purview. Untuk informasi selengkapnya, lihat Perubahan algoritma enkripsi dalam Perlindungan Informasi Microsoft Purview.
Jika Anda menggunakan Server Exchange dan memiliki penyebaran Exchange hibrid, atau Anda menggunakan Aplikasi Microsoft 365 dokumen ini akan membantu Anda mempersiapkan perubahan sehingga tidak ada gangguan.
Perubahan yang diperkenalkan dalam pembaruan keamanan (SU) Agustus 2023 membantu mendekripsi pesan email dan lampiran yang dienkripsi AES256-CBC. Dukungan untuk mengenkripsi pesan email dalam mode AES256-CBC ditambahkan dalam SU Oktober 2023.
Cara menerapkan perubahan mode AES256-CBC dalam Server Exchange
Jika anda menggunakan fitur Manajemen Hak Informasi (IRM) di Server Exchange bersama-sama dengan Layanan Manajemen Hak Direktori Aktif (AD RMS) atau Azure RMS (AzRMS), Anda harus memperbarui Server Exchange 2019 dan Server Exchange Server 2016 ke Pembaruan Keamanan Agustus 2023 dan menyelesaikan langkah-langkah tambahan yang dijelaskan di bagian berikut ini pada akhir Agustus 2023. Fungsi pencarian dan penjumlahan akan terpengaruh jika Anda tidak memperbarui server Exchange ke SU Agustus 2023 pada akhir Agustus.
Jika organisasi Anda memerlukan waktu tambahan untuk memperbarui server Exchange Anda, baca artikel lainnya untuk memahami cara mengurangi efek perubahan.
Mengaktifkan dukungan untuk mode enkripsi AES256-CBC dalam Server Exchange
SU Agustus 2023 untuk Server Exchange mendukung dekripsi pesan email dan lampiran terenkripsi mode AES256-CBC. Untuk mengaktifkan dukungan ini, ikuti langkah-langkah ini:
-
Instal SU Agustus 2023 di semua server Exchange 2019 dan 2016 Anda.
-
Jalankan cmdlet berikut ini di semua server Exchange 2019 dan 2016.
Catatan: Selesaikan langkah 2 di semua server Exchange 2019 dan 2016 di lingkungan Anda sebelum Anda melanjutkan ke langkah 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Catatan: Kunci $acl -AclObject ditambahkan ke registri selama penginstalan SU Agustus.
-
Jika Anda menggunakan AzRMS, Konektor AzRMS harus diperbarui di semua server Exchange. Jalankan skrip GenConnectorConfig.ps1 yang diperbarui untuk menghasilkan kunci registri yang diperkenalkan untuk dukungan mode AES256-CBC dalam SU Server Exchange Agustus 2023 dan versi Exchange yang lebih baru. Unduh skrip GenConnectorConfig.ps1 terbaru dari Pusat Unduhan Microsoft.
Untuk informasi selengkapnya tentang cara mengonfigurasi server Exchange agar menggunakan konektor, lihat Mengonfigurasi server untuk konektor Manajemen Hak Microsoft.Artikel ini membahas perubahan konfigurasi tertentu untuk Server Exchange 2019 dan Server Exchange 2016.
Untuk informasi selengkapnya tentang cara mengonfigurasi server untuk konektor Manajemen Hak, termasuk cara menjalankannya dan cara menggunakan pengaturan, lihat Pengaturan registri untuk Konektor Manajemen Hak. -
Jika Anda menginstal SU Agustus 2023, hanya ada dukungan untuk mendekripsi pesan email dan lampiran yang dienkripsi AES-256 CBC dalam Server Exchange. Untuk mengaktifkan dukungan ini, jalankan penimpaan pengaturan berikut:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Selain perubahan yang dibuat dalam SU Agustus 2023, SU Oktober 2023 menambahkan dukungan untuk mengenkripsi pesan email dan lampiran dalam mode AES256-CBC. Jika Anda memiliki instalasi SU Oktober 2023, jalankan penempatan pengaturan berikut:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Refresh argumen VariantConfiguration. Untuk melakukan ini, jalankan cmdlet berikut:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Untuk menerapkan pengaturan baru, mulai ulang layanan Penerbitan World Wide Web dan Layanan Aktivasi Proses Windows (WAS). Untuk melakukan ini, jalankan cmdlet berikut:
Restart-Service -Name W3SVC, WAS -Force
Catatan: Mulai ulang layanan ini hanya di server Exchange tempat cmdlet penggantian pengaturan dijalankan.
Jika Anda memiliki penyebaran hibrid Exchange (kotak surat baik di tempat maupun Exchange Online)
Organisasi yang menggunakan Server Exchange bersama dengan Azure Rights Management Service Connector (Azure RMS) akan secara otomatis menolak pembaruan mode AES256-CBC di Exchange Online hingga setidaknya Januari 2024. Namun, jika Anda ingin menggunakan mode CBC AES-256 yang lebih aman untuk mengenkripsi pesan email dan lampiran dalam Exchange Online, dan mendekripsi pesan email dan lampiran tersebut dalam Server Exchange, selesaikan langkah-langkah ini untuk membuat perubahan yang diperlukan pada penyebaran Server Exchange Anda.
Setelah menyelesaikan langkah-langkah yang diperlukan, buka kasus dukungan, lalu minta pengaturan Exchange Online untuk diperbarui guna mengaktifkan mode AES256-CBC.
Jika Anda menggunakan Aplikasi Microsoft 365 dengan Server Exchange
Secara default, semua aplikasi M365 Anda, seperti Microsoft Outlook, Microsoft Word, Microsoft Excel, dan Microsoft PowerPoint, akan menggunakan enkripsi mode AES256-CBC mulai Agustus 2023.
Penting: Jika organisasi Anda tidak bisa menerapkan pembaruan keamanan server Exchange Agustus 2023 di semua server Exchange (2019 dan 2016), atau jika Anda tidak bisa memperbarui perubahan konfigurasi konektor di seluruh infrastruktur Server Exchange pada akhir Agustus 2023, Anda harus menolak perubahan AES256-CBC pada Aplikasi Microsoft 365.
Bagian berikut ini menjelaskan cara memaksa AES128-ECB bagi pengguna yang menggunakan pengaturan registri dan Kebijakan Grup.
Anda dapat mengonfigurasi Office dan Aplikasi Microsoft 365 untuk Windows agar menggunakan mode ECB atau CBC menggunakan mode Enkripsi untuk pengaturan Manajemen Hak Informasi (IRM, Information Rights Management) di bawahConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Secara default, mode CBC digunakan dimulai dalam Aplikasi Microsoft 365 versi 16.0.16327.
Misalnya, untuk memaksa mode CBC bagi klien Windows, atur pengaturan Kebijakan Grup sebagai berikut:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Untuk mengonfigurasi pengaturan untuk klien Office untuk Mac, lihat Mengatur preferensi berskala rangkaian untuk Office untuk Mac.
Untuk informasi selengkapnya, lihat bagian "Dukungan AES256-CBC untuk Microsoft 365" di detail Referensi teknis tentang enkripsi.
Masalah umum
-
SU Agustus 2023 tidak diinstal saat Anda mencoba memperbarui server Exchange tempat SDK RMSdiinstal. Kami menyarankan agar Anda tidak menginstal RMS SDK di komputer yang sama di mana Server Exchange diinstal.
-
Email pengiriman dan penjuruan gagal sesekali jika dukungan mode AES256-CBC diaktifkan di Server Exchange 2019 dan Server Exchange 2016 dalam lingkungan yang berdampingan dengan Server Exchange 2013. Server Exchange 2013 tidak didukung. Oleh karena itu, Anda harus memutakhirkan semua server Anda ke Server Exchange 2019 atau Server Exchange 2016.
Gejala jika enkripsi CBC tidak dikonfigurasi dengan benar atau tidak diperbarui
Jika TransportDecryptionSetting diatur ke wajib ("opsional" adalah default) dalam Set-IRMConfiguration, dan server dan klien Exchange tidak diperbarui, pesan yang dienkripsi menggunakan AES256-CBC mungkin menghasilkan Laporan Tidak Terkirim (NDR, Non Delivery Reports) dan pesan kesalahan berikut:
Remote Server mengembalikan '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport tidak dapat mendekripsi pesan.
Pengaturan ini mungkin juga menyebabkan masalah yang memengaruhi aturan transportasi untuk enkripsi, penjurionan, dan eDiscovery jika server tidak diperbarui.
