Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

A partire dall'aggiornamento della sicurezza di agosto 2023 per Microsoft Exchange Server, AES256 in modalità di concatenamento dei blocchi di crittografia (AES256-CBC) sarà la modalità di crittografia predefinita in tutte le applicazioni che usano Microsoft Purview Information Protection. Per altre informazioni, vedere Modifiche all'algoritmo di crittografia in Microsoft Purview Information Protection.

Se si usa Exchange Server e si ha una distribuzione ibrida di Exchange o si usa Microsoft 365 Apps questo documento aiuta a prepararsi per la modifica in modo da evitare interruzioni. 

Le modifiche introdotte nell'aggiornamento della sicurezza di agosto 2023 consentono di decrittografare allegati e messaggi di posta elettronica con crittografia AES256-CBC. Il supporto per crittografare i messaggi di posta elettronica in modalità AES256-CBC è stato aggiunto nell'versione su di ottobre 2023.

Come implementare la modifica della modalità AES256-CBC in Exchange Server

Se si usano le caratteristiche Information Rights Management (IRM) in Exchange Server insieme ad Active Directory Rights Management Services (AD RMS) o Azure RMS (AzRMS), è necessario aggiornare Exchange Server 2019 e Exchange Server server 2016 per l'aggiornamento della sicurezza di agosto 2023 e completare i passaggi aggiuntivi descritti nelle sezioni seguenti entro la fine di agosto 2023. La funzione di ricerca e inserimento nel journal sarà interessata se non si aggiornano i server Exchange ad agosto 2023 entro la fine di agosto.

Se l'organizzazione ha bisogno di altro tempo per aggiornare i server di Exchange, leggere il resto dell'articolo per informazioni su come attenuare gli effetti delle modifiche.

Abilita il supporto per la modalità di crittografia AES256-CBC in Exchange Server 

Il su agosto 2023 per Exchange Server supporta la decrittografia di allegati e messaggi di posta elettronica crittografati in modalità AES256-CBC. Per abilitare questo supporto, segui questi passaggi: 

  1. Installare l'account utente di agosto 2023 in tutti i server Exchange 2019 e 2016.

  2. Eseguire i cmdlet seguenti in tutti i server Exchange 2019 e 2016.

    Nota: Completare il passaggio 2 in tutti i server Exchange 2019 e 2016 nell'ambiente prima di continuare con il passaggio 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Nota: La chiave di $acl -AclObject viene aggiunta al Registro di sistema durante l'installazione dell'aggiornamento automatico di agosto. 

  3. Se si usa AzRMS, il connettore AzRMS deve essere aggiornato in tutti i server exchange. Eseguire lo script GenConnectorConfig.ps1 aggiornato per generare le chiavi del Registro di sistema introdotte per il supporto della modalità AES256-CBC nella versione su Exchange Server agosto 2023 e versioni successive di Exchange. Scarica lo script GenConnectorConfig.ps1 più recente dall'Area download Microsoft.

    Per altre informazioni su come configurare i server Exchange per l'uso del connettore, vedere Configurazione dei server per il connettore Microsoft Rights Management.L'articolo descrive modifiche specifiche alla configurazione per Exchange Server 2019 e Exchange Server 2016. 

    Per altre informazioni su come configurare i server per il connettore Rights Management, incluso come eseguirlo e distribuire le impostazioni, vedere Impostazioni del Registro di sistema per Rights Management Connector.

  4. Se è installato l'aggiornamento del sistema operativo di agosto 2023, è supportato solo la decrittografia dei messaggi di posta elettronica e degli allegati crittografati con AES-256 CBC in Exchange Server. Per abilitare questo supporto, esegui l'override dell'impostazione seguente:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    Oltre alle modifiche apportate nel su agosto 2023, l'su ottobre 2023 aggiunge il supporto per crittografare i messaggi di posta elettronica e gli allegati in modalità AES256-CBC. Se è installato l'aggiornamento su schermo di ottobre 2023, eseguire le operazioni di override seguenti:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Aggiornare l'argomento VariantConfiguration. A questo scopo, eseguire il cmdlet seguente:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Per applicare le nuove impostazioni, riavviare il servizio Pubblicazione sul Web e il servizio di attivazione del processo di Windows (WAS). A questo scopo, eseguire il cmdlet seguente:

    Restart-Service -Name W3SVC, WAS -Force

Nota: Riavviare questi servizi solo nel server Exchange in cui viene eseguito il cmdlet di override delle impostazioni.

Se si ha una distribuzione ibrida di Exchange (cassette postali sia in locale che in Exchange Online) 

Le organizzazioni che usano Exchange Server insieme ad Azure Rights Management Service Connector (Azure RMS) verranno automaticamente disattivate dall'aggiornamento della modalità AES256-CBC in Exchange Online almeno fino a gennaio 2024. Tuttavia, se si vuole usare la modalità CBC AES-256 più sicura per crittografare i messaggi di posta elettronica e gli allegati in Exchange Online e decrittografare tali messaggi di posta elettronica e allegati in Exchange Server, completare questi passaggi per apportare le modifiche necessarie alla distribuzione Exchange Server.  

Dopo aver completato i passaggi necessari, aprire un caso di supporto e quindi richiedere l'aggiornamento dell'impostazione Exchange Online per abilitare la modalità AES256-CBC.  

Se usi Microsoft 365 Apps con Exchange Server 

Per impostazione predefinita, tutte le applicazioni M365, ad esempio Microsoft Outlook, Microsoft Word, Microsoft Excel e Microsoft PowerPoint, utilizzeranno la crittografia in modalità AES256-CBC a partire da agosto 2023. 

Importante: Se l'organizzazione non può applicare l'aggiornamento della sicurezza di Exchange server di agosto 2023 in tutti i server Exchange (2019 e 2016) o se non è possibile aggiornare le modifiche alla configurazione dei connettori nell'infrastruttura Exchange Server entro la fine di agosto 2023, è necessario rifiutare esplicitamente la modifica AES256-CBC nelle applicazioni Microsoft 365.  

La sezione seguente descrive come forzare AES128-BCE per gli utenti che utilizzano le impostazioni del Registro di sistema e Criteri di gruppo.

È possibile configurare Office e Microsoft 365 Apps per Windows per l'uso della modalità BCE o CBC usando l'impostazione Modalità crittografia per Information Rights Management (IRM) inConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Per impostazione predefinita, la modalità CBC viene usata a partire dalla versione 16.0.16327 di Microsoft 365 Apps. 

Ad esempio, per forzare la modalità CBC per i client Windows, impostare l'impostazione Criteri di gruppo nel modo seguente: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Per configurare le impostazioni per i client Office per Mac, vedere Impostare le preferenze a livello di famiglia di prodotti per Office per Mac.

Per altre informazioni, vedere la sezione "Supporto AES256-CBC per Microsoft 365" di Dettagli tecnici di riferimento sulla crittografia.

Problemi noti 

  • L'aggiornamento dello stack di manutenzione di agosto 2023 non viene installato quando si tenta di aggiornare i server exchange in cui è installato RMS SDK. È consigliabile non installare RMS SDK nello stesso computer in cui è installato Exchange Server. 

  • Email recapito e l'inserimento nel journal non riesce in modo intermittente se il supporto per la modalità AES256-CBC è abilitato in Exchange Server 2019 e Exchange Server 2016 in un ambiente che coesiste con Exchange Server 2013. Exchange Server 2013 non è supportato. Pertanto, è consigliabile aggiornare tutti i server a Exchange Server 2019 o Exchange Server 2016.

Sintomi se la crittografia CBC non è configurata correttamente o non viene aggiornata

Se TransportDecryptionSetting è impostato su obbligatorio ("facoltativo" è l'impostazione predefinita) all'interno di Set-IRMConfiguratione i server e i client di Exchange non vengono aggiornati, i messaggi crittografati con AES256-CBC potrebbero generare rapporti di mancato recapito (NDR) e il seguente messaggio di errore:

Remote Server ha restituito '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport non riesce a decrittografare il messaggio in RMS.

Questa impostazione può anche causare problemi che influiscono sulle regole di trasporto per la crittografia, l'inserimento nel journal e l'eDiscovery se i server non vengono aggiornati. 

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×