Microsoft Exchange Server 대한 2023년 8월 보안 업데이트부터 암호화 블록 체인 모드(AES256-CBC)의 AES256은 Microsoft Purview Information Protection 사용하는 모든 애플리케이션에서 기본 암호화 모드가 됩니다. 자세한 내용은 Microsoft Purview Information Protection 암호화 알고리즘 변경을 참조하세요.
Exchange Server 사용하고 하이브리드 Exchange 배포를 사용하거나 Microsoft 365 앱 사용하는 경우 이 문서는 중단이 없도록 변경에 대비하는 데 도움이 됩니다.
2023년 8월 SU(보안 업데이트)에 도입된 변경 내용은 AES256-CBC 암호화 전자 메일 메시지 및 첨부 파일의 암호를 해독하는 데 도움이 됩니다. AES256-CBC 모드에서 전자 메일 메시지를 암호화하는 지원이 2023년 10월 SU에 추가되었습니다.
Exchange Server AES256-CBC 모드 변경을 구현하는 방법
AD RMS(Active Directory Rights Management Services) 또는 AzRMS(Azure RMS)와 함께 Exchange Server IRM(정보 권한 관리) 기능을 사용하는 경우 Exchange Server 2019를 업데이트하고 Exchange Server 2023년 8월 보안 업데이트에 대한 2016 서버 및 2023년 8월 말까지 다음 섹션에 설명된 추가 단계를 완료합니다. Exchange 서버를 8월 말까지 2023년 8월 SU로 업데이트하지 않으면 검색 및 저널링 함수가 영향을 받습니다.
organization Exchange 서버를 업데이트하는 데 추가 시간이 필요한 경우 문서의 나머지 부분을 읽어 변경 내용의 영향을 완화하는 방법을 이해합니다.
Exchange Server AES256-CBC 암호화 모드 지원 사용
2023년 8월 Exchange Server SU는 AES256-CBC 모드 암호화 전자 메일 메시지 및 첨부 파일의 암호 해독을 지원합니다. 이 지원을 사용하려면 다음 단계를 수행합니다.
-
모든 Exchange 2019 및 2016 서버에 2023년 8월 SU를 설치합니다.
-
모든 Exchange 2019 및 2016 서버에서 다음 cmdlet을 실행합니다.
참고: 3단계를 계속하기 전에 환경의 모든 Exchange 2019 및 2016 서버에서 2단계를 완료합니다.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
참고: -AclObject $acl 키는 8월 SU를 설치하는 동안 레지스트리에 추가됩니다.
-
AzRMS를 사용하는 경우 모든 Exchange 서버에서 AzRMS 커넥터를 업데이트해야 합니다. 업데이트된 GenConnectorConfig.ps1 스크립트를 실행하여 Exchange Server 2023년 8월 SU 이상 Exchange 버전에서 AES256-CBC 모드 지원에 도입된 레지스트리 키를 생성합니다. Microsoft 다운로드 센터에서 최신 GenConnectorConfig.ps1 스크립트를 다운로드합니다.
커넥터를 사용하도록 Exchange 서버를 구성하는 방법에 대한 자세한 내용은 Microsoft Rights Management 커넥터에 대한 서버 구성을 참조하세요.이 문서에서는 Exchange Server 2019 및 Exchange Server 2016의 특정 구성 변경에 대해 설명합니다.
Rights Management 커넥터를 실행하는 방법 및 설정을 배포하는 방법을 포함하여 Rights Management 커넥터에 대한 서버를 구성하는 방법에 대한 자세한 내용은 Rights Management Connector에 대한 레지스트리 설정을 참조하세요. -
2023년 8월 SU를 설치한 경우 Exchange Server AES-256 CBC 암호화 전자 메일 메시지 및 첨부 파일의 암호 해독만 지원됩니다. 이 지원을 사용하도록 설정하려면 다음 설정 재정의를 실행합니다.
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
2023년 8월 SU에서 변경된 내용 외에도 2023년 10월 SU는 AES256-CBC 모드에서 전자 메일 메시지 및 첨부 파일을 암호화하는 지원을 추가합니다. 2023년 10월 SU가 설치된 경우 다음 설정 재정의를 실행합니다.
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
VariantConfiguration 인수를 새로 고칩니다. 이렇게 하려면 다음 cmdlet
을 실행합니다.Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
새 설정을 적용하려면 World Wide Web Publishing 서비스와 WAS(Windows Process Activation Service)를 다시 시작합니다. 이렇게 하려면 다음 cmdlet을 실행합니다.
Restart-Service -Name W3SVC, WAS -Force
참고: 설정이 cmdlet을 재정의하는 Exchange 서버에서만 이러한 서비스를 다시 시작합니다.
Exchange 하이브리드 배포(온-프레미스 및 Exchange Online 모두의 사서함)가 있는 경우
Azure RMS(Azure Rights Management Service Connector)와 함께 Exchange Server 사용하는 조직은 2024년 1월까지 Exchange Online AES256-CBC 모드 업데이트에서 자동으로 옵트아웃됩니다. 그러나 보다 안전한 AES-256 CBC 모드를 사용하여 Exchange Online 전자 메일 메시지 및 첨부 파일을 암호화하고 Exchange Server 이러한 전자 메일 메시지 및 첨부 파일의 암호를 해독하려면 다음 단계를 완료하여 Exchange Server 배포에 필요한 변경을 수행합니다.
필요한 단계를 완료한 후 지원 사례를 연 다음 AES256-CBC 모드를 사용하도록 업데이트할 Exchange Online 설정을 요청합니다.
Exchange Server Microsoft 365 앱 사용하는 경우
기본적으로 Microsoft Outlook, Microsoft Word, Microsoft Excel 및 Microsoft PowerPoint와 같은 모든 M365 애플리케이션은 2023년 8월부터 AES256-CBC 모드 암호화를 사용합니다.
중요: organization 모든 Exchange 서버(2019 및 2016)에 Exchange Server 2023년 8월 보안 업데이트를 적용할 수 없거나 2023년 8월 말까지 Exchange Server 인프라에서 커넥터 구성 변경 내용을 업데이트할 수 없는 경우 Microsoft 365 애플리케이션에서 AES256-CBC 변경을 옵트아웃해야 합니다.
다음 섹션에서는 레지스트리 설정 및 그룹 정책 사용하는 사용자에게 AES128-ECB를 강제 적용하는 방법을 설명합니다.
Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.아래의 IRM(정보 권한 관리) 설정에 대한 암호화 모드를 사용하여 ECB 또는 CBC 모드를 사용하도록 Windows용 Office 및 Microsoft 365 앱 구성할 수 있습니다. 기본적으로 CBC 모드는 Microsoft 365 앱 버전 16.0.16327부터 사용됩니다.
예를 들어 Windows 클라이언트에 대해 CBC 모드를 강제 적용하려면 다음과 같이 그룹 정책 설정을 설정합니다.
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Mac용 Office 클라이언트에 대한 설정을 구성하려면 Mac용 Office 대한 제품군 전체 기본 설정 설정을 참조하세요.
자세한 내용은 암호화에 대한 기술 참조 세부 정보의 "Microsoft 365에 대한 AES256-CBC 지원" 섹션을 참조하세요.
알려진 문제
-
RMS SDK가 설치된 Exchange 서버를 업데이트하려고 하면 2023년 8월 SU가 설치되지 않습니다. Exchange Server 설치된 동일한 컴퓨터에 RMS SDK를 설치하지 않는 것이 좋습니다.
-
2019년 Exchange Server AES256-CBC 모드 지원을 사용하도록 설정하고 2013년 Exchange Server 공존하는 환경에서 2016년 Exchange Server 경우 Email 배달 및 저널링이 간헐적으로 실패합니다. Exchange Server 2013은 지원되지 않습니다. 따라서 모든 서버를 Exchange Server 2019 또는 Exchange Server 2016으로 업그레이드해야 합니다.
CBC 암호화가 올바르게 구성되지 않았거나 업데이트되지 않은 경우의 증상
TransportDecryptionSetting Set-IRMConfiguration내에서 필수("선택 사항"이 기본값)로 설정되어 있고 Exchange 서버 및 클라이언트가 업데이트되지 않는 경우 AES256-CBC를 사용하여 암호화된 메시지는 NDR(배달 못 함 보고서)과 다음 오류 메시지를 생성할 수 있습니다.
원격 서버는 '550 5.7.157 RmsDecryptAgent; Microsoft Exchange 전송은 RMS에서 메시지의 암호를 해독할 수 없습니다.
이 설정은 서버가 업데이트되지 않은 경우 암호화, 저널링 및 eDiscovery에 대한 전송 규칙에 영향을 주는 문제를 일으킬 수도 있습니다.
