Nuo 2023 m. rugpjūčio mėn. saugos naujinimo, skirto Microsoft Exchange Server", AES256 šifro bloko grandinės režimu (AES256-CBC) bus numatytasis šifravimo režimas visose programose, kurios naudoja "Microsoft Purview" informacijos apsauga. Daugiau informacijos žr. šifravimo algoritmo pakeitimai programoje "Microsoft Purview" informacijos apsauga".
Jei naudojate Exchange Server ir naudojate hibridinį "Exchange" diegimą arba naudojate "Microsoft 365" programos šis dokumentas padės pasirengti keitimui, kad nebūtų trikčių.
Pakeitimai, kurie buvo atlikti 2023 m. rugpjūčio mėn. saugos naujinime (SU), padeda iššifruoti AES256-CBC užšifruotus el. laiškus ir priedus. Palaikymas šifruojant el. laiškus AES256-CBC režimu buvo įtrauktas 2023 m. spalio mėn. SU.
Kaip įdiegti AES256-CBC režimo pasikeitimą Exchange Server
Jei naudojate informacijos teisių valdymo (IRM) funkcijas Exchange Server kartu su "Active Directory" teisių valdymo tarnybomis (AD RMS) arba "Azure RMS" (AzRMS), turite atnaujinti savo Exchange Server 2019" ir Exchange Server 2016 serveriai rugpjūčio mėn saugos naujinimą ir atlikti papildomus veiksmus, aprašytus tolesniuose skyriuose iki 2023 m. rugpjūčio pabaigos. Ieškos ir žurnalo funkcija bus paveikta, jei neatnaujinsite savo "Exchange" serverių į 2023 m. rugpjūčio mėn. SU iki rugpjūčio pabaigos.
Jei jūsų organizacijai reikia papildomo laiko "Exchange" serveriams atnaujinti, perskaitykite likusią straipsnio dalį, kad suprastumėte, kaip sumažinti pakeitimų poveikį.
Įgalinti AES256-CBC šifravimo režimo palaikymą Exchange Server
2023 m. rugpjūčio su Exchange Server palaiko AES256-CBC režimo šifruotų el. laiškų ir priedų iššifravimas. Norėdami įjungti šį palaikymą, atlikite šiuos veiksmus:
-
Įdiekite 2023 m. rugpjūčio mėn. SU visuose "Exchange 2019" ir "Exchange 2016" serveriuose.
-
Vykdykite šias cmdlet visuose "Exchange 2019" ir "Exchange 2016" serveriuose.
Pastaba: Prieš pereidami prie 3 veiksmo, atlikite 2 veiksmą visuose "Exchange 2019" ir "Exchange 2016" serveriuose savo aplinkoje.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Pastaba: -AclObject $acl raktas įtraukiamas į registrą diegiant rugpjūčio SU.
-
Jei naudojate AzRMS, AzRMS jungtis turi būti atnaujinta visuose "Exchange" serveriuose. Paleiskite atnaujintą GenConnectorConfig.ps1 scenarijų, kad sukurtumėte registro raktus, kurie buvo įdiegti AES256-CBC režimui palaikyti Exchange Server 2023 m. rugpjūčio mėn. SU ir vėlesnėse "Exchange" versijose. Atsisiųskite naujausią GenConnectorConfig.ps1 scenarijų iš "Microsoft" atsisiuntimo centro.
Daugiau informacijos apie tai, kaip sukonfigūruoti "Exchange" serverius, kad būtų galima naudoti jungtį, žr. "Microsoft" teisių valdymo jungties serverių konfigūravimas.Straipsnyje aptariami 2019 ir 2016 m. Exchange Server Exchange Server konfigūracijos pakeitimai.
Daugiau informacijos apie teisių valdymo jungties serverių konfigūravimą, įskaitant, kaip ją paleisti ir kaip įdiegti parametrus, žr . Teisių valdymo jungties registro parametrai. -
Jei turite įdiegtą 2023 m. rugpjūčio mėn. SU, palaikomas tik AES-256 CBC užšifruotų el. laiškų ir priedų iššifravimas programoje "Exchange Server". Norėdami įjungti šį palaikymą, vykdykite šį parametro nepaisymą:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Be 2023 m. rugpjūčio mėn. SU atliktų keitimų, 2023 m. spalio mėn. SU suteikia palaikymą el. laiškams ir priedams šifruoti AES256-CBC režimu. Jei turite įdiegtą 2023 m. spalio mėn. SU, nepaisykite šio parametro:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Atnaujinti argumentą VariantConfiguration. Norėdami tai padaryti, vykdykite šią cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Norėdami taikyti naujus parametrus, iš naujo paleiskite žiniatinklio publikavimo tarnybą ir "Windows" aktyvinimo proceso tarnybą (WAS). Norėdami tai padaryti, vykdykite šią cmdlet:
Restart-Service -Name W3SVC, WAS -Force
Pastaba: Iš naujo paleiskite šias tarnybas tik "Exchange" serveryje, kuriame vykdomi parametrų perrašymo cmdlet parametrai.
Jei turite "Exchange" hibridinį diegimą (vietinės ir Exchange Online pašto dėžutės)
Organizacijos, kurios naudoja Exchange Server kartu su "Azure Rights Management Service Connector" ("Azure RMS"), bus automatiškai atimtos iš AES256-CBC režimo naujinimo Exchange Online bent iki 2024 m. sausio mėn. Tačiau, jei norite naudoti saugesnį AES-256 CBC režimą el. laiškams ir priedams šifruoti Exchange Online ir iššifruoti tokius el. laiškus ir priedus Exchange Server", atlikite šiuos veiksmus, kad atliktumėte reikiamus Exchange Server diegimo pakeitimus.
Atlikę reikiamus veiksmus, atidarykite palaikymo atvejį ir paprašykite atnaujinti Exchange Online parametrą, kad įjungtumėte AES256-CBC režimą.
Jei naudojate "Microsoft 365" programos su Exchange Server
Pagal numatytuosius parametrus visos jūsų M365 programos, pvz., "Microsoft Outlook", "Microsoft Word", "Microsoft Excel" ir "Microsoft PowerPoint", naudos AES256-CBC režimo šifravimą nuo 2023 m. rugpjūčio mėn.
Svarbu: Jei jūsų organizacija negali taikyti "Exchange" serverio 2023 m. rugpjūčio mėn. saugos naujinimo visuose "Exchange" serveriuose (2019 ir 2016 m.) arba jei negalite atnaujinti jungties konfigūracijos pakeitimų visoje Exchange Server infrastruktūroje iki 2023 m. rugpjūčio pabaigos, turite atsisakyti AES256-CBC keitimo "Microsoft 365" programose.
Tolesniame skyriuje aprašoma, kaip priversti AES128-ECB registro parametrus ir Grupės strategija naudojančius vartotojus.
Galite konfigūruoti "Office" ir "Microsoft 365" programos, skirtą "Windows", kad jie galėtų naudoti ECB arba CBC režimą, naudodami informacijos teisių valdymo (IRM) šifravimo režimo parametrą dalyjeConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Pagal numatytuosius nustatymus CBC režimas naudojamas pradedant "Microsoft 365" programos 16.0.16327 versija.
Pavyzdžiui, norėdami priverstinai naudoti CBC režimą "Windows" klientams, nustatykite Grupės strategija parametrą taip:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Norėdami konfigūruoti "Office for Mac" klientų parametrus, žr. "Office for Mac" paketo nuostatų nustatymas.
Daugiau informacijos žr. skyriuje "AES256-CBC palaikymas, skirtas "Microsoft 365", skyriuje Techninės nuorodos informacija apie šifravimą.
Žinomos problemos
-
2023 m. rugpjūčio SU neįdiegiama, kai bandote atnaujinti "Exchange" serverius, kuriuose įdiegtas RMS SDK. Rekomenduojame nediegti RMS SDK tame pačiame kompiuteryje, kuriame įdiegta Exchange Server.
-
El. pašto pristatymas ir registravimas žurnale kartais nepavyksta, jei AES256-CBC režimo palaikymas įgalintas 2019 m. Exchange Server. ir 2016 m. Exchange Server aplinkoje, kuri veikia kartu su 2013 Exchange Server. Exchange Server 2013" nepalaikomas. Todėl turėtumėte atnaujinti visus savo serverius į Exchange Server 2019 " arba "Exchange Server 2016".
Simptomai, jei CBC šifravimas sukonfigūruotas netinkamai arba neatnaujintas
Jei TransportDecryptionSettingSet-IRMConfigurationnustatyta kaip privaloma (numatytoji reikšmė yra pasirinktinis), o "Exchange" serveriai ir klientai neatnaujinami, pranešimai, užšifruoti naudojant AES256-CBC, gali generuoti nepristatymo ataskaitas (NDR) ir šį klaidos pranešimą:
Nuotolinis serveris pateikė 550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transportavimo negali RMS iššifruoti pranešimo.
Šis parametras taip pat gali sukelti problemų, kurios turi įtakos transportavimo taisyklėms šifravimui, registravimas žurnale ir el. duomenų aptikimui, jei serveriai neatnaujinami.
