Sākot ar 2023. gada augusta drošības atjauninājumu sistēmai Microsoft Exchange Server, AES256 cipher Block Chaining mode (AES256-CBC) ir noklusējuma šifrēšanas režīms visās lietojumprogrammās, kas izmanto Microsoft Purview informācijas aizsardzība. Papildinformāciju skatiet rakstā Šifrēšanas algoritmu izmaiņas programmā Microsoft Purview informācijas aizsardzība.
Ja izmantojat Exchange Server hibrīdo Exchange izvietošanu vai izmantojat Microsoft 365 programmas šis dokuments palīdzēs sagatavoties izmaiņām, lai izvairītos no pārtraukumiem.
Izmaiņas, kas tika ieviestas 2023. gada augusta drošības atjauninājumā (SU), palīdz atšifrēt AES256-CBC šifrētus e-pasta ziņojumus un pielikumus. Atbalsts e-pasta ziņojumu šifrēšanai AES256-CBC režīmā tika pievienots 2023. gada oktobra SU.
Kā ieviest AES256-CBC režīmu, izmaiņas Exchange Server
Ja izmantojat informācijas piekļuves tiesību pārvaldības (IRM) līdzekļus programmā Exchange Server kopā ar Active Directory tiesību pārvaldības pakalpojumiem (AD RMS) vai Azure RMS (AzRMS), jāatjaunina Exchange Server 2019 un Exchange Server 2016. gada augusta serveriem līdz 2023. gada augusta drošības atjauninājumam un veiciet papildu darbības, kas aprakstītas nākamajās sadaļās līdz 2023. gada augusta beigām. Ja exchange serverus neatjauninat līdz 2023. gada augusta beigām, tiks ietekmēta meklēšanas un journalēšanas funkcija.
Ja jūsu organizācijai nepieciešams papildu laiks, lai atjauninātu Jūsu Exchange serverus, izlasiet pārējo rakstu, lai saprastu, kā mazināt izmaiņu ietekmi.
Iespējot atbalstu AES256-CBC šifrēšanas režīmam Exchange Server
2023. gada augusta SU Exchange Server atbalsta AES256-CBC režīma šifrētu e-pasta ziņojumu un pielikumu atšifrēšanu. Lai iespējotu šo atbalstu, veiciet tālāk norādītās darbības.
-
Instalējiet 2023. gada augusta SU visos jūsu Exchange 2019 un 2016 serveros.
-
Izpildiet tālāk norādītās cmdlet visos Exchange 2019 un 2016 serveros.
Piezīme.: Pirms turpināt 3. darbību, izpildiet 2. darbību visos Exchange 2019 un 2016 serveros savā vidē.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Piezīme.: Atslēga -AclObject $acl pievienota reģistram augusta SU instalēšanas laikā.
-
Ja izmantojat AzRMS, AzRMS savienotājs ir jāatjaunina visos Exchange serveros. Palaidiet atjaunināto GenConnectorConfig.ps1 skriptu, lai ģenerētu reģistra atslēgas, kas tiek ieviestas AES256-CBC režīma atbalstam 2023. gada Exchange Server. augusta SU un jaunākās Exchange versijās. Lejupielādējiet jaunāko GenConnectorConfig.ps1 skriptu no Microsoft lejupielādes centra.
Papildinformāciju par Exchange serveru konfigurēšanu savienotāja izmantošanai skatiet rakstā Microsoft tiesību pārvaldības savienotāja serveru konfigurēšana.Rakstā aprakstītas specifiskas 2019. Exchange Server un 2016. Exchange Server konfigurācijas izmaiņas.
Papildinformāciju par to, kā konfigurēt serverus tiesību pārvaldības savienotājam, tostarp par to, kā to palaist un kā izvietot iestatījumus, skatiet rakstā Tiesību pārvaldības savienotāja reģistra iestatījumi. -
Ja esat instalējis 2023. gada augusta SU, ir pieejams atbalsts tikai ar AES-256 CBC šifrētu e-pasta ziņojumu un pielikumu atšifrēšanu programmā Exchange Server. Lai iespējotu šo atbalstu, palaidiet šo iestatījumu ignorēšanu:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Papildus izmaiņām, kas veiktas 2023. gada augusta SU, 2023. gada oktobra SU atbalsts e-pasta ziņojumu un pielikumu šifrēšanai AES256-CBC režīmā. Ja esat instalējis 2023. gada oktobra SU, palaidiet tālāk norādīto iestatījumu ignorēšanu.
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” #x1 -
Atsvaidziniet argumentu VariantConfiguration. Lai to izdarītu, izpildiet šādu cmdlet komandu:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Lai lietotu jaunos iestatījumus, restartējiet interneta publicēšanas pakalpojumu un Windows procesu aktivizācijas pakalpojumu (WAS). Lai to izdarītu, izpildiet šādu cmdlet komandu:
Restart-Service -Name W3SVC, WAS -Force
Piezīme.: Restartējiet šos pakalpojumus tikai Exchange serverī, kurā tiek palaista iestatījumu ignorēšanas cmdlet.
Ja izmantojat Exchange hibrīdo izvietošanu (pastkastes gan lokālajā, gan Exchange Online)
Organizācijas, kas izmanto Exchange Server kopā ar Azure Rights Management pakalpojumu savienotāju (Azure RMS), tiks automātiski atteiktas no AES256-CBC režīma atjaunināšanas programmā Exchange Online līdz vismaz 2024. gada janvārim. Tomēr, ja vēlaties izmantot drošāku AES-256 CBC režīmu, lai šifrētu e-pasta ziņojumus un pielikumus programmā Exchange Online un atšifrētu šādus e-pasta ziņojumus un pielikumus programmā Exchange Server, veiciet šīs darbības, lai veiktu nepieciešamās izmaiņas Exchange Server izvietošanā.
Pēc nepieciešamo darbību veikšanas atveriet atbalsta gadījumu un pieprasiet atjaunināt šo Exchange Online, lai iespējotu AES256-CBC režīmu.
Ja izmantojat Microsoft 365 programmas ar Exchange Server
Pēc noklusējuma visas jūsu M365 lietojumprogrammas, piemēram, Microsoft Outlook, Microsoft Word, Microsoft Excel un Microsoft PowerPoint, izmantoSES256-CBC režīma šifrēšanu no 2023. gada augusta.
Svarīgi!: Ja jūsu organizācija nevar lietot Exchange server 2023. gada augusta drošības atjauninājumu visos Exchange serveros (2019. gada un 2016. gada versijā), vai arī, ja līdz 2023. gada augusta beigām nevarat atjaunināt savienotāja konfigurācijas izmaiņas visā Exchange Server infrastruktūrā, jums ir jāatsakās no AES256-CBC izmaiņām Microsoft 365 lietojumprogrammās.
Nākamajā sadaļā ir aprakstīts, kā likt AES128-AVARĒT lietotājiem, kuri izmanto reģistra iestatījumus un grupas politika.
Sistēmu Office un sistēmas Microsoft 365 programmas ar Windows var konfigurēt TĀ, lai izmantotu ARC vai CBC režīmu, izmantojot informācijas piekļuves tiesību pārvaldības (IRM) iestatījuma šifrēšanas režīmuConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Pēc noklusējuma CBC režīms tiek izmantots, sākot no Microsoft 365 programmas 16.0.16327.
Piemēram, lai piespiestu CBC režīmu Windows klientiem, iestatiet grupas politika šādi:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Informāciju par to, kā Office darbam ar Mac klientu iestatījumus, skatiet rakstā Komplekta mēroga preferenču iestatīšana Office darbam ar Mac.
Lai iegūtu papildinformāciju, skatiet sadaļu "AES256-CBC atbalsts Microsoft 365", kas pieejama sadaļā Tehniskās uzziņas informācija par šifrēšanu.
Zināmās problēmas
-
2023. gada augusta SU netiek instalēts, kad mēģināt atjaunināt Exchange serverus, kuros ir instalēts RMS SDK. Ieteicams neinstalēt RMS SDK tajā pašā datorā, kurā Exchange Server instalēts.
-
E-pasta piegāde un žurgrācija neizdodas periodiski, ja programmā Exchange Server 2019 un Exchange Server 2016 ir iespējots AES256-CBC režīma atbalsts vidē, kas koeksistē ar Exchange Server 2013. Exchange Server 2013 atbalsts nav pieejams. Tāpēc visi serveri ir jājaunina uz versiju Exchange Server 2019 vai 2016 Exchange Server versiju.
Pazīmes, ja CBC šifrēšana nav pareizi konfigurēta vai nav atjaunināta
Ja TransportDecryptionSetting iestatīta kā obligāta ("neobligāts" ir noklusējums) programmā Set-IRMConfigurationun Exchange serveri un klienti netiek atjaunināti, ziņojumi, kas tiek šifrēti, izmantojot AES256-CBC, var ģenerēt atskaites par nav piegādātu ziņojumu (Non-Delivery Reports — NDR) un šādu kļūdas ziņojumu:
Attālais serveris atgrieza vērtību '550 5.7.157 RmsDecryptAgent; Microsoft Exchange transport nevar RMS atšifrēt ziņojumu.
Šis iestatījums var izraisīt arī problēmas, kas ietekmē šifrēšanas, journalēšanas un e-datu atklāšanas transporta kārtulas, ja serveri nav atjaunināti.
