Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Fra og med august 2023-sikkerhetsoppdateringen for Microsoft Exchange Server vil AES256 i Cipher Block Chaining-modus (AES256-CBC) være standard krypteringsmodus på tvers av alle programmer som bruker Microsoft Purview informasjonsbeskyttelse. Hvis du vil ha mer informasjon, kan du se endringer i krypteringsalgoritmer i Microsoft Purview informasjonsbeskyttelse.

Hvis du bruker Exchange Server og har hybrid Exchange-distribusjon, eller du bruker Microsoft 365 Apps vil dette dokumentet hjelpe deg med å forberede deg på endringen, slik at det ikke oppstår noen forstyrrelser. 

Endringene som ble innført i sikkerhetsoppdateringen for august 2023 (SU), bidrar til å dekryptere AES256-CBC-krypterte e-postmeldinger og vedlegg. Støtte for å kryptere e-postmeldinger i AES256-CBC-modus ble lagt til i oktober 2023 SU.

Slik implementerer du endring i AES256-CBC-modus i Exchange Server

Hvis du bruker IRM-funksjonene (Information Rights Management) i Exchange Server sammen med Active Directory Rights Management Services (AD RMS) eller Azure RMS (AzRMS), må du oppdatere Exchange Server 2019 og Exchange Server 2016-servere til sikkerhetsoppdateringen for august 2023 og fullfører de ekstra trinnene som er beskrevet i de følgende avsnittene innen utgangen av august 2023. Søke- og loggføringsfunksjonen påvirkes hvis du ikke oppdaterer Exchange-serverne til august 2023 SU innen utgangen av august.

Hvis organisasjonen trenger mer tid til å oppdatere Exchange-serverne, kan du lese gjennom resten av artikkelen for å forstå hvordan du reduserer effekten av endringene.

Aktiver støtte for AES256-CBC-krypteringsmodus i Exchange Server 

August 2023 SU for Exchange Server støtter dekryptering av AES256-CBC-moduskrypterte e-postmeldinger og vedlegg. Følg disse trinnene for å aktivere denne støtten: 

  1. Installer august 2023 SU på alle Exchange 2019- og 2016-serverne.

  2. Kjør følgende cmdleter på alle Exchange 2019- og 2016-servere.

    Obs!: Fullfør trinn 2 på alle Exchange 2019- og 2016-servere i miljøet før du fortsetter til trinn 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Obs!:  Nøkkelen -AclObject $acl legges til i registeret under installasjonen av august SU. 

  3. Hvis du bruker AzRMS, må AzRMS Connector oppdateres på alle Exchange-servere. Kjør det oppdaterte GenConnectorConfig.ps1 -skriptet for å generere registernøklene som introduseres for AES256-CBC-modusstøtte i Exchange Server august 2023 SU og nyere Exchange-versjoner. Last ned det nyeste GenConnectorConfig.ps1 skriptet fra Microsoft Download Center.

    Hvis du vil ha mer informasjon om hvordan du konfigurerer Exchange-servere til å bruke koblingen, kan du se Konfigurere servere for Microsoft Rights Management-koblingen.Artikkelen tar for seg spesifikke konfigurasjonsendringer for Exchange Server 2019 og Exchange Server 2016. 

    Hvis du vil ha mer informasjon om hvordan du konfigurerer servere for Rights Management-koblingen, inkludert hvordan du kjører den og hvordan du distribuerer innstillingene, kan du se Registerinnstillinger for Rights Management Connector.

  4. Hvis du har installert SU for august 2023, er det bare støtte for å dekryptere AES-256 CBC-krypterte e-postmeldinger og vedlegg i Exchange Server. Kjør følgende overstyring av innstilling for å aktivere denne støtten:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    I tillegg til endringene som ble gjort i august 2023 SU, legger SU i oktober 2023 til støtte for å kryptere e-postmeldinger og vedlegg i AES256-CBC-modus. Hvis du har installert SU for oktober 2023, kjører du følgende overstyringer:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Oppdater argumentet VariantConfiguration. Hvis du vil gjøre dette, kjører du følgende cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Hvis du vil bruke de nye innstillingene, starter du webpubliseringstjenesten og Windows Process Activation Service (WAS) på nytt. Hvis du vil gjøre dette, kjører du følgende cmdlet:

    Restart-Service -Name W3SVC, WAS -Force

Obs!: Start disse tjenestene på nytt bare på Exchange-serveren der innstillingene overstyrer cmdleten som kjøres.

Hvis du har Exchange-hybriddistribusjon (postbokser både lokalt og Exchange Online) 

Organisasjoner som bruker Exchange Server sammen med Azure Rights Management Service Connector (Azure RMS), blir automatisk valgt ut av AES256-CBC-modusoppdateringen i Exchange Online til minst januar 2024. Hvis du imidlertid vil bruke den sikrere AES-256 CBC-modusen til å kryptere e-postmeldinger og vedlegg i Exchange Online, og dekryptere slike e-postmeldinger og vedlegg i Exchange Server, fullfører du disse trinnene for å gjøre nødvendige endringer i Exchange Server distribusjon.  

Når du har fullført de nødvendige trinnene, åpner du en støttesak, og deretter ber du om at Exchange Online-innstillingen oppdateres for å aktivere AES256-CBC-modus.  

Hvis du bruker Microsoft 365 Apps med Exchange Server 

Som standard bruker alle M365-programmene, for eksempel Microsoft Outlook, Microsoft Word, Microsoft Excel og Microsoft PowerPoint, AES256-CBC-moduskryptering fra og med august 2023. 

Viktig!: Hvis organisasjonen ikke kan bruke sikkerhetsoppdateringen for Exchange-serveren august 2023 på alle Exchange-serverne (2019 og 2016), eller hvis du ikke kan oppdatere endringene i koblingskonfigurasjonen på tvers av den Exchange Server infrastrukturen innen utgangen av august 2023, må du velge bort AES256-CBC-endringen på Microsoft 365-programmer.  

Følgende avsnitt beskriver hvordan du tvinger AES128-ECB for brukere som bruker registerinnstillinger og gruppepolicy.

Du kan konfigurere Office og Microsoft 365 Apps for Windows til å bruke ECB- eller CBC-modus ved hjelp av innstillingen Krypteringsmodus for Information Rights Management (IRM) underConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. CBC-modus brukes som standard fra og med versjon 16.0.16327 av Microsoft 365 Apps. 

Hvis du for eksempel vil tvinge CBC-modus for Windows-klienter, angir du innstillingen for gruppepolicy som følger: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Hvis du vil konfigurere innstillinger for Office for Mac klienter, kan du se Angi innstillinger for hele serien for Office for Mac.

Hvis du vil ha mer informasjon, kan du se avsnittet «AES256-CBC-støtte for Microsoft 365» i teknisk referansedetaljer om kryptering.

Kjente problemer 

  • August 2023 SU installeres ikke når du prøver å oppdatere Exchange-servere der RMS SDKer installert. Vi anbefaler at du ikke installerer RMS SDK på samme datamaskin som Exchange Server er installert på. 

  • E-postlevering og loggføring mislykkes midlertidig hvis støtte for AES256-CBC-modus er aktivert i Exchange Server 2019 og Exchange Server 2016 i et miljø som eksisterer sammen med Exchange Server 2013. Exchange Server 2013 er ute av støtte. Derfor bør du oppgradere alle serverne til Exchange Server 2019 eller Exchange Server 2016.

Symptomer hvis CBC-kryptering ikke er riktig konfigurert eller ikke er oppdatert

Hvis TransportDecryptionSetting er satt til obligatorisk ("valgfritt" er standard) i Set-IRMConfiguration, og Exchange-servere og -klienter ikke oppdateres, kan meldinger som krypteres ved hjelp av AES256-CBC generere rapporter om manglende levering (NDR) og følgende feilmelding:

Remote Server returnerte '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport kan ikke dekryptere meldingen.

Denne innstillingen kan også føre til problemer som påvirker transportregler for kryptering, loggføring og eDiscovery hvis serverne ikke oppdateres. 

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×