Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Vanaf de beveiligingsupdate van augustus 2023 voor Microsoft Exchange Server is AES256 in de modus Coderingsblokketen (AES256-CBC) de standaardversleutelingsmodus voor alle toepassingen die gebruikmaken van Microsoft Purview Informatiebeveiliging. Zie Wijzigingen in versleutelingsalgoritmen in Microsoft Purview Informatiebeveiliging voor meer informatie.

Als u Exchange Server gebruikt en een hybride Exchange-implementatie hebt of als u Microsoft 365-apps kunt u dit document helpen bij het voorbereiden van de wijziging, zodat er geen onderbrekingen optreden. 

De wijzigingen die zijn geïntroduceerd in de beveiligingsupdate van augustus 2023 (SU) helpen bij het ontsleutelen van met AES256-CBC versleutelde e-mailberichten en bijlagen. Ondersteuning voor het versleutelen van e-mailberichten in de AES256-CBC-modus is toegevoegd in de SU van oktober 2023.

Wijziging van de AES256-CBC-modus implementeren in Exchange Server

Als u de IRM-functies (Information Rights Management) in Exchange Server gebruikt in combinatie met Active Directory Rights Management Services (AD RMS) of Azure RMS (AzRMS), moet u uw Exchange Server 2019 en Exchange Server 2016 servers naar de beveiligingsupdate van augustus 2023 en voltooi de aanvullende stappen die worden beschreven in de volgende secties voor eind augustus 2023. De zoek- en logboekfunctie wordt beïnvloed als u uw Exchange-servers niet tegen eind augustus bijwerkt naar augustus 2023 SU.

Als uw organisatie extra tijd nodig heeft om uw Exchange-servers bij te werken, leest u de rest van het artikel om te begrijpen hoe u het effect van de wijzigingen kunt beperken.

Ondersteuning inschakelen voor de AES256-CBC-modus van versleuteling in Exchange Server 

De SU van augustus 2023 voor Exchange Server ondersteunt de ontsleuteling van e-mailberichten en bijlagen met AES256-CBC-modus. Voer de volgende stappen uit om deze ondersteuning in te schakelen: 

  1. Installeer de SU van augustus 2023 op al uw Exchange 2019- en 2016-servers.

  2. Voer de volgende cmdlets uit op alle Exchange 2019- en 2016-servers.

    Opmerking: Voltooi stap 2 op alle Exchange 2019- en 2016-servers in uw omgeving voordat u verdergaat met stap 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Opmerking: De sleutel -AclObject $acl wordt toegevoegd aan het register tijdens de installatie van de SU van augustus. 

  3. Als u AzRMS gebruikt, moet de AzRMS-connector worden bijgewerkt op alle Exchange-servers. Voer het bijgewerkte GenConnectorConfig.ps1 -script uit om de registersleutels te genereren die zijn geïntroduceerd voor de ondersteuning van de AES256-CBC-modus in de Exchange Server su van augustus 2023 en latere Exchange-versies. Download het meest recente GenConnectorConfig.ps1 script in het Microsoft Downloadcentrum.

    Zie Servers configureren voor de Microsoft Rights Management-connector voor meer informatie over het configureren van Exchange-servers voor het gebruik van de connector.In het artikel worden specifieke configuratiewijzigingen voor Exchange Server 2019 en Exchange Server 2016 besproken. 

    Zie Registerinstellingen voor de Rights Management Connector voor meer informatie over het configureren van servers voor de Rights Management-connector, met inbegrip van hoe u deze uitvoert en hoe u de instellingen implementeert.

  4. Als u de SU van augustus 2023 hebt geïnstalleerd, is er alleen ondersteuning voor het ontsleutelen van met AES-256 CBC versleutelde e-mailberichten en bijlagen in Exchange Server. Voer de volgende instelling overschrijven uit om deze ondersteuning in te schakelen:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    Naast de wijzigingen die zijn aangebracht in de SU van augustus 2023, voegt de SU van oktober 2023 ondersteuning toe voor het versleutelen van e-mailberichten en bijlagen in de AES256-CBC-modus. Als u de SU van oktober 2023 hebt geïnstalleerd, voert u de volgende instellingsoverschrijvingen uit:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Vernieuw het argument VariantConfiguration. Voer hiervoor de volgende cmdlet uit:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Als u de nieuwe instellingen wilt toepassen, start u de World Wide Web Publishing-service en de Windows Process Activation Service (WAS) opnieuw. Voer hiervoor de volgende cmdlet uit:

    Restart-Service -Name W3SVC, WAS -Force

Opmerking: Start deze services opnieuw op alleen de Exchange-server waarop de cmdlet overschrijven van instellingen wordt uitgevoerd.

Als u een hybride implementatie van Exchange hebt (postvakken in zowel on-premises als Exchange Online) 

Organisaties die Exchange Server samen met de Azure Rights Management Service Connector (Azure RMS) gebruiken, worden automatisch afgemeld voor de AES256-CBC-modusupdate in Exchange Online tot ten minste januari 2024. Als u echter de veiligere AES-256 CBC-modus wilt gebruiken om e-mailberichten en bijlagen in Exchange Online te versleutelen en dergelijke e-mailberichten en bijlagen in Exchange Server te ontsleutelen, voert u deze stappen uit om de benodigde wijzigingen aan te brengen in uw Exchange Server-implementatie.  

Nadat u de vereiste stappen hebt voltooid, opent u een ondersteuningsaanvraag en vraagt u de instelling Exchange Online bij te werken om de AES256-CBC-modus in te schakelen.  

Als u Microsoft 365-apps gebruikt met Exchange Server 

Standaard gebruiken al uw M365-toepassingen, zoals Microsoft Outlook, Microsoft Word, Microsoft Excel en Microsoft PowerPoint, vanaf augustus 2023 AES256-CBC-modusversleuteling. 

Belangrijk: Als uw organisatie de beveiligingsupdate van de Exchange-server van augustus 2023 niet kan toepassen op alle Exchange-servers (2019 en 2016), of als u de wijzigingen in de connectorconfiguratie in de Exchange Server-infrastructuur niet kunt bijwerken voor eind augustus 2023, moet u zich afmelden voor de wijziging AES256-CBC in Microsoft 365-toepassingen.  

In de volgende sectie wordt beschreven hoe u AES128-ECB afdwingen voor gebruikers die registerinstellingen gebruiken en groepsbeleid.

U kunt Office en Microsoft 365-apps voor Windows configureren voor het gebruik van de ECB- of CBC-modus met behulp van de instelling Versleutelingsmodus voor Information Rights Management (IRM) onderConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Standaard wordt de CBC-modus gebruikt vanaf versie 16.0.16327 van Microsoft 365-apps. 

Als u bijvoorbeeld de CBC-modus wilt afdwingen voor Windows-clients, stelt u de instelling groepsbeleid als volgt in: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Zie Voorkeuren voor Office voor Mac instellen voor Office voor Mac als u instellingen voor Office voor Mac clients wilt configureren.

Zie de sectie 'AES256-CBC-ondersteuning voor Microsoft 365' van Technische naslaginformatie over versleuteling voor meer informatie.

Bekende problemen 

  • De SU van augustus 2023 wordt niet geïnstalleerd wanneer u Probeert Exchange-servers bij te werken waarop de RMS SDKis geïnstalleerd. U wordt aangeraden de RMS SDK niet te installeren op dezelfde computer waarop Exchange Server is geïnstalleerd. 

  • Email levering en logboeken mislukken af en toe als ondersteuning voor de AES256-CBC-modus is ingeschakeld in Exchange Server 2019 en Exchange Server 2016 in een omgeving die naast Exchange Server 2013 bestaat. Exchange Server 2013 wordt niet meer ondersteund. Daarom moet u al uw servers upgraden naar Exchange Server 2019 of Exchange Server 2016.

Symptomen als CBC-versleuteling niet correct is geconfigureerd of niet wordt bijgewerkt

Als TransportDecryptionSetting is ingesteld op verplicht ("optioneel" is standaard) binnen Set-IRMConfigurationen Exchange-servers en -clients niet worden bijgewerkt, kunnen berichten die zijn versleuteld met behulp van AES256-CBC rapporten voor niet-bezorging genereren en het volgende foutbericht:

Externe server heeft '550 5.7.157 RmsDecryptAgent geretourneerd; Microsoft Exchange Transport kan het bericht niet ontsleutelen door RMS.

Deze instelling kan ook problemen veroorzaken die van invloed zijn op transportregels voor versleuteling, logboekopname en eDiscovery als servers niet worden bijgewerkt. 

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×