Począwszy od aktualizacji zabezpieczeń dla Microsoft Exchange Server w sierpniu 2023 r. AES256 w trybie łańcucha blokowego szyfrowania (AES256-CBC) będzie domyślnym trybem szyfrowania we wszystkich aplikacjach, które używają Microsoft Purview Information Protection. Aby uzyskać więcej informacji, zobacz Zmiany algorytmu szyfrowania w Microsoft Purview Information Protection.
Jeśli korzystasz z Exchange Server i korzystasz z wdrożenia hybrydowego programu Exchange lub używasz Aplikacje Microsoft 365 ten dokument pomoże Ci przygotować się na zmianę, aby nie doszło do żadnych zakłóceń.
Zmiany wprowadzone w aktualizacji zabezpieczeń (SU) z sierpnia 2023 r. pomagają odszyfrować zaszyfrowane wiadomości e-mail i załączniki AES256-CBC. W październiku 2023 r. dodano obsługę szyfrowania wiadomości e-mail w trybie AES256-CBC.
Jak zaimplementować zmianę trybu AES256-CBC w Exchange Server
Jeśli korzystasz z funkcji zarządzania prawami do informacji (IRM) w Exchange Server razem z usługami zarządzania prawami dostępu w usłudze Active Directory (AD RMS) lub Azure RMS (AzRMS), musisz zaktualizować swoje Exchange Server 2019 i Exchange Server Serwery 2016 do aktualizacji zabezpieczeń z sierpnia 2023 r. i wykonaj dodatkowe kroki opisane w poniższych sekcjach do końca sierpnia 2023 r. Funkcja wyszukiwania i rejestrowania w dzienniku będzie miała wpływ, jeśli do końca sierpnia nie zaktualizujesz serwerów programu Exchange do wersji SU z sierpnia 2023 r.
Jeśli Twoja organizacja potrzebuje dodatkowego czasu na zaktualizowanie serwerów programu Exchange, przeczytaj pozostałą część artykułu, aby dowiedzieć się, jak ograniczyć skutki zmian.
Włączanie obsługi trybu szyfrowania AES256-CBC w Exchange Server
SU z sierpnia 2023 r. dla Exchange Server obsługuje odszyfrowywanie zaszyfrowanych w trybie AES256-CBC wiadomości e-mail i załączników. Aby włączyć tę pomoc techniczną, wykonaj następujące czynności:
-
Zainstaluj SU z sierpnia 2023 r. na wszystkich serwerach programów Exchange 2019 i 2016.
-
Uruchom następujące polecenia cmdlet na wszystkich serwerach programów Exchange 2019 i 2016.
Uwaga: Przed przejściem do kroku 3 wykonaj krok 2 na wszystkich serwerach programu Exchange 2019 i 2016 w środowisku.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Uwaga: Klucz $acl -AclObject zostanie dodany do rejestru podczas instalacji sierpniowej aktualizacji SU.
-
Jeśli używasz usługi AzRMS, łącznik AzRMS musi zostać zaktualizowany na wszystkich serwerach programu Exchange. Uruchom zaktualizowany skrypt GenConnectorConfig.ps1 , aby wygenerować klucze rejestru wprowadzone dla obsługi trybu AES256-CBC w wersji SU z sierpnia 2023 r. Exchange Server sierpnia 2023 r. i nowszych wersjach programu Exchange. Pobierz najnowszy skrypt GenConnectorConfig.ps1 z Centrum pobierania Microsoft.
Aby uzyskać więcej informacji na temat konfigurowania serwerów programu Exchange do używania łącznika, zobacz Konfigurowanie serwerów dla łącznika zarządzania prawami dostępu firmy Microsoft.W tym artykule omówiono konkretne zmiany konfiguracji dla Exchange Server 2019 i Exchange Server 2016. Aby uzyskać więcej informacji na temat konfigurowania serwerów łącznika zarządzania prawami dostępu, w tym o sposobie jego uruchamiania i wdrażaniu ustawień, zobacz Ustawienia rejestru łącznika zarządzania prawami dostępu.
-
Jeśli masz zainstalowaną SU z sierpnia 2023 r., możesz odszyfrować tylko zaszyfrowane wiadomości e-mail i załączniki AES-256 CBC w Exchange Server. Aby włączyć tę pomoc techniczną, uruchom następujące ustawienie:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” Oprócz zmian wprowadzonych w aktualizacji SU z sierpnia 2023 r. SU z października 2023 r. dodaje obsługę szyfrowania wiadomości e-mail i załączników w trybie AES256-CBC. Jeśli masz zainstalowaną SU z października 2023 r., uruchom następujące zastępowania ustawień:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC
-
Odśwież argument wariantKonfiguracja. W tym celu uruchom następujące polecenie cmdlet:Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
-
Aby zastosować nowe ustawienia, uruchom ponownie usługę publikowania w sieci World Wide Web i usługę aktywacji procesu systemu Windows (WAS). W tym celu uruchom następujące polecenie cmdlet:Restart-Service -Name W3SVC, WAS -Force
Uwaga: Uruchom ponownie te usługi tylko na serwerze Exchange, na którym jest uruchamiane polecenie cmdlet zastępowania ustawień.
Jeśli korzystasz z wdrożenia hybrydowego programu Exchange (skrzynki pocztowe zarówno w środowisku lokalnym, jak i w Exchange Online)
Organizacje korzystające z Exchange Server razem z dodatkiem Azure Rights Management Service Connector (Azure RMS) zostaną automatycznie zrezygnować z aktualizacji trybu AES256-CBC w Exchange Online co najmniej do stycznia 2024 r. Jeśli jednak chcesz użyć bezpieczniejszego trybu CBC AES-256 do szyfrowania wiadomości e-mail i załączników w Exchange Online oraz odszyfrowywania takich wiadomości e-mail i załączników w Exchange Server, wykonaj te czynności, aby wprowadzić niezbędne zmiany we wdrożeniu Exchange Server.
Po wykonaniu wymaganych czynności otwórz sprawę pomocy technicznej, a następnie poproś o zaktualizowanie ustawienia Exchange Online w celu włączenia trybu AES256-CBC.
Jeśli korzystasz z Aplikacje Microsoft 365 z Exchange Server
Domyślnie wszystkie aplikacje M365, takie jak Microsoft Outlook, Microsoft Word, Microsoft Excel i Microsoft PowerPoint, będą używać szyfrowania w trybie AES256-CBC od sierpnia 2023 r.
Ważne: Jeśli Twoja organizacja nie może zastosować aktualizacji zabezpieczeń serwera Exchange z sierpnia 2023 r. na wszystkich serwerach exchange (2019 i 2016) lub jeśli nie możesz zaktualizować zmian konfiguracji łączników w infrastrukturze Exchange Server do końca sierpnia 2023 r., musisz zrezygnować ze zmiany AES256-CBC w aplikacjach platformy Microsoft 365.
W poniższej sekcji opisano, jak wymusić stosowanie AES128-EBC dla użytkowników korzystających z ustawień rejestru i zasady grupy.
Możesz skonfigurować pakiet Office i Aplikacje Microsoft 365 dla systemu Windows, aby korzystać z trybu EBC lub CBC, używając ustawienia Tryb szyfrowania dla zarządzania prawami do informacji (IRM) w obszarzeConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Domyślnie tryb CBC jest używany w wersji 16.0.16327 Aplikacje Microsoft 365.
Aby na przykład wymusić tryb CBC dla klientów systemu Windows, ustaw ustawienie zasady grupy w następujący sposób:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Aby skonfigurować ustawienia dla klientów Office dla komputerów Mac, zobacz Ustawianie preferencji dla całego pakietu dla Office dla komputerów Mac.
Aby uzyskać więcej informacji, zobacz sekcję "Pomoc techniczna AES256-CBC dla platformy Microsoft 365" w sekcji Informacje techniczne dotyczące szyfrowania.
Znane problemy
-
Aktualizacja SU z sierpnia 2023 r. nie jest instalowana podczas próby aktualizacji serwerów programu Exchange, na których jest zainstalowany SDK RMS. Zalecamy, aby nie instalować RMS SDK na tym samym komputerze, na którym jest zainstalowany Exchange Server.
-
Email dostarczanie i rejestrowanie dziennika sporadycznie kończy się niepowodzeniem, jeśli obsługa trybu AES256-CBC jest włączona w Exchange Server 2019 i Exchange Server 2016 w środowisku, które współistnieje z Exchange Server 2013. Exchange Server 2013 r. nie jest obsługiwane. Dlatego należy uaktualnić wszystkie serwery do wersji Exchange Server 2019 lub Exchange Server 2016.
Objawy, jeśli szyfrowanie CBC nie zostało poprawnie skonfigurowane lub nie zostało zaktualizowane
Jeśli TransportDecryptionSetting jest ustawiona jako obowiązkowa (wartość "opcjonalna" jest domyślna) w Set-IRMConfiguration, a serwery i klienci programu Exchange nie są aktualizowani, wiadomości szyfrowane przy użyciu protokołu AES256-CBC mogą generować raporty o niedostarczeniu (NDR, Non Delivery Reports) i następujący komunikat o błędzie:
Serwer zdalny zwrócił wartość '550 5.7.157 RmsDecryptAgent; Usługa Microsoft Exchange Transport nie może odszyfrowywać wiadomości przez usługę RMS.
To ustawienie może również powodować problemy wpływające na reguły transportu dotyczące szyfrowania, rejestrowania w dzienniku i zbierania elektronicznych materiałów dowodowych, jeśli serwery nie są aktualizowane.
