Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

A partir da atualização de segurança de agosto de 2023 para Microsoft Exchange Server, o AES256 no modo de Encadeamento de Blocos de Criptografia (AES256-CBC) será o modo de criptografia padrão em todos os aplicativos que usam Proteção de Informações do Microsoft Purview. Para obter mais informações, consulte Alterações de algoritmo de criptografia no Proteção de Informações do Microsoft Purview.

Se você estiver usando Exchange Server e tiver implantação híbrida do Exchange ou estiver usando Microsoft 365 Apps este documento ajudará você a se preparar para a alteração para que não haja interrupções. 

As alterações introduzidas na SU (atualização de segurança) de agosto de 2023 ajudam a descriptografar mensagens de email e anexos criptografados pelo AES256-CBC. O suporte para criptografar mensagens de email no modo AES256-CBC foi adicionado no SU de outubro de 2023.

Como implementar a alteração do modo AES256-CBC no Exchange Server

Se você estiver usando os recursos do IRM (Information Rights Management) em Exchange Server junto com o AD RMS (Active Directory Rights Management Services) ou o Azure RMS (AzRMS), você deve atualizar suas Exchange Server 2019 e Exchange Server Os servidores de 2016 para a Atualização de Segurança de agosto de 2023 e concluirão as etapas adicionais descritas nas seções a seguir até o final de agosto de 2023. A função de pesquisa e diário será afetada se você não atualizar seus servidores do Exchange para o SU de agosto de 2023 até o final de agosto.

Se sua organização precisar de tempo adicional para atualizar seus servidores do Exchange, leia o restante do artigo para entender como mitigar o efeito das alterações.

Habilitar o suporte para o modo AES256-CBC de criptografia no Exchange Server 

O SU de agosto de 2023 para Exchange Server dá suporte à descriptografia de mensagens de email criptografadas pelo modo AES256-CBC e anexos. Para habilitar esse suporte, siga estas etapas: 

  1. Instale o SU de agosto de 2023 em todos os servidores do Exchange 2019 e 2016.

  2. Execute os cmdlets a seguir em todos os servidores do Exchange 2019 e 2016.

    Observação: Conclua a etapa 2 em todos os servidores do Exchange 2019 e 2016 em seu ambiente antes de continuar a etapa 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Observação: A chave -AclObject $acl é adicionada ao registro durante a instalação do SU de agosto. 

  3. Se você estiver usando o AzRMS, o Conector do AzRMS deverá ser atualizado em todos os servidores do Exchange. Execute o script de GenConnectorConfig.ps1 atualizado para gerar as chaves de registro introduzidas para o suporte ao modo AES256-CBC nas versões Exchange Server su de agosto de 2023 e posteriores do Exchange. Baixe o script de GenConnectorConfig.ps1 mais recente do Centro de Download da Microsoft.

    Para obter mais informações sobre como configurar servidores do Exchange para usar o conector, consulte Configurando servidores para o conector do Microsoft Rights Management.O artigo discute alterações de configuração específicas para Exchange Server 2019 e Exchange Server 2016. 

    Para obter mais informações sobre como configurar servidores para o conector do Rights Management, incluindo como executá-lo e como implantar as configurações, consulte Configurações do Registro para o Conector de Gerenciamento de Direitos.

  4. Se você tiver o SU de agosto de 2023 instalado, haverá suporte apenas para descriptografar mensagens de email e anexos criptografados do AES-256 CBC em Exchange Server. Para habilitar esse suporte, execute a seguinte substituição de configuração:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    Além das alterações feitas no SU de agosto de 2023, o SU de outubro de 2023 adiciona suporte para criptografar mensagens de email e anexos no modo AES256-CBC. Se você tiver o SU de outubro de 2023 instalado, execute as seguintes substituições de configuração:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Atualize o argumento VariantConfiguration. Para fazer isso, execute o seguinte cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Para aplicar as novas configurações, reinicie o serviço World Wide Web Publishing e o WAS (Serviço de Ativação de Processo do Windows). Para fazer isso, execute o seguinte comando:

    Restart-Service -Name W3SVC, WAS -Force

Observação: Reinicie esses serviços apenas no servidor exchange no qual as configurações substituem o cmdlet são executadas.

Se você tiver implantação híbrida do Exchange (caixas de correio local e Exchange Online) 

As organizações que usam Exchange Server junto com o Azure Rights Management Service Connector (Azure RMS) serão automaticamente desativadas da atualização do modo AES256-CBC em Exchange Online até pelo menos janeiro de 2024. No entanto, se você quiser usar o modo CBC AES-256 mais seguro para criptografar mensagens de email e anexos em Exchange Online e descriptografar essas mensagens de email e anexos no Exchange Server, conclua estas etapas para fazer as alterações necessárias na implantação do Exchange Server.  

Depois de concluir as etapas necessárias, abra um caso de suporte e solicite que a configuração Exchange Online seja atualizada para habilitar o modo AES256-CBC.  

Se você estiver usando Microsoft 365 Apps com Exchange Server 

Por padrão, todos os aplicativos M365, como Microsoft Outlook, Microsoft Word, Microsoft Excel e Microsoft PowerPoint, usarão a criptografia do modo AES256-CBC a partir de agosto de 2023. 

Importante: Se sua organização não puder aplicar a atualização de segurança do exchange server agosto de 2023 em todos os servidores do Exchange (2019 e 2016), ou se você não puder atualizar as alterações de configuração do conector em toda a infraestrutura de Exchange Server até o final de agosto de 2023, você deverá optar por não alterar o AES256-CBC nos Aplicativos do Microsoft 365.  

A seção a seguir descreve como forçar o AES128-BCE para os usuários que usam configurações de registro e Política de Grupo.

Você pode configurar o Office e Microsoft 365 Apps para o Windows usarem o modo BCE ou CBC usando o modo de criptografia para Gerenciamento de Direitos de Informação (IRM) emConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Por padrão, o modo CBC é usado a partir da versão 16.0.16327 de Microsoft 365 Apps. 

Por exemplo, para forçar o modo CBC para clientes Windows, defina a configuração Política de Grupo da seguinte maneira: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Para configurar configurações para clientes Office para Mac, consulte Definir preferências em todo o pacote para Office para Mac.

Para obter mais informações, confira a seção "Suporte do AES256-CBC para Microsoft 365" de detalhes de referência técnica sobre criptografia.

Problemas conhecidos 

  • O SU de agosto de 2023 não é instalado quando você tenta atualizar os servidores do Exchange nos quais o SDK do RMSestá instalado. Recomendamos que você não instale o SDK do RMS no mesmo computador no qual Exchange Server está instalado. 

  • Email entrega e diário falharão intermitentemente se o suporte ao modo AES256-CBC estiver habilitado no Exchange Server 2019 e Exchange Server 2016 em um ambiente que coexista com Exchange Server 2013. Exchange Server 2013 está sem suporte. Portanto, você deve atualizar todos os servidores para Exchange Server 2019 ou Exchange Server 2016.

Sintomas se a criptografia CBC não estiver configurada corretamente ou não for atualizada

Se TransportDecryptionSetting estiver definida como obrigatória ("opcional" for padrão) dentro de Set-IRMConfiguration, e os servidores e clientes do Exchange não forem atualizados, as mensagens criptografadas usando o AES256-CBC poderão gerar NDR (Relatórios de Não Entrega) e a seguinte mensagem de erro:

O Servidor Remoto retornou '550 5.7.157 RmsDecryptAgent; O Microsoft Exchange Transport não pode descriptografar a mensagem.

Essa configuração também pode causar problemas que afetam as regras de transporte para criptografia, journaling e eDiscovery se os servidores não forem atualizados. 

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×