Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

A partir da atualização de segurança de agosto de 2023 para Microsoft Exchange Server, a AES256 no modo de Encadeamento de Blocos de Cifras (AES256-CBC) será o modo de encriptação predefinido em todas as aplicações que utilizam Proteção de Informações do Microsoft Purview. Para obter mais informações, veja Alterações ao algoritmo de encriptação no Proteção de Informações do Microsoft Purview.

Se estiver a utilizar Exchange Server e tiver uma implementação híbrida do Exchange ou estiver a utilizar Microsoft 365 Apps este documento irá ajudá-lo a preparar-se para a alteração para que não haja interrupções. 

As alterações que foram introduzidas na atualização de segurança (SU) de agosto de 2023 ajudam a desencriptar mensagens de e-mail encriptadas pela CBC e anexos. O suporte para encriptar mensagens de e-mail no modo AES256-CBC foi adicionado à SU de outubro de 2023.

Como implementar a alteração do modo AES256-CBC no Exchange Server

Se estiver a utilizar as funcionalidades de Gestão de Direitos de Informação (IRM) no Exchange Server em conjunto com os Serviços de Gestão de Direitos do Active Directory (AD RMS) ou o Azure RMS (AzRMS), tem de atualizar o seu Exchange Server 2019 e Exchange Server Servidores de 2016 para a Atualização de Segurança de agosto de 2023 e conclua os passos adicionais descritos nas secções seguintes até ao final de agosto de 2023. A função de pesquisa e criação de diários será afetada se não atualizar os servidores exchange para a SU de agosto de 2023 até ao final de agosto.

Se a sua organização precisar de tempo adicional para atualizar os servidores do Exchange, leia o resto do artigo para compreender como mitigar o efeito das alterações.

Ativar o suporte para o modo de encriptação AES256-CBC no Exchange Server 

A SU de agosto de 2023 para Exchange Server suporta a desencriptação de mensagens de e-mail encriptadas no modo AES256-CBC e anexos. Para ativar este suporte, siga estes passos: 

  1. Instale a SU de agosto de 2023 em todos os servidores do Exchange 2019 e 2016.

  2. Execute os seguintes cmdlets em todos os servidores do Exchange 2019 e 2016.

    Nota: Conclua o passo 2 em todos os servidores do Exchange 2019 e 2016 no seu ambiente antes de continuar para o passo 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Nota: A chave de $acl -AclObject é adicionada ao registo durante a instalação da SU de agosto. 

  3. Se estiver a utilizar o AzRMS, o Conector AzRMS tem de ser atualizado em todos os servidores do Exchange. Execute o script de GenConnectorConfig.ps1 atualizado para gerar as chaves de registo que são introduzidas para o suporte do modo AES256-CBC na SU de Exchange Server agosto de 2023 e versões posteriores do Exchange. Transfira o script de GenConnectorConfig.ps1 mais recente a partir do Centro de Transferências da Microsoft.

    Para obter mais informações sobre como configurar servidores exchange para utilizar o conector, consulte Configurar servidores para o conector Microsoft Rights Management.O artigo aborda alterações de configuração específicas para Exchange Server 2019 e Exchange Server 2016. 

    Para obter mais informações sobre como configurar servidores para o conector Rights Management, incluindo como executá-lo e como implementar as definições, consulte Definições de registo para o Conector Rights Management.

  4. Se tiver a SU de agosto de 2023 instalada, existe suporte apenas para desencriptar mensagens de e-mail e anexos encriptados pela CBC AES-256 no Exchange Server. Para ativar este suporte, execute a seguinte substituição de definição:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    Além das alterações efetuadas na SU de agosto de 2023, a SU de outubro de 2023 adiciona suporte para encriptar mensagens de e-mail e anexos no modo AES256-CBC. Se tiver a SU de outubro de 2023 instalada, execute as seguintes substituições de definição:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Atualize o argumento VariantConfiguration. Para tal, execute o seguinte cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Para aplicar as novas definições, reinicie o serviço World Wide Web Publishing e o Serviço de Ativação de Processos do Windows (WAS). Para tal, execute o seguinte cmdlet:

    Restart-Service -Name W3SVC, WAS -Force

Nota: Reinicie estes serviços apenas no servidor Exchange no qual o cmdlet de substituição de definições é executado.

Se tiver a implementação híbrida do Exchange (caixas de correio no local e Exchange Online) 

As organizações que utilizam Exchange Server em conjunto com o Conector do Serviço Azure Rights Management (Azure RMS) serão automaticamente desativadas da atualização do modo AES256-CBC no Exchange Online até, pelo menos, janeiro de 2024. No entanto, se quiser utilizar o modo AES-256 CBC mais seguro para encriptar mensagens de e-mail e anexos no Exchange Online e desencriptar essas mensagens de e-mail e anexos no Exchange Server, conclua estes passos para efetuar as alterações necessárias à implementação do Exchange Server.  

Depois de concluir os passos necessários, abra um pedido de suporte e, em seguida, peça que a definição Exchange Online seja atualizada para ativar o modo AES256-CBC.  

Se estiver a utilizar Microsoft 365 Apps com Exchange Server 

Por predefinição, todas as suas aplicações M365, como o Microsoft Outlook, Microsoft Word, Microsoft Excel e Microsoft PowerPoint, utilizarão a encriptação do modo AES256-CBC a partir de agosto de 2023. 

Importante: Se a sua organização não conseguir aplicar a atualização de segurança de agosto de 2023 do Exchange Server em todos os servidores exchange (2019 e 2016), ou se não conseguir atualizar as alterações de configuração do conector na infraestrutura de Exchange Server até ao final de agosto de 2023, tem de optar ativamente por não participar na alteração AES256-CBC nas Aplicações do Microsoft 365.  

A secção seguinte descreve como forçar a AES128-ECB para os utilizadores que utilizam definições de registo e Política de Grupo.

Pode configurar o Office e o Microsoft 365 Apps para o Windows utilizarem o modo BCE ou CBC através da definição Modo de encriptação para Gestão de Direitos de Informação (IRM) emConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Por predefinição, o modo CBC é utilizado a partir da versão 16.0.16327 do Microsoft 365 Apps. 

Por exemplo, para forçar o modo CBC para clientes Windows, defina a definição de Política de Grupo da seguinte forma: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Para configurar definições para clientes Office para Mac, veja Definir preferências em todo o conjunto de aplicações para Office para Mac.

Para obter mais informações, consulte a secção "Suporte AES256-CBC para o Microsoft 365" de Detalhes de referência técnica sobre encriptação.

Problemas conhecidos 

  • A SU de agosto de 2023 não é instalada quando tenta atualizar os servidores do Exchange nos quais o SDK RMSestá instalado. Recomendamos que não instale o SDK RMS no mesmo computador no qual Exchange Server está instalado. 

  • Email entrega e no diário falham intermitentemente se o suporte do modo AES256-CBC estiver ativado no Exchange Server 2019 e Exchange Server 2016 num ambiente que coexiste com o Exchange Server 2013. Exchange Server 2013 está sem suporte. Por conseguinte, deve atualizar todos os servidores para Exchange Server 2019 ou Exchange Server 2016.

Sintomas se a encriptação CBC não estiver configurada corretamente ou não for atualizada

Se TransportDecryptionSetting estiver definida como obrigatória (a predefinição "opcional" está predefinida) no Set-IRMConfiguratione os servidores e clientes do Exchange não forem atualizados, as mensagens encriptadas com AES256-CBC poderão gerar Relatórios de Entrega Sem Êxito (NDR) e a seguinte mensagem de erro:

O Servidor Remoto devolveu '550 5.7.157 RmsDecryptAgent; O Transporte do Microsoft Exchange não consegue desencriptar a mensagem.

Esta definição também pode causar problemas que afetam as regras de transporte para encriptação, diário e Deteção de Dados Eletrónicos se os servidores não forem atualizados. 

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×