Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Începând cu actualizarea de securitate din august 2023 pentru Microsoft Exchange Server, AES256 în modul înlănțuire în bloc de cifru (AES256-CBC) va fi modul de criptare implicit în toate aplicațiile care utilizează Protecția informațiilor Microsoft Purview. Pentru mai multe informații, consultați Modificările algoritmului de criptare din Protecția informațiilor Microsoft Purview.

Dacă utilizați Exchange Server și aveți implementarea Exchange hibridă sau utilizați Aplicații Microsoft 365 acest document vă va ajuta să vă pregătiți pentru modificare, astfel încât să nu existe întreruperi. 

Modificările introduse în actualizarea de securitate (SU) din august 2023 ajută la decriptarea mesajelor de e-mail și atașărilor criptate AES256-CBC. Suportul pentru criptarea mesajelor de e-mail în modul AES256-CBC a fost adăugat în su octombrie 2023.

Cum se implementează modificarea modului AES256-CBC în Exchange Server

Dacă utilizați caracteristicile Information Rights Management (IRM) în Exchange Server împreună cu Active Directory Rights Management Services (AD RMS) sau Azure RMS (AzRMS), trebuie să actualizați Exchange Server 2019 și Exchange Server Serverele din 2016 până la actualizarea de securitate din august 2023 și parcurgeți pașii suplimentari descriși în secțiunile următoare până la sfârșitul lunii august 2023. Funcția de căutare și jurnalizare va fi afectată dacă nu actualizați serverele Exchange la su august 2023 până la sfârșitul lunii august.

Dacă organizația dvs. are nevoie de timp suplimentar pentru a actualiza serverele Exchange, citiți restul articolului pentru a înțelege cum să atenuați efectul modificărilor.

Activarea suportului pentru modul de criptare AES256-CBC în Exchange Server 

Su din august 2023 pentru Exchange Server acceptă decriptarea mesajelor de e-mail și atașărilor criptate cu modul AES256-CBC. Pentru a activa această asistență, urmați acești pași: 

  1. Instalați su august 2023 pe toate serverele Exchange 2019 și 2016.

  2. Rulați următoarele cmdleturi pe toate serverele Exchange 2019 și 2016.

    Notă: Finalizați pasul 2 pe toate serverele Exchange 2019 și 2016 din mediul dvs. înainte de a continua cu pasul 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Notă: Cheia $acl -AclObject este adăugată la registry în timpul instalării SU din august. 

  3. Dacă utilizați AzRMS, conectorul AzRMS trebuie actualizat pe toate serverele Exchange. Rulați scriptul de GenConnectorConfig.ps1 actualizat pentru a genera cheile de registry introduse pentru suportul pentru modul AES256-CBC în Exchange Server august 2023 SU și versiunile Exchange mai recente. Descărcați cel mai recent script de GenConnectorConfig.ps1 de la Centrul de descărcare Microsoft.

    Pentru mai multe informații despre configurarea serverelor Exchange pentru a utiliza conectorul, consultați Configurarea serverelor pentru conectorul Microsoft Rights Management.Articolul prezintă modificările specifice ale configurației pentru Exchange Server 2019 și Exchange Server 2016. 

    Pentru mai multe informații despre cum să configurați serverele pentru conectorul Rights Management, inclusiv cum să-l rulați și cum să implementați setările, consultați Setările de registry pentru Conectorul Rights Management.

  4. Dacă aveți su-ul din august 2023 instalat, există suport doar pentru a decripta mesajele de e-mail și atașările criptate AES-256 CBC în Exchange Server. Pentru a activa acest suport, rulați următoarea înlocuire a setării:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    În plus față de modificările efectuate în su august 2023, SU octombrie 2023 adaugă suport pentru a cripta mesajele de e-mail și atașările în modul AES256-CBC. Dacă aveți su-ul din octombrie 2023 instalat, rulați următoarele înlocuiri ale setărilor:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Reîmprospătați argumentul VariantConfiguration. Pentru a face acest lucru, rulați următorul cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Pentru a aplica setările noi, reporniți serviciul De publicare World Wide Web și Serviciul de activare a proceselor Windows (WAS). Pentru a face acest lucru, rulați următorul cmdlet:

    Restart-Service -Name W3SVC, WAS -Force

Notă: Reporniți aceste servicii doar pe serverul Exchange pe care rulează cmdletul de înlocuire a setărilor.

Dacă aveți implementare hibridă Exchange (cutii poștale atât locale, cât și Exchange Online) 

Organizațiile care utilizează Exchange Server împreună cu Azure Rights Management Service Connector (Azure RMS) vor renunța automat la actualizarea modului AES256-CBC în Exchange Online cel puțin până în ianuarie 2024. Totuși, dacă doriți să utilizați modul AES-256 CBC mai sigur pentru a cripta mesajele de e-mail și atașările din Exchange Online și să decriptați astfel de mesaje de e-mail și atașări în Exchange Server, parcurgeți acești pași pentru a efectua modificările necesare la implementarea Exchange Server.  

După ce terminați pașii necesari, deschideți un caz de asistență, apoi solicitați ca setarea de Exchange Online să fie actualizată pentru a activa modul AES256-CBC.  

Dacă utilizați Aplicații Microsoft 365 cu Exchange Server 

În mod implicit, toate aplicațiile M365, cum ar fi Microsoft Outlook, Microsoft Word, Microsoft Excel și Microsoft PowerPoint, vor utiliza criptarea modului AES256-CBC începând din august 2023. 

Important: Dacă organizația dvs. nu poate aplica actualizarea de securitate Exchange Server din august 2023 pe toate serverele Exchange (2019 și 2016) sau dacă nu puteți actualiza modificările configurației conectorului în infrastructura Exchange Server până la sfârșitul lunii august 2023, trebuie să renunțați la modificarea AES256-CBC în Aplicații Microsoft 365.  

Următoarea secțiune descrie cum se impune AES128-BCE pentru utilizatorii care utilizează setările de registry și Politică de grup.

Puteți configura Office și Aplicații Microsoft 365 pentru Windows să utilizeze modul BCE sau CBC utilizând setarea Criptare pentru Information Rights Management (IRM) de subConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. În mod implicit, modul CBC este utilizat începând cu versiunea 16.0.16327 de Aplicații Microsoft 365. 

De exemplu, pentru a impune modul CBC pentru clienții Windows, setați setarea Politică de grup după cum urmează: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Pentru a configura setările pentru clienții Office pentru Mac, consultați Setarea preferințelor la nivel de suită pentru Office pentru Mac.

Pentru mai multe informații, consultați secțiunea "Asistență AES256-CBC pentru Microsoft 365" din Detalii de referință tehnice despre criptare.

Probleme cunoscute 

  • SU din august 2023 nu se instalează atunci când încercați să actualizați serverele Exchange pe care este instalat RMS SDK. Vă recomandăm să nu instalați RMS SDK pe același computer pe care este instalat Exchange Server. 

  • Livrarea și jurnalizarea mesajelor de e-mail nu reușește intermitent dacă suportul pentru modul AES256-CBC este activat în Exchange Server 2019 și Exchange Server 2016 într-un mediu care coexistă cu Exchange Server 2013. Exchange Server 2013 nu mai oferă asistență. Prin urmare, ar trebui să faceți upgrade tuturor serverelor la Exchange Server 2019 sau Exchange Server 2016.

Simptome dacă criptarea CBC nu este configurată corect sau nu este actualizată

Dacă TransportDecryptionSetting este setată la obligatorie ("opțional" este implicit) în Set-IRMConfiguration, iar serverele și clienții Exchange nu sunt actualizate, mesajele criptate utilizând AES256-CBC pot genera rapoarte de nelivrare (NDR) și următorul mesaj de eroare:

Serverul la distanță a returnat "550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport nu poate decripta RMS mesajul.

Această setare poate provoca, de asemenea, probleme care afectează regulile de transport pentru criptare, jurnalizare și descoperirea informațiilor electronice dacă serverele nu sunt actualizate. 

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×