Начиная с обновления для системы безопасности за август 2023 г. для Microsoft Exchange Server, AES256 в режиме цепочки блоков шифра (AES256-CBC) будет использоваться по умолчанию для всех приложений, использующих Защита информации Microsoft Purview. Дополнительные сведения см. в статье Изменения алгоритма шифрования в Защита информации Microsoft Purview.
Если вы используете Exchange Server и используете гибридное развертывание Exchange или используете Приложения Microsoft 365 этот документ поможет подготовиться к изменению, чтобы не было сбоев.
Изменения, внесенные в обновление системы безопасности (SU) за август 2023 г., помогают расшифровать сообщения электронной почты и вложения, зашифрованные в AES256-CBC. В октябре 2023 г. добавлена поддержка шифрования сообщений электронной почты в режиме AES256-CBC.
Реализация изменения режима AES256-CBC в Exchange Server
Если вы используете функции управления правами на доступ к данным (IRM) в Exchange Server вместе со службами Active Directory Rights Management (AD RMS) или Azure RMS (AzRMS), необходимо обновить Exchange Server 2019 и Exchange Server 2016 серверы до обновления системы безопасности за август 2023 г. и выполните дополнительные действия, описанные в следующих разделах, к концу августа 2023 г. Функция поиска и логирования будет затронута, если не обновить серверы Exchange до августа 2023 г. до конца августа 2023 г.
Если вашей организации требуется дополнительное время для обновления серверов Exchange, прочитайте оставшуюся часть статьи, чтобы понять, как устранить последствия изменений.
Включите поддержку режима шифрования AES256-CBC в Exchange Server
SU за август 2023 г. для Exchange Server поддерживает расшифровку зашифрованных сообщений электронной почты и вложений в AES256-CBC. Чтобы включить эту поддержку, выполните следующие действия.
-
Установите su за август 2023 г. на всех серверах Exchange 2019 и 2016.
-
Выполните следующие командлеты на всех серверах Exchange 2019 и 2016.
Примечание: Выполните шаг 2 на всех серверах Exchange 2019 и 2016 в вашей среде, прежде чем перейти к шагу 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Примечание: Раздел -AclObject $acl добавляется в реестр во время установки августовского su.
-
Если вы используете AzRMS, соединитель AzRMS необходимо обновить на всех серверах Exchange. Запустите обновленный скрипт GenConnectorConfig.ps1 , чтобы создать разделы реестра, которые появились для поддержки режима AES256-CBC в Exchange Server августа 2023 г. su и более поздних версий Exchange. Скачайте последнюю версию скрипта GenConnectorConfig.ps1 из Центра загрузки Майкрософт.
Дополнительные сведения о настройке серверов Exchange для использования соединителя см. в разделе Настройка серверов для соединителя Microsoft Rights Management.В этой статье рассматриваются изменения конфигурации для Exchange Server 2019 г. и Exchange Server 2016 г.
Дополнительные сведения о настройке серверов для соединителя Rights Management, включая запуск и развертывание параметров, см. в разделе Параметры реестра для соединителя Rights Management. -
Если у вас установлен su за август 2023 г., поддерживается только расшифровка сообщений электронной почты и вложений, зашифрованных CBC AES-256, в Exchange Server. Чтобы включить эту поддержку, выполните следующее переопределение параметра:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
В дополнение к изменениям, которые были внесены в su за август 2023 г., su за октябрь 2023 г. добавляет поддержку шифрования сообщений электронной почты и вложений в режиме AES256-CBC. Если у вас установлен su за октябрь 2023 г., выполните следующие переопределения параметров:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Обновите аргумент VariantConfiguration. Для этого выполните следующий командлет:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Чтобы применить новые параметры, перезапустите службу публикации в Интернете и службу активации процессов Windows (WAS). Для этого выполните следующий командлет:
Restart-Service -Name W3SVC, WAS -Force
Примечание: Перезапустите эти службы только на сервере Exchange Server, на котором выполняется командлет переопределения параметров.
Если у вас есть гибридное развертывание Exchange (почтовые ящики как в локальной среде, так и в Exchange Online)
Организации, использующие Exchange Server вместе с соединителем службы Azure Rights Management (Azure RMS), будут автоматически отказаться от обновления режима AES256-CBC в Exchange Online по крайней мере до января 2024 г. Однако если вы хотите использовать более безопасный режим AES-256 CBC для шифрования сообщений электронной почты и вложений в Exchange Online и расшифровки таких сообщений электронной почты и вложений в Exchange Server, выполните следующие действия, чтобы внести необходимые изменения в развертывание Exchange Server.
После выполнения необходимых действий откройте обращение в службу поддержки, а затем запросите обновление параметра Exchange Online, чтобы включить режим AES256-CBC.
Если вы используете Приложения Microsoft 365 с Exchange Server
По умолчанию все приложения M365, такие как Microsoft Outlook, Microsoft Word, Microsoft Excel и Microsoft PowerPoint, будут использовать шифрование в режиме AES256-CBC, начиная с августа 2023 г.
Важно: Если вашей организации не удается применить обновление системы безопасности Exchange Server за август 2023 г. на всех серверах Exchange Server (2019 и 2016) или вы не сможете обновить изменения конфигурации соединителя в инфраструктуре Exchange Server к концу августа 2023 г., необходимо отказаться от изменений AES256-CBC в приложениях Microsoft 365.
В следующем разделе описывается принудительное применение AES128-ECB для пользователей, использующих параметры реестра и групповая политика.
Вы можете настроить Office и Приложения Microsoft 365 для Windows режим ECB или CBC с помощью параметра Режим шифрования для управления правами на доступ к данным (IRM) в разделеConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. По умолчанию режим CBC используется начиная с версии 16.0.16327 Приложения Microsoft 365.
Например, чтобы принудительно использовать режим CBC для клиентов Windows, задайте параметр групповая политика следующим образом:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Сведения о настройке параметров для клиентов Office для Mac см. в статье Настройка параметров для Office для Mac.
Дополнительные сведения см. в разделе "Поддержка AES256-CBC для Microsoft 365" статьи Технические справочные сведения о шифровании.
Известные проблемы
-
Su за август 2023 г. не устанавливается при попытке обновить серверы Exchange Server, на которых установлен пакет SDK для RMS. Не рекомендуется устанавливать пакет SDK для RMS на том же компьютере, на котором установлена Exchange Server.
-
Email доставка и ведение журнала периодически завершается ошибкой, если поддержка режима AES256-CBC включена в Exchange Server 2019 г. и Exchange Server 2016 г. в среде, которая сосуществует с Exchange Server 2013 г. Exchange Server 2013 не поддерживается. Поэтому следует обновить все серверы до Exchange Server 2019 или Exchange Server 2016.
Симптомы, если шифрование CBC настроено неправильно или не обновлено
Если TransportDecryptionSetting в Set-IRMConfigurationзадано значение обязательное ("необязательный" по умолчанию) и серверы и клиенты Exchange не обновляются, сообщения, зашифрованные с помощью AES256-CBC, могут создавать отчеты о недоставках (NDR) и следующее сообщение об ошибке:
Удаленный сервер вернул '550 5.7.157 RmsDecryptAgent; Транспорту Microsoft Exchange не удается расшифровать сообщение службой RMS.
Этот параметр также может вызвать проблемы, влияющие на правила транспорта для шифрования, кодирования и обнаружения электронных данных, если серверы не обновляются.
