Od aktualizácie zabezpečenia pre Microsoft Exchange Server z augusta 2023 bude AES256 v režime Cipher Block Chaining (AES256-CBC) predvoleným režimom šifrovania vo všetkých aplikáciách, ktoré používajú Microsoft Purview Information Protection. Ďalšie informácie nájdete v téme Zmeny šifrovacieho algoritmu v Microsoft Purview Information Protection.
Ak používate Exchange Server a máte hybridné nasadenie Exchange alebo používate Aplikácie Microsoft 365 tento dokument vám pomôže pripraviť sa na zmenu, aby nedošlo k žiadnym prerušeniam.
Zmeny, ktoré boli zavedené v aktualizácii zabezpečenia (SU) z augusta 2023, pomáhajú dešifrovať e-mailové správy a prílohy šifrované AES256-CBC. Podpora šifrovania e-mailových správ v režime AES256-CBC bola pridaná v októbri 2023 SU.
Implementácia zmeny režimu AES256-CBC v Exchange Server
Ak používate funkcie správy prístupových práv k informáciám (IRM) v Exchange Server spolu so službami Active Directory Rights Management Services (AD RMS) alebo Azure RMS (AzRMS), musíte aktualizovať Exchange Server 2019 a Exchange Server 2016 servery na august 2023 Aktualizácie zabezpečenia a dokončiť ďalšie kroky, ktoré sú popísané v nasledujúcich častiach do konca augusta 2023. Funkcia vyhľadávania a zapisovania denníkov bude ovplyvnená, ak do konca augusta neaktualizujete servery Exchange na SU z augusta 2023.
Ak vaša organizácia potrebuje na aktualizáciu serverov Exchange viac času, prečítajte si zvyšok článku a zistite, ako zmierniť vplyv zmien.
Povoliť podporu šifrovania AES256-CBC v Exchange Server
SU pre Exchange Server z augusta 2023 podporuje dešifrovanie e-mailových správ a príloh šifrovaných v režime AES256-CBC. Ak chcete povoliť túto podporu, postupujte podľa týchto krokov:
-
Nainštalujte SU z augusta 2023 na všetky servery Exchange 2019 a 2016.
-
Spustite nasledujúce rutiny typu cmdlet na všetkých serveroch Exchange 2019 a 2016.
Poznámka: Skôr než budete pokračovať krokom 3, dokončite krok 2 na všetkých serveroch Exchange 2019 a 2016 vo vašom prostredí.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Poznámka: Kľúč -AclObject $acl sa pridá do databázy Registry počas inštalácie augustovej SU.
-
Ak používate AzRMS, konektor AzRMS sa musí aktualizovať na všetkých serveroch Exchange. Spustením aktualizovaného skriptu GenConnectorConfig.ps1 vygenerujte kľúče databázy Registry, ktoré boli zavedené pre podporu režimu AES256-CBC v Exchange Server august 2023 SU a novších verziách exchangeu. Stiahnite si najnovší GenConnectorConfig.ps1 skript z Centra sťahovania softvéru spoločnosti Microsoft.
Ďalšie informácie o konfigurácii serverov Exchange na používanie konektora nájdete v téme Konfigurácia serverov pre konektor Microsoft Rights Management.Tento článok popisuje konkrétne zmeny konfigurácie pre Exchange Server 2019 a Exchange Server 2016.
Ďalšie informácie o konfigurácii serverov pre konektor Správy prístupových práv vrátane spôsobu jeho spustenia a nasadenia nastavení nájdete v nastaveniach databázy Registry pre konektor správy prístupových práv. -
Ak máte nainštalovanú SU z augusta 2023, existuje podpora len na dešifrovanie e-mailových správ a príloh šifrovaných AES-256 CBC v Exchange Server. Ak chcete povoliť túto podporu, spustite nasledujúce prepísanie nastavení:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Okrem zmien, ktoré boli vykonané v SU v auguste 2023, SU v októbri 2023 pridáva podporu šifrovania e-mailových správ a príloh v režime AES256-CBC. Ak máte nainštalovanú SU z októbra 2023, spustite nasledujúce prepísania nastavenia:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Obnovte argument VariantConfiguration. Ak to chcete urobiť, spustite nasledujúcu rutinu typu cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Ak chcete použiť nové nastavenia, reštartujte službu World Wide Web Publishing a službu aktivácie procesov systému Windows (WAS). Ak to chcete urobiť, spustite nasledujúcu rutinu typu cmdlet:
Restart-Service -Name W3SVC, WAS -Force
Poznámka: Reštartujte tieto služby iba na serveri Exchange, na ktorom je spustená rutina typu cmdlet prepísania nastavení.
Ak máte hybridné nasadenie Exchangeu (poštové schránky v lokálnom aj Exchange Online)
Organizácie, ktoré používajú Exchange Server spolu s konektorom Azure Rights Management Service Connector (Azure RMS), budú automaticky odhlásené z aktualizácie režimu AES256-CBC v Exchange Online minimálne do januára 2024. Ak však chcete použiť bezpečnejší režim CBC AES-256 na šifrovanie e-mailových správ a príloh v Exchange Online a dešifrovať takéto e-mailové správy a prílohy v Exchange Server, vykonajte tieto kroky a vykonajte potrebné zmeny v nasadení Exchange Server.
Po dokončení požadovaných krokov otvorte prípad podpory a potom požiadajte o aktualizáciu nastavenia Exchange Online, aby sa povolil režim AES256-CBC.
Ak používate Aplikácie Microsoft 365 s Exchange Server
Predvolene budú všetky aplikácie M365, ako napríklad Microsoft Outlook, Microsoft Word, Microsoft Excel a Microsoft PowerPoint, používať šifrovanie režimu AES256-CBC od augusta 2023.
Dôležité: Ak vaša organizácia nemôže použiť aktualizáciu zabezpečenia Servera Exchange z augusta 2023 na všetkých serveroch Exchange (2019 a 2016) alebo ak do konca augusta 2023 nemôžete aktualizovať zmeny konfigurácie konektora v rámci infraštruktúry Exchange Server, musíte sa odhlásiť zo zmeny AES256-CBC v aplikáciách microsoft 365.
Nasledujúca časť popisuje, ako vynútiť AES128-ECB pre používateľov, ktorí používajú nastavenia databázy Registry a skupinová politika.
Office a Aplikácie Microsoft 365 pre Windows môžete nakonfigurovať tak, aby používali režim ECB alebo CBC, a to pomocou režimu šifrovania pre správu prístupových práv k informáciám (IRM) v častiConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Režim CBC sa predvolene používa vo verzii 16.0.16327 Aplikácie Microsoft 365.
Ak chcete napríklad vynútiť režim CBC pre klientov s Windowsom, nastavte skupinová politika takto:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Ak chcete konfigurovať nastavenia pre Office pre Mac klientov, pozrite si tému Nastavenie predvolieb balíka pre Office pre Mac.
Ďalšie informácie nájdete v časti Technická referenčná informácia o šifrovaní v časti Podpora AES256-CBC pre Microsoft 365.
Známe problémy
-
SU z augusta 2023 sa nenainštaluje pri pokuse o aktualizáciu serverov Exchange, na ktorých je nainštalovaná súprava RMS SDK. Odporúčame nenainštalovať súpravu RMS SDK do toho istého počítača, v ktorom je nainštalovaná Exchange Server.
-
Doručovanie a zapisovanie denníkov e-mailov občas zlyhá, ak je podpora režimu AES256-CBC povolená v Exchange Server 2019 a Exchange Server 2016 v prostredí, ktoré koexistuje s Exchange Server 2013. Exchange Server 2013 nie je podporovaný. Preto by ste mali inovovať všetky svoje servery na Exchange Server 2019 alebo Exchange Server 2016.
Príznaky, ak šifrovanie CBC nie je správne nakonfigurované alebo nie je aktualizované
Ak je TransportDecryptionSetting nastavená na povinné ("voliteľné" je predvolené nastavenie) v rámci Set-IRMConfigurationa exchangeové servery a klienti sa neaktualizujú, správy, ktoré sú šifrované pomocou AES256-CBC, môžu generovať oznámenia o nedoručení a nasledujúce chybové hlásenie:
Vzdialený server vrátil hodnotu '550 5.7.157 RmsDecryptAgent; Služba Microsoft Exchange Transport nemôže dešifrovať správu pomocou nástroja RMS.
Toto nastavenie môže tiež spôsobiť problémy, ktoré ovplyvňujú pravidlá prenosu šifrovania, zapisovania denníkov a vyhľadávania eDiscovery, ak sa servery neaktualizujú.
