Od varnostne posodobitve iz avgusta 2023 za Microsoft Exchange Server bo AES256 v načinu verig šifer blokov (AES256-CBC) privzeti način šifriranja v vseh aplikacijah, ki uporabljajo Microsoft Purview Information Protection. Če želite več informacij, glejte Spremembe algoritma za šifriranje Microsoft Purview Information Protection.
Če uporabljate Exchange Server hibridno uvedbo strežnika Exchange ali pa uporabljate Programi Microsoft 365 vam bo ta dokument pomagal pri pripravah na spremembo, tako da ne bo prišlo do motenj.
Spremembe, ki so bile uvedene z varnostno posodobitvijo (SU) iz avgusta 2023, pomagajo dešifrirati e-poštna sporočila in priloge, šifrirane s storitvijo AES256-CBC. Podpora za šifriranje e-poštnih sporočil v načinu AES256-CBC je bila dodana v SU oktobra 2023.
Kako uvesti spremembo načina AES256-CBC v Exchange Server
Če uporabljate funkcije upravljanja pravic do informacij (IRM) v storitvi Exchange Server skupaj s storitvami Active Directory Rights Management Services (AD RMS) ali Azure RMS (AzRMS), morate posodobiti svoj Exchange Server 2019 in Exchange Server Strežniki iz leta 2016 do varnostne posodobitve iz avgusta 2023 in dokončajo dodatne korake, opisane v spodnjih razdelkih do konca avgusta 2023. To bo vplivalo na funkcijo iskanja in vodenje dnevnika, če do konca avgusta ne posodobite strežnikov Exchange na SU avgusta 2023.
Če vaša organizacija potrebuje več časa za posodobitev Exchangeevih strežnikov, preberite preostali članek, v katerem boste izvedeli, kako ublažiti učinek sprememb.
Omogočanje podpore za način šifriranja AES256-CBC v Exchange Server
SU v avgustu 2023 za Exchange Server podpira dešifriranje e-poštnih sporočil in prilog, šifriranih v načinu AES256-CBC. Če želite omogočiti to podporo, sledite tem korakom:
-
Namestite SU iz avgusta 2023 v vse strežnike Exchange 2019 in 2016.
-
Zaženite te ukaze »cmdlet« v vseh strežnikih Exchange 2019 in 2016.
Opomba: Dokončajte 2. korak v vseh strežnikih Exchange 2019 in 2016 v svojem okolju, preden nadaljujete s 3. korakom.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Opomba: Ključ -AclObject $acl v register dodan med namestitvijo avgustovščine SU.
-
Če uporabljate AzRMS, mora biti povezovalnik AzRMS posodobljen v vseh Exchangeevih strežnikih. Zaženite posodobljen skript GenConnectorConfig.ps1 , da ustvarite registrske ključe, ki so uvedeni za podporo načina AES256-CBC v SU Exchange Server. avgustu 2023 in novejših različicah Exchangea. Prenesite najnovejši skript GenConnectorConfig.ps1 iz Microsoftovega centra za prenose.
Če želite več informacij o konfiguraciji Exchangeevih strežnikov za uporabo priključka, glejte Konfiguriranje strežnikov za povezovalnik Microsoft Rights Management.V članku so raziskane posebne spremembe konfiguracije za Exchange Server 2019 in Exchange Server 2016.
Če želite več informacij o konfiguraciji strežnikov za povezovalnik Rights Management, vključno s tem, kako ga zaženete in kako uvedete nastavitve, glejte Nastavitve registra za povezovalnik Rights Management Connector. -
Če imate nameščen SU iz avgusta 2023, je podpora na voljo le za dešifriranje e-poštnih sporočil in prilog, šifriranih s CBC AES-256, v Exchange Server. Če želite omogočiti to podporo, zaženite to preglasitev nastavitve:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Poleg sprememb, ki so bile narejene v SU avgusta 2023, SU oktobra 2023 doda podporo za šifriranje e-poštnih sporočil in prilog v načinu AES256-CBC. Če imate nameščeno posodobitev SU iz oktobra 2023, zaženite to preglasitev nastavitve:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Osvežite argument VariantConfiguration. To naredite tako, da zaženete ta ukaz »cmdlet«:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Če želite uporabiti nove nastavitve, znova zaženite storitev objavljanja v svetovnem spletu in storitev za aktiviranje procesov sistema Windows (WAS). To naredite tako, da zaženete ta ukaz »cmdlet«:
Restart-Service -Name W3SVC, WAS -Force
Opomba: Znova zaženite te storitve le v strežniku Exchange, v katerem so nastavitve preglasitve ukaza »cmdlet«.
Če imate hibridno uvajanje strežnika Exchange (nabiralniki na mestu uporabe in v strežniku Exchange Online)
Organizacije, ki uporabljajo Exchange Server skupaj s priključkom Azure Rights Management Service Connector (Azure RMS), bodo samodejno odjavene od posodobitve načina AES256-CBC v sistemu Exchange Online do vsaj januarja 2024. Če pa želite uporabljati varnejši način AES-256 CBC za šifriranje e-poštnih sporočil in prilog v programu Exchange Online in dešifrirati takšna e-poštna sporočila in priloge v programu Exchange Server, dokončajte te korake, da naredite potrebne spremembe v uvajanju storitve Exchange Server.
Ko dokončate zahtevane korake, odprite primer podpore in nato zahtevajte posodobitev Exchange Online, da omogočite način AES256-CBC.
Če uporabljate aplikacijo Programi Microsoft 365 s Exchange Server
Vse aplikacije M365, kot so Microsoft Outlook, Microsoft Word, Microsoft Excel in Microsoft PowerPoint, bodo s šifriranjem načina AES256-CBC od avgusta 2023 naprej uporabljali šifriranje načina AES256-CBC.
Pomembno: Če vaša organizacija ne more uporabiti varnostne posodobitve strežnika Exchange Server iz avgusta 2023 v vseh strežnikih Exchange (2019 in 2016) ali če do konca avgusta 2023 ne morete posodobiti sprememb konfiguracije povezovalnika v celotni infrastrukturi Exchange Server, morate zavrniti sodelovanje pri spremembi AES256-CBC v aplikacijah storitve Microsoft 365.
V tem razdelku je opisano, kako vsilite AES128-ECB za uporabnike, ki uporabljajo nastavitve registra in pravilnik skupine.
Office in sistem Programi Microsoft 365 za Windows lahko konfigurirate tako, da uporabljata način ECB ali CBC tako, da uporabite nastavitev Način šifriranja za upravljanje pravic do informacij (IRM) vConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Privzeto se način CBC uporablja z začetkom v različici 16.0.16327 Programi Microsoft 365.
Če želite na primer vsilite način CBC za odjemalce sistema Windows, nastavite pravilnik skupine na naslednji način:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Če želite konfigurirati nastavitve za odjemalce zbirke Office for Mac, glejte Nastavitev zbirke za Office za Mac.
Če želite več informacij, glejte razdelek »Podpora za AES256-CBC za Microsoft 365« v razdelku Tehnične referenčne podrobnosti o šifriranju.
Znane težave
-
SU v avgustu 2023 se ne namesti, ko poskušate posodobiti strežnike Exchange, v katerih je nameščen SDK za RMS. Priporočamo, da programske opreme RMS SDK ne namestite v isti računalnik, Exchange Server je nameščen.
-
Dostava e-pošte in vodenje dnevnika dogodkov občasno ne uspeta, če je podpora za način AES256-CBC omogočena v sistemih Exchange Server 2019 in Exchange Server 2016 v okolju, ki soobjaja s sistemom Exchange Server 2013. Exchange Server 2013 ni več na voljo. Zato nadgradite vse strežnike na sistem Exchange Server 2019 ali Exchange Server 2016.
Simptomi, če šifriranje CBC ni pravilno konfigurirano ali ni posodobljeno
Če je TransportDecryptionSetting nastavljen na obvezno (»izbirno« je privzeto) znotraj storitve Set-IRMConfigurationin strežniki in odjemalci strežnika Exchange niso posodobljeni, lahko sporočila, šifrirana z AES256-CBC, ustvarijo poročila o neuspeli dostavi (NDR), in to sporočilo o napaki:
Remote Server returned '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport ne more dešifrirati sporočila.
Ta nastavitev lahko povzroči tudi težave, ki vplivajo na prenosna pravila za šifriranje, vodenje dnevnika in e-odkrivanje, če strežniki niso posodobljeni.
