Počevši od bezbednosne ispravke iz avgusta 2023. za Microsoft Exchange Server, AES256 u režimu povezivanja šifrovanja blokova (AES256-CBC) biće podrazumevani režim šifrovanja za sve aplikacije koje koriste Microsoft Purview Information Protection. Dodatne informacije potražite u članku Promene algoritma šifrovanja u članku Microsoft Purview Information Protection.
Ako koristite Exchange server hibridnu Exchange primenu ili koristite Microsoft 365 aplikacije ovaj dokument će vam pomoći da se pripremite za promenu kako ne bi došlo do ometanja.
Promene koje su uvedene u bezbednosnoj ispravki iz avgusta 2023. (SU) pomažu da se AES256-CBC šifrovane e-poruke i prilozi dešifruju. Podrška za šifrovanje e-poruka u režimu AES256-CBC dodata je u sufiks od oktobra 2023.
Kako se primenjuje promena AES256-CBC režima u programu Exchange server
Ako koristite Information Rights Management (IRM) funkcije u programu Exchange server zajedno sa Active Directory Rights Management Services (AD RMS) ili Azure RMS (AzRMS), morate da ažurirate Exchange server 2019 i Exchange server 2016. na bezbednosnu ispravku iz avgusta 2023. i dovršite dodatne korake opisane u sledećim odeljcima do kraja avgusta 2023. Funkcija pretrage i evidentiranje će biti ugrožena ako ne ažurirate Exchange servere na avgust 2023. godine SU do kraja avgusta.
Ako je vašoj organizaciji potrebno dodatno vreme za ažuriranje Exchange servera, pročitajte ostatak članka da biste razumeli kako da umanjite efekat promena.
Omogući podršku za AES256-CBC režim šifrovanja u programu Exchange server
SuP za Exchange server. avgusta 2023. podržava dešifrivanje e-poruka i priloga šifrovanih u režimu AES256-CBC. Da biste omogućili ovu podršku, pratite ove korake:
-
Instalirajte SU iz avgusta 2023. na svim Exchange 2019 i 2016 serverima.
-
Pokrenite sledeće cmdlet komande na svim Exchange 2019 i 2016 serverima.
Napomena: Dovršite 2. korak na svim Exchange 2019 i 2016 serverima u okruženju pre nego što nastavite sa 3. korakom.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Napomena: Ključ -AclObject $acl se dodaje u registrator tokom instalacije suP avgusta.
-
Ako koristite AzRMS, AzRMS konektor mora da se ažurira na svim Exchange serverima. Pokrenite ažuriranu GenConnectorConfig.ps1 skriptu da biste generisala ključeve registratora koji su predstavlјani za podršku za režim AES256-CBC u sup paketu Exchange server. avgusta 2023. i novijim verzijama sistema Exchange. Preuzmite najnoviju GenConnectorConfig.ps1 skripte sa lokacije Microsoft Download Center.
Više informacija o konfigurisanju Exchange servera za korišćenje konektora potražite u članku Konfigurisanje servera za Microsoft Rights Management konektor.U članku se govori o određenim promenama konfiguracije za Exchange server 2019 i Exchange server 2016. Više informacija o tome kako da konfigurišete servere za Rights Management konektor, uključujući to kako da ga pokrenete i kako da primenite postavke, potražite u članku Postavke registratora za Rights Management Connector.
-
Ako imate instaliran SU iz avgusta 2023. godine, postoji podrška samo za dešifrovanje AES-256 CBC šifrovanih e-poruka i priloga u Exchange server. Da biste omogućili ovu podršku, pokrenite sledeću izmenu postavki:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” Pored promena koje su napravljene u SU iz avgusta 2023. godine, suP iz oktobra 2023. dodaje podršku za šifrovanje e-poruka i priloga u režimu AES256-CBC. Ako imate instaliran SU iz oktobra 2023, pokrenite sledeće izmene:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC
-
Osvežite argument VariantConfiguration. Da biste to uradili, pokrenite sledeću cmdlet komandu:Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
-
Da biste primenili nove postavke, ponovo pokrenite uslugu World Wide Web Publishing i Uslugu aktivacije Windows procesa (WAS). Da biste to uradili, pokrenite sledeću cmdlet komandu:Restart-Service -Name W3SVC, WAS -Force
Napomena: Ponovo pokrenite ove usluge samo na Exchange serveru na kojem su pokrenute zamene postavki cmdlet komande.
Ako imate Exchange hibridnu primenu (poštanske sandučiće i lokalno i Exchange Online)
Organizacije koje koriste Exchange server zajedno sa Azure Rights Management Service Connector (Azure RMS) automatski će biti odbačene iz ažuriranja AES256-CBC režima u programu Exchange Online najmanje do januara 2024. Međutim, ako želite da koristite bezbedniji AES-256 CBC režim za šifrovanje e-poruka i priloga u programu Exchange Online i dešifrovanje takvih e-poruka i priloga u programu Exchange server, dovršite ove korake da biste izvršili neophodne promene Exchange server primene.
Kada dovršite potrebne korake, otvorite predmet podrške, a zatim zatražite da se postavka Exchange Online ažurira kako bi se omogućio AES256-CBC režim.
Ako koristite Microsoft 365 aplikacije sa Exchange server
Sve M365 aplikacije, kao što su Microsoft Outlook, Microsoft Word, Microsoft Excel i Microsoft PowerPoint, podrazumevano će koristiti AES256-CBC šifrovanje režima počev od avgusta 2023.
Važno: Ako vaša organizacija ne može da primeni bezbednosnu ispravku exchange servera iz avgusta 2023. na sve Exchange servere (2019 i 2016) ili ako ne možete da ažurirate promene konfiguracije konektora u Exchange server infrastrukturi do kraja avgusta 2023, morate da odbijete saglasnosti za promenu AES256-CBC u Microsoft 365 aplikacijama.
Sledeći odeljak opisuje kako da nametnete AES128-ECB korisnicima koji koriste postavke registratora i da Smernice grupe.
Možete da konfigurišete Office i Microsoft 365 aplikacije za Windows tako da koriste ECB ili CBC režim pomoću postavke režima šifrovanja za Information Rights Management (IRM) u okviruConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. CBC režim se podrazumevano koristi počevši od verzije 16.0.16327 Microsoft 365 aplikacije.
Na primer, da biste nametnuli CBC režim za Windows klijente, podesite postavku Smernice grupe na sledeći način:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Da biste konfigurisali postavke za Office za Mac klijente, pogledajte članak Podešavanje željenih postavki za celokupljeni programski paket za Office za Mac.
Više informacija potražite u odeljku "AES256-CBC podrška za Microsoft 365" u članku Detalji tehničkih referenci o šifrovanju.
Poznati problemi
-
Suma iz avgusta 2023. se ne instalira kada pokušate da ažurirate Exchange servere na kojima je instaliran RMS SDK. Preporučujemo da ne instalirate RMS SDK na istom računaru na kojem Exchange server instaliran.
-
Isporuka i evidentiranje e-pošte povremeno ne uspevaju ako je podrška za režim AES256-CBC omogućena u programima Exchange server 2019 i Exchange server 2016. u okruženju koje istovremeno koristi Exchange server 2013. Exchange server 2013 je van podrške. Zbog toga bi trebalo da nadogradite sve servere na Exchange server 2019 ili Exchange server 2016.
Simptomi ako CBC šifrovanje nije ispravno konfigurisano ili nije ažurirano
Ako je TransportDecryptionSetting podešen na obavezno ("opcionalno" je podrazumevano) u okviru programa Set-IRMConfiguration, a Exchange serveri i klijenti se ne ažuriraju, poruke koje su šifrovane pomoću AES256-CBC mogu da generišu izveštaje o neisporučivanju (NDR) i sledeću poruku o grešci:
Udaljeni server je vratio '550 5.7.157 RmsDecryptAgent; Microsoft Exchange transport ne može RMS dešifrovati poruku.
Ova postavka takođe može da izazove probleme koji utiču na pravila prenosa za šifrovanje, evidentiranje i e-otkrivanje ako serveri nisu ažurirani.
