Från och med säkerhetsuppdateringen för augusti 2023 för Microsoft Exchange Server är AES256 i chifferblockeringsläge (AES256-CBC) standardkrypteringsläget i alla program som använder Microsoft Purview Information Protection. Mer information finns i Ändringar av krypteringsalgoritmer i Microsoft Purview Information Protection.
Om du använder Exchange Server och har hybriddistribution av Exchange, eller om du använder Microsoft 365-applikationer det här dokumentet, hjälper det här dokumentet dig att förbereda dig för ändringen så att inga störningar uppstår.
De ändringar som infördes i säkerhetsuppdateringen augusti 2023 (SU) hjälper till att dekryptera AES256-CBC-krypterade e-postmeddelanden och bifogade filer. Stöd för att kryptera e-postmeddelanden i AES256-CBC-läge lades till i oktober 2023 SU.
Så här implementerar du AES256-CBC-lägesändring i Exchange Server
Om du använder IRM-funktionerna (Information Rights Management) i Exchange Server tillsammans med Active Directory Rights Management Services (AD RMS) eller Azure RMS (AzRMS) måste du uppdatera Exchange Server 2019 och Exchange Server 2016-servrar till säkerhetsuppdateringen augusti 2023 och slutför de ytterligare steg som beskrivs i följande avsnitt i slutet av augusti 2023. Sök- och journalfunktionen påverkas om du inte uppdaterar Exchange-servrarna till augusti 2023 SU i slutet av augusti.
Om din organisation behöver mer tid för att uppdatera Exchange-servrarna läser du igenom resten av artikeln för att förstå hur du minimerar effekten av ändringarna.
Aktivera stöd för AES256-CBC-krypteringsläge i Exchange Server
Su för Exchange Server augusti 2023 stöder dekryptering av AES256-CBC-lägeskrypterade e-postmeddelanden och bifogade filer. Så här aktiverar du det här stödet:
-
Installera SU för augusti 2023 på alla exchange 2019- och 2016-servrar.
-
Kör följande cmdletar på alla Exchange 2019- och 2016-servrar.
Obs!: Slutför steg 2 på alla Exchange 2019- och 2016-servrar i din miljö innan du fortsätter med steg 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Obs!: Nyckeln -AclObject $acl läggs till i registret under installationen av augusti-SU.
-
Om du använder AzRMS måste AzRMS-kopplingen uppdateras på alla Exchange-servrar. Kör det uppdaterade GenConnectorConfig.ps1 -skriptet för att generera registernycklarna som införs för stöd för AES256-CBC-läge i den Exchange Server augusti 2023 SU och senare Exchange-versioner. Ladda ned det senaste GenConnectorConfig.ps1 skriptet från Microsoft Download Center.
Mer information om hur du konfigurerar Exchange-servrar för anslutning finns i Konfigurera servrar för Microsoft Rights Management-anslutningen.I artikeln beskrivs specifika konfigurationsändringar för Exchange Server 2019 och Exchange Server 2016.
Mer information om hur du konfigurerar servrar för rättighetshanteringsanslutningen, inklusive hur du kör den och hur du distribuerar inställningarna, finns i Registerinställningar för Rights Management Connector. -
Om du har su för augusti 2023 installerat finns det bara stöd för att dekryptera AES-256 CBC-krypterade e-postmeddelanden och bifogade filer i Exchange Server. Om du vill aktivera det här stödet kör du följande åsidosättningsinställning:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Förutom de ändringar som gjordes i SU i augusti 2023 ger SU i oktober 2023 stöd för att kryptera e-postmeddelanden och bifogade filer i AES256-CBC-läge. Om du har installerat SU för oktober 2023 kör du följande åsidosättningar:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Uppdatera argumentet VariantConfiguration. Det gör du genom att köra följande cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Om du vill använda de nya inställningarna startar du om Tjänsten World Wide Web Publishing och Windows Process Activation Service (WAS). Det gör du genom att köra följande cmdlet:
Restart-Service -Name W3SVC, WAS -Force
Obs!: Starta om dessa tjänster endast på Den Exchange-server där inställningarna åsidosätter cmdlet körs.
Om du har Exchange-hybriddistribution (postlådor både lokalt och Exchange Online)
Organisationer som använder Exchange Server tillsammans med Azure Rights Management Service Connector (Azure RMS) avregistreras automatiskt från AES256-CBC-lägesuppdateringen i Exchange Online fram till åtminstone januari 2024. Men om du vill använda det säkrare AES-256 CBC-läget för att kryptera e-postmeddelanden och bifogade filer i Exchange Online och dekryptera sådana e-postmeddelanden och bifogade filer i Exchange Server utför du de här stegen för att göra nödvändiga ändringar i Exchange Server distributionen.
När du har slutfört de steg som krävs öppnar du ett supportärende och begär sedan att inställningen Exchange Online uppdateras för att aktivera AES256-CBC-läge.
Om du använder Microsoft 365-applikationer med Exchange Server
Som standard använder alla M365-program, till exempel Microsoft Outlook, Microsoft Word, Microsoft Excel och Microsoft PowerPoint, AES256-CBC-lägeskryptering från och med augusti 2023.
Viktigt!: Om din organisation inte kan tillämpa Exchange-servern augusti 2023-säkerhetsuppdateringen på alla Exchange-servrar (2019 och 2016), eller om du inte kan uppdatera anslutningskonfigurationsändringarna i Exchange Server infrastruktur i slutet av augusti 2023, måste du avanmäla dig från AES256-CBC-ändringen i Microsoft 365-program.
I följande avsnitt beskrivs hur du tvingar AES128-ECB för de användare som använder registerinställningar och grupprincip.
Du kan konfigurera Office och Microsoft 365-applikationer för Windows att använda ECB- eller CBC-läge genom att använda krypteringsläget för IRM-inställningen (Information Rights Management) underConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Som standard används CBC-läge med början i version 16.0.16327 av Microsoft 365-applikationer.
Om du till exempel vill tvinga fram CBC-läge för Windows-klienter anger du inställningen grupprincip enligt följande:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Information om hur du konfigurerar inställningar för Office för Mac klienter finns i Ange inställningar för hela programsviten för Office för Mac.
Mer information finns i avsnittet "AES256-CBC-stöd för Microsoft 365" i Teknisk referensinformation om kryptering.
Kända problem
-
Su augusti 2023 installeras inte när du försöker uppdatera Exchange-servrar där RMS SDKär installerat. Vi rekommenderar att du inte installerar RMS SDK på samma dator där Exchange Server är installerad.
-
Email leverans och journalföring misslyckas periodvis om stöd för AES256-CBC-läge är aktiverat i Exchange Server 2019 och Exchange Server 2016 i en miljö som samexisterar med Exchange Server 2013. Exchange Server 2013 stöds inte. Därför bör du uppgradera alla servrar till Exchange Server 2019 eller Exchange Server 2016.
Symptom om CBC-kryptering inte är korrekt konfigurerad eller inte uppdateras
Om TransportDecryptionSetting är inställt på obligatorisk ("valfritt" är standard) inom Set-IRMConfigurationoch Exchange-servrar och -klienter inte uppdateras, kan meddelanden som krypteras med AES256-CBC generera rapporter om utebliven leverans (NDR) och följande felmeddelande:
Remote Server returnerade '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport kan inte dekryptera meddelandet.
Den här inställningen kan också orsaka problem som påverkar transportregler för kryptering, journalföring och eDiscovery om servrar inte uppdateras.
