ตั้งแต่การอัปเดตความปลอดภัยประจําเดือนสิงหาคม 2023 สําหรับ Microsoft Exchange Server AES256 ในโหมด Cipher Block Chaining (AES256-CBC) จะเป็นโหมดการเข้ารหัสเริ่มต้นในทุกแอปพลิเคชันที่ใช้การป้องกันข้อมูลของ Microsoft Purview ดูข้อมูลเพิ่มเติมได้ที่ การเปลี่ยนแปลงอัลกอริทึมการเข้ารหัสลับใน การป้องกันข้อมูลของ Microsoft Purview
ถ้าคุณกําลังใช้ Exchange Server และมีการปรับใช้ Exchange แบบไฮบริด หรือคุณกําลังใช้ Microsoft 365 Apps เอกสารนี้จะช่วยคุณเตรียมพร้อมสําหรับการเปลี่ยนแปลงเพื่อไม่ให้เกิดการขัดข้อง
การเปลี่ยนแปลงที่ถูกนํามาใช้ในการอัปเดตความปลอดภัย (SU) ประจําเดือนสิงหาคม 2023 ช่วยถอดรหัสลับข้อความอีเมลและสิ่งที่แนบมาที่เข้ารหัส AES256-CBC การสนับสนุนการเข้ารหัสลับข้อความอีเมลในโหมด AES256-CBC ถูกเพิ่มเข้ามาใน SU เดือนตุลาคม 2023
วิธีการปรับใช้การเปลี่ยนแปลงโหมด AES256-CBC ใน Exchange Server
ถ้าคุณกําลังใช้ฟีเจอร์การจัดการสิทธิ์ในข้อมูล (IRM) ใน Exchange Server ร่วมกับ Active Directory Rights Management Services (AD RMS) หรือ Azure RMS (AzRMS) คุณต้องอัปเดต Exchange Server 2019 และ Exchange Server เซิร์ฟเวอร์ 2016 ถึงการอัปเดตความปลอดภัยเดือนสิงหาคม 2023 และทําตามขั้นตอนเพิ่มเติมที่อธิบายไว้ในส่วนต่อไปนี้ภายในสิ้นเดือนสิงหาคม 2023 ฟังก์ชันการค้นหาและการบันทึกข้อมูลประจําวันจะได้รับผลกระทบถ้าคุณไม่อัปเดตเซิร์ฟเวอร์ Exchange ของคุณเป็นเดือนสิงหาคม 2023 SU ภายในสิ้นเดือนสิงหาคม
ถ้าองค์กรของคุณต้องการเวลาเพิ่มเติมในการอัปเดตเซิร์ฟเวอร์ Exchange ของคุณ ให้อ่านบทความที่เหลือเพื่อทําความเข้าใจวิธีการลดผลกระทบของการเปลี่ยนแปลง
เปิดใช้งานการสนับสนุนสําหรับโหมด AES256-CBC ของการเข้ารหัสลับใน Exchange Server
SU เดือนสิงหาคม 2023 สําหรับ Exchange Server สนับสนุนการถอดรหัสลับข้อความอีเมลที่เข้ารหัสและสิ่งที่แนบมาในโหมด AES256-CBC เมื่อต้องการเปิดใช้งานการสนับสนุนนี้ ให้ทําตามขั้นตอนต่อไปนี้:
-
ติดตั้ง SU เดือนสิงหาคม 2023 บนเซิร์ฟเวอร์ Exchange 2019 และ 2016 ทั้งหมดของคุณ
-
เรียกใช้ cmdlets ต่อไปนี้บนเซิร์ฟเวอร์ Exchange 2019 และ 2016 ทั้งหมด
หมายเหตุ: ทําขั้นตอนที่ 2 บนเซิร์ฟเวอร์ Exchange 2019 และ 2016 ทั้งหมดในสภาพแวดล้อมของคุณให้เสร็จสมบูรณ์ก่อนที่คุณจะทําขั้นตอนที่ 3 ต่อไป
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
หมายเหตุ: คีย์ $acl -AclObject จะถูกเพิ่มไปยังรีจิสทรีในระหว่างการติดตั้ง SU เดือนสิงหาคม
-
ถ้าคุณกําลังใช้ AzRMS ตัวเชื่อมต่อ AzRMS ต้องได้รับการอัปเดตบนเซิร์ฟเวอร์ Exchange ทั้งหมด เรียกใช้สคริปต์ GenConnectorConfig.ps1 ที่อัปเดตเพื่อสร้างรีจิสทรีคีย์ที่แนะนําสําหรับการสนับสนุนโหมด AES256-CBC ใน Exchange Server Su เดือนสิงหาคม 2023 และเวอร์ชันที่ใหม่กว่าของ Exchange ดาวน์โหลดสคริปต์ GenConnectorConfig.ps1 ล่าสุดจากศูนย์ดาวน์โหลด Microsoft
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีกําหนดค่าเซิร์ฟเวอร์ Exchange ให้ใช้ตัวเชื่อมต่อ ให้ดูที่ การกําหนดค่าเซิร์ฟเวอร์สําหรับตัวเชื่อมต่อการจัดการสิทธิ์ของ Microsoftบทความนี้อธิบายถึงการเปลี่ยนแปลงการกําหนดค่าเฉพาะสําหรับ Exchange Server 2019 และ Exchange Server 2016
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกําหนดค่าเซิร์ฟเวอร์สําหรับตัวเชื่อมต่อการจัดการสิทธิ์ รวมถึงวิธีการเรียกใช้และวิธีการปรับใช้การตั้งค่า ให้ดูที่ การตั้งค่ารีจิสทรีสําหรับตัวเชื่อมต่อการจัดการสิทธิ์ -
ถ้าคุณได้ติดตั้ง SU เดือนสิงหาคม 2023 จะมีการสนับสนุนเฉพาะในการถอดรหัสลับข้อความอีเมลที่เข้ารหัส AES-256 CBC และสิ่งที่แนบมาใน Exchange Server เท่านั้น เมื่อต้องการเปิดใช้งานการสนับสนุนนี้ ให้เรียกใช้การแทนที่การตั้งค่าต่อไปนี้:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
นอกเหนือจากการเปลี่ยนแปลงที่ทําในเดือนสิงหาคม 2023 SU แล้ว SU ประจําเดือนตุลาคม 2023 ยังเพิ่มการสนับสนุนการเข้ารหัสลับข้อความอีเมลและสิ่งที่แนบมาในโหมด AES256-CBC ถ้าคุณติดตั้ง SU เดือนตุลาคม 2023 ให้เรียกใช้การแทนที่การตั้งค่าต่อไปนี้New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
รีเฟรชอาร์กิวเมนต์ VariantConfiguration เมื่อต้องการทําเช่นนี้ ให้เรียกใช้ cmdlet ต่อไปนี้:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
เมื่อต้องการนําการตั้งค่าใหม่ไปใช้ ให้เริ่มการทํางานของ World Wide Web Publishing Service และบริการการเปิดใช้งานกระบวนการของ Windows (WAS) ใหม่ เมื่อต้องการทําเช่นนี้ ให้เรียกใช้ cmdlet ต่อไปนี้:
Restart-Service -Name W3SVC, WAS -Force
หมายเหตุ: รีสตาร์ตบริการเหล่านี้บนเซิร์ฟเวอร์ Exchange ที่การตั้งค่าแทนที่ cmdlet กําลังทํางานอยู่เท่านั้น
ถ้าคุณมีการปรับใช้ Exchange แบบไฮบริด (กล่องจดหมายทั้งในองค์กรและ Exchange Online)
องค์กรที่ใช้ Exchange Server ร่วมกับ Azure Rights Management Service Connector (Azure RMS) จะถูกเลือกไม่รับการอัปเดตโหมด AES256-CBC โดยอัตโนมัติใน Exchange Online จนถึงอย่างน้อยเดือนมกราคม 2024 อย่างไรก็ตาม ถ้าคุณต้องการใช้โหมด CBC AES-256 ที่มีความปลอดภัยมากขึ้นในการเข้ารหัสลับข้อความอีเมลและสิ่งที่แนบมาใน Exchange Online และถอดรหัสลับข้อความอีเมลและสิ่งที่แนบมาดังกล่าวใน Exchange Server ให้ทําตามขั้นตอนเหล่านี้เพื่อทําการเปลี่ยนแปลงที่จําเป็นในการปรับใช้ Exchange Server ของคุณ
หลังจากที่คุณทําตามขั้นตอนที่จําเป็นแล้ว ให้เปิดกรณีการสนับสนุน แล้วขอให้อัปเดตการตั้งค่า Exchange Online เพื่อเปิดใช้งานโหมด AES256-CBC
ถ้าคุณกําลังใช้ Microsoft 365 Apps กับ Exchange Server
ตามค่าเริ่มต้น แอปพลิเคชัน M365 ทั้งหมดของคุณ เช่น Microsoft Outlook, Microsoft Word, Microsoft Excel และ Microsoft PowerPoint จะใช้การเข้ารหัสลับโหมด AES256-CBC ตั้งแต่เดือนสิงหาคม 2023
สิ่งสำคัญ: ถ้าองค์กรของคุณไม่สามารถใช้การอัปเดตความปลอดภัย Exchange Server เดือนสิงหาคม 2023 บนเซิร์ฟเวอร์ Exchange ทั้งหมด (2019 และ 2016) หรือถ้าคุณไม่สามารถอัปเดตการเปลี่ยนแปลงการกําหนดค่าตัวเชื่อมต่อทั่วทั้งโครงสร้างพื้นฐานของ Exchange Server ภายในสิ้นเดือนสิงหาคม 2023 คุณต้องปฏิเสธไม่รับการเปลี่ยนแปลง AES256-CBC ในแอปพลิเคชัน Microsoft 365
ส่วนต่อไปนี้อธิบายวิธีการบังคับ AES128-ECB สําหรับผู้ใช้ที่ใช้การตั้งค่ารีจิสทรีและนโยบายกลุ่ม
คุณสามารถกําหนดค่า Office และ Microsoft 365 Apps สําหรับ Windows ให้ใช้โหมด ECB หรือ CBC โดยใช้โหมดการเข้ารหัสลับสําหรับการตั้งค่าการจัดการสิทธิ์ในข้อมูล (IRM) ภายใต้Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. ตามค่าเริ่มต้น โหมด CBC จะถูกใช้โดยเริ่มในเวอร์ชัน 16.0.16327 ของ Microsoft 365 Apps
ตัวอย่างเช่น เมื่อต้องการบังคับให้โหมด CBC สําหรับไคลเอ็นต์ Windows ตั้งค่านโยบายกลุ่มดังนี้:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
เมื่อต้องการกําหนดการตั้งค่าสําหรับไคลเอ็นต์ Office for Mac ให้ดูที่ ตั้งค่าการกําหนดลักษณะทั้งชุดสําหรับ Office for Mac
สําหรับข้อมูลเพิ่มเติม โปรดดูที่ส่วน "การสนับสนุน AES256-CBC สําหรับ Microsoft 365" ของ รายละเอียดการอ้างอิงทางเทคนิคเกี่ยวกับการเข้ารหัสลับ
ปัญหาที่ทราบแล้ว
-
SU เดือนสิงหาคม 2023 ไม่ติดตั้งเมื่อคุณพยายามอัปเดตเซิร์ฟเวอร์ Exchange ที่ติดตั้ง SDK RMS เราขอแนะนําไม่ให้คุณติดตั้ง RMS SDK บนคอมพิวเตอร์เครื่องเดียวกับที่ติดตั้ง Exchange Server
-
การนําส่งอีเมลและการบันทึกข้อมูลบันทึกประจําวันจะล้มเหลวเป็นระยะๆ ถ้าเปิดใช้งานการสนับสนุนโหมด AES256-CBC ใน Exchange Server 2019 และ Exchange Server 2016 ในสภาพแวดล้อมที่ทํางานร่วมกับ Exchange Server 2013 Exchange Server 2013 ไม่ได้รับการสนับสนุน ดังนั้น คุณควรอัปเกรดเซิร์ฟเวอร์ทั้งหมดของคุณเป็น Exchange Server 2019 หรือ Exchange Server 2016
อาการถ้าการเข้ารหัสลับ CBC ไม่ได้รับการกําหนดค่าอย่างถูกต้องหรือไม่ได้รับการปรับปรุง
ถ้า TransportDecryptionSetting ถูกตั้งค่าเป็นบังคับ ("ไม่บังคับ" เป็นค่าเริ่มต้น) ภายใน Set-IRMConfigurationและเซิร์ฟเวอร์และไคลเอ็นต์ Exchange ไม่ได้รับการอัปเดต ข้อความที่เข้ารหัสลับโดยใช้ AES256-CBC อาจสร้างรายงานแจ้งการนําส่งไม่สําเร็จ (NDR) และข้อความแสดงข้อผิดพลาดต่อไปนี้:
เซิร์ฟเวอร์ระยะไกลส่งกลับ '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport ไม่สามารถถอดรหัสลับข้อความ RMS ได้
การตั้งค่านี้ยังอาจทําให้เกิดปัญหาที่มีผลต่อกฎการส่งสําหรับการเข้ารหัสลับ บันทึกประจําวัน และ eDiscovery ถ้าเซิร์ฟเวอร์ไม่ได้รับการอัปเดต
