Microsoft Exchange Server için Ağustos 2023 güvenlik güncelleştirmesinde başlayarak Şifreleme Blok Zincirleme modunda (AES256-CBC) AES256, Microsoft Purview Bilgi Koruması kullanan tüm uygulamalarda varsayılan şifreleme modu olacaktır. Daha fazla bilgi için bkz. Microsoft Purview Bilgi Koruması'de şifreleme algoritması değişiklikleri.
Exchange Server kullanıyorsanız ve karma Exchange dağıtımınız varsa veya Microsoft 365 Uygulamaları kullanıyorsanız, bu belge değişiklik için hazırlanmanıza yardımcı olur ve böylece kesinti yaşanmaz.
Ağustos 2023 güvenlik güncelleştirmesi (SU) ile sunulan değişiklikler, AES256-CBC ile şifrelenmiş e-posta iletilerinin ve eklerinin şifresini çözmeye yardımcı olur. Ekim 2023 SU'da AES256-CBC modunda e-posta iletilerini şifreleme desteği eklendi.
Exchange Server'da AES256-CBC modu değişikliğini uygulama
Exchange Server'daki Bilgi Hakları Yönetimi (IRM) özelliklerini Active Directory Rights Management Services (AD RMS) veya Azure RMS (AzRMS) ile birlikte kullanıyorsanız, Exchange Server 2019 ve Exchange Server Ağustos 2023 Güvenlik Güncelleştirmesi'ne 2016 sunucuları ve ağustos 2023 sonuna kadar aşağıdaki bölümlerde açıklanan ek adımları tamamlayın. Exchange sunucularınızı Ağustos ayı sonuna kadar Ağustos 2023 SU'ya güncelleştirmezseniz arama ve günlük oluşturma işlevi etkilenir.
Kuruluşunuzun Exchange sunucularınızı güncelleştirmek için ek zamana ihtiyacı varsa, değişikliklerin etkisini nasıl azaltacaklarını anlamak için makalenin geri kalanını okuyun.
Exchange Server'de AES256-CBC şifreleme modu desteğini etkinleştirme
Exchange Server için Ağustos 2023 SU, AES256-CBC moduyla şifrelenmiş e-posta iletilerinin ve eklerinin şifresini çözmeyi destekler. Bu desteği etkinleştirmek için şu adımları izleyin:
-
Ağustos 2023 SU'sini tüm Exchange 2019 ve 2016 sunucularınıza yükleyin.
-
Tüm Exchange 2019 ve 2016 sunucularında aşağıdaki cmdlet'leri çalıştırın.
Not: 3. adıma geçmeden önce ortamınızdaki tüm Exchange 2019 ve 2016 sunucularında 2. adımı tamamlayın.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Not: Ağustos SU yüklemesi sırasında kayıt defterine -AclObject $acl anahtarı eklenir.
-
AzRMS kullanıyorsanız, AzRMS Bağlayıcısı tüm Exchange sunucularında güncelleştirilmelidir. Exchange Server Ağustos 2023 SU ve sonraki Exchange sürümlerinde AES256-CBC modu desteği için sunulan kayıt defteri anahtarlarını oluşturmak için güncelleştirilmiş GenConnectorConfig.ps1 betiğini çalıştırın. Microsoft İndirme Merkezi'nden en son GenConnectorConfig.ps1 betiğini indirin.
Exchange sunucularını bağlayıcıyı kullanacak şekilde yapılandırma hakkında daha fazla bilgi için bkz. Microsoft Rights Management bağlayıcısı için sunucuları yapılandırma.Makalede, Exchange Server 2019 ve Exchange Server 2016 için belirli yapılandırma değişiklikleri açıklanır.
Rights Management bağlayıcısı için sunucuları yapılandırma hakkında daha fazla bilgi için, bunun nasıl çalıştırılacağı ve ayarların nasıl dağıtılacağı da dahil olmak üzere, bkz . Rights Management Bağlayıcısı için kayıt defteri ayarları. -
Ağustos 2023 SU yüklüyse, yalnızca Exchange Server AES-256 CBC ile şifrelenmiş e-posta iletilerinin ve eklerinin şifresini çözme desteği vardır. Bu desteği etkinleştirmek için şu ayarı geçersiz kılmayı çalıştırın:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Ağustos 2023 SU'da yapılan değişikliklere ek olarak, Ekim 2023 SU AES256-CBC modunda e-posta iletilerini ve ekleri şifreleme desteği ekler. Ekim 2023 SU yüklüyse, şu ayarı geçersiz kılmaları çalıştırın:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
VariantConfiguration bağımsız değişkenini yenileyin. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Yeni ayarları uygulamak için World Wide Web Yayımlama hizmetini ve Windows İşlem Etkinleştirme Hizmeti'ni (WAS) yeniden başlatın. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:
Restart-Service -Name W3SVC, WAS -Force
Not: Bu hizmetleri yalnızca ayarları geçersiz kılma cmdlet'inin çalıştırıldığı Exchange sunucusunda yeniden başlatın.
Exchange karma dağıtımınız varsa (hem şirket içi hem de Exchange Online posta kutuları)
Azure Rights Management Service Connector (Azure RMS) ile birlikte Exchange Server kullanan kuruluşlar, en az Ocak 2024'e kadar Exchange Online'da AES256-CBC modu güncelleştirmesini otomatik olarak geri çevirecektir. Ancak, Exchange Online e-posta iletilerini ve eklerini şifrelemek için daha güvenli AES-256 CBC modunu kullanmak ve Exchange Server bu tür e-posta iletilerinin ve eklerin şifresini çözmek istiyorsanız, Exchange Server dağıtımınızda gerekli değişiklikleri yapmak için bu adımları tamamlayın.
Gerekli adımları tamamladıktan sonra bir destek olayı açın ve AES256-CBC modunu etkinleştirmek için Exchange Online ayarının güncelleştirilmasını isteyin.
Exchange Server ile Microsoft 365 Uygulamaları kullanıyorsanız
Varsayılan olarak, Microsoft Outlook, Microsoft Word, Microsoft Excel ve Microsoft PowerPoint gibi tüm M365 uygulamalarınız Ağustos 2023'te başlayarak AES256-CBC modu şifrelemesini kullanır.
Önemli: Kuruluşunuz Exchange server Ağustos 2023 güvenlik güncelleştirmesini tüm Exchange sunucularına (2019 ve 2016) uygulayamıyorsa veya bağlayıcı yapılandırma değişikliklerini Ağustos 2023'ün sonuna kadar Exchange Server altyapısında güncelleştiremiyorsanız, Microsoft 365 Uygulamaları'nda AES256-CBC değişikliğini geri çevirmeniz gerekir.
Aşağıdaki bölümde, kayıt defteri ayarlarını ve grup ilkesi kullanan kullanıcılar için AES128-ECB'nin nasıl zorlandığı açıklanmaktadır.
Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.altındaki Bilgi Hakları Yönetimi (IRM) için Şifreleme modu ayarını kullanarak Windows için Office ve Microsoft 365 Uygulamaları ECB veya CBC modunu kullanacak şekilde yapılandırabilirsiniz Varsayılan olarak, CBC modu Microsoft 365 Uygulamaları 16.0.16327 sürümünden itibaren kullanılır.
Örneğin, Windows istemcileri için CBC modunu zorlamak için grup ilkesi ayarını aşağıdaki gibi ayarlayın:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Office Mac istemcilerin ayarlarını yapılandırmak için bkz. Office Mac için paket genelinde tercihleri ayarlama.
Daha fazla bilgi için şifreleme hakkında teknik başvuru ayrıntıları'nın "Microsoft 365 için AES256-CBC desteği" bölümüne bakın.
Bilinen sorunlar
-
RMS SDK'sınınyüklü olduğu Exchange sunucularını güncelleştirmeye çalıştığınızda Ağustos 2023 SU yüklenmiyor. RMS SDK'sını Exchange Server yüklü olduğu bilgisayara yüklememenizi öneririz.
-
Exchange Server 2019 ve Exchange Server 2016'da Exchange Server 2013 ile birlikte bulunan bir ortamda AES256-CBC modu desteği etkinleştirilirse Email teslim ve günlük kaydı aralıklı olarak başarısız olur. Exchange Server 2013 destek dışıdır. Bu nedenle, tüm sunucularınızı Exchange Server 2019 veya Exchange Server 2016'ya yükseltmeniz gerekir.
CBC şifrelemesi doğru yapılandırılmadıysa veya güncelleştirilmediyse belirtiler
TransportDecryptionSetting Set-IRMConfigurationiçinde zorunlu ("isteğe bağlı" olarak ayarlanırsa ve Exchange sunucuları ve istemcileri güncelleştirilmezse, AES256-CBC kullanılarak şifrelenen iletiler Teslim Dışı Raporlar (NDR) ve aşağıdaki hata iletisi oluşturabilir:
Uzak Sunucu '550 5.7.157 RmsDecryptAgent döndürdü; Microsoft Exchange Aktarım, RMS'nin iletinin şifresini çözemez.
Bu ayar, sunucular güncelleştirilmezse şifreleme, günlük kaydı ve eBulma için aktarım kurallarını etkileyen sorunlara da neden olabilir.
