Applies ToExchange Server 2019 Exchange Server 2016

Починаючи з оновлення системи безпеки за серпень 2023 р. для Microsoft Exchange Server, AES256 у режимі ланцюгування блоків шифрів (AES256-CBC) буде стандартним режимом шифрування в усіх програмах, які використовують Захист даних у Microsoft Purview. Докладні відомості див. в статті Зміни алгоритму шифрування в Захист даних у Microsoft Purview.

Якщо використовується Exchange Server і гібридне розгортання Exchange, або ви використовуєте Програми Microsoft 365 цей документ допоможе підготуватися до змін, щоб не було переривання. 

Зміни, внесені в оновленні системи безпеки (SU) за серпень 2023 року, допомагають розшифрувати зашифровані повідомлення електронної пошти та вкладення AES256-CBC. Підтримка шифрування повідомлень електронної пошти в режимі AES256-CBC була додана в жовтні 2023 SU.

Як реалізувати зміну режиму AES256-CBC в Exchange Server

Якщо ви використовуєте функції керування правами доступу до інформації (IRM) у Exchange Server разом зі службами керування правами Active Directory (AD RMS) або Azure RMS (AzRMS), потрібно оновити Exchange Server 2019 і Exchange Server Сервери 2016 року до оновлення системи безпеки за серпень 2023 р. та виконайте додаткові кроки, описані в наведених нижче розділах до кінця серпня 2023 року. Функція пошуку та журналювання буде порушена, якщо ви не оновите сервери Exchange до серпня 2023 SU до кінця серпня.

Якщо в організації потрібен додатковий час для оновлення серверів Exchange, ознайомтеся з рештою статті, щоб дізнатися, як зменшити наслідки змін.

Увімкнути підтримку режиму шифрування AES256-CBC у Exchange Server 

Су серпня 2023 р. для Exchange Server підтримує дешифрування зашифрованих повідомлень електронної пошти та вкладень у режимі AES256-CBC. Щоб увімкнути цю підтримку, виконайте такі дії: 

  1. Інсталюйте СУ за серпень 2023 р. на всіх серверах Exchange 2019 і 2016.

  2. Запустіть наведені нижче командлети на всіх серверах Exchange 2019 і 2016.

    Примітка.: Виконайте крок 2 на всіх серверах Exchange 2019 і 2016 у своєму середовищі, перш ніж перейти до кроку 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Примітка.:  -AclObject $acl ключ додається до реєстру під час інсталяції серпня SU. 

  3. Якщо використовується AzRMS, з'єднувач AzRMS потрібно оновити на всіх серверах Exchange. Запустіть оновлений сценарій GenConnectorConfig.ps1 , щоб створити розділи реєстру, введені для підтримки режиму AES256-CBC в Exchange Server серпня 2023 SU та пізніших версій Exchange. Завантажте останній сценарій GenConnectorConfig.ps1 з Центру завантажень Microsoft.

    Докладні відомості про настроювання серверів Exchange для використання з'єднувача див. в статті Настроювання серверів для з'єднувача керування правами Microsoft.У статті описано конкретні зміни конфігурації для Exchange Server 2019 і Exchange Server 2016. Докладні відомості про настроювання серверів для з'єднувача керування правами, зокрема про запуск і розгортання параметрів див. в статті Параметри реєстру для з'єднувача керування правами.

  4. Якщо на комп'ютері інстальовано су серпня 2023 р., підтримується лише розшифрування зашифрованих повідомлень електронної пошти та вкладень AES-256 CBC в Exchange Server. Щоб увімкнути цю підтримку, виконайте таке перевизначення параметра:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” На додаток до змін, внесених у серпні 2023 SU, СУ за жовтень 2023 року додає підтримку для шифрування повідомлень електронної пошти та вкладень у режимі AES256-CBC. Якщо на комп'ютері інстальовано су за жовтень 2023 р., виконайте такі зміни:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Оновіть аргумент VariantConfiguration. Для цього запустіть такий командлет:Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Щоб застосувати нові параметри, перезапустіть службу публікацій в Інтернеті та службу активації процесів Windows (WAS). Для цього запустіть такий командлет:Restart-Service -Name W3SVC, WAS -Force

Примітка.: Перезапустіть ці служби лише на сервері Exchange, на якому параметри перевизначають командлет.

Якщо використовується гібридне розгортання Exchange (поштові скриньки як локальні, так і Exchange Online) 

Організації, які використовують Exchange Server разом зі з'єднувачем служби Azure Rights Management (Azure RMS), автоматично вийдуть з оновлення режиму AES256-CBC в Exchange Online щонайменше до січня 2024 року. Однак якщо ви хочете використовувати безпечніший режим AES-256 CBC для шифрування повідомлень електронної пошти та вкладень у Exchange Online, а також дешифрувати такі повідомлення електронної пошти та вкладення в Exchange Server, виконайте ці кроки, щоб внести необхідні зміни до розгортання Exchange Server.  

Виконавши необхідні дії, відкрийте інцидент підтримки, а потім надішліть запит на оновлення параметра Exchange Online, щоб увімкнути режим AES256-CBC.  

Якщо ви використовуєте Програми Microsoft 365 з Exchange Server 

За замовчуванням усі програми M365, як-от Microsoft Outlook, Microsoft Word, Microsoft Excel і Microsoft PowerPoint, використовуватимуть шифрування режиму AES256-CBC, починаючи з серпня 2023 року. 

Увага!: Якщо в організації не вдається застосувати оновлення системи безпеки Exchange Server за серпень 2023 р. на всіх серверах Exchange (2019 і 2016), або якщо не вдається оновити зміни конфігурації з'єднувача в інфраструктурі Exchange Server до кінця серпня 2023 року, потрібно відмовитися від зміни AES256-CBC в програмах Microsoft 365.  

У наступному розділі описано, як змусити AES128-ЄЦБ для користувачів, які використовують параметри реєстру та Групова політика.

Ви можете настроїти Office і Програми Microsoft 365 для Windows на використання режиму ЄЦБ або CBC за допомогою параметра Шифрування для керування правами доступу до інформації (IRM) у розділіConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. За замовчуванням режим CBC використовується, починаючи з версії 16.0.16327 Програми Microsoft 365. 

Наприклад, щоб примусово застосувати режим CBC для клієнтів Windows, установіть параметр Групова політика таким чином: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Відомості про те, як налаштувати параметри для клієнтів Office для Mac, див. в статті Налаштування параметрів пакета Office для Mac.

Докладні відомості про шифрування див. в розділі "Підтримка AES256-CBC для Microsoft 365" технічної довідки.

Відомі проблеми 

  • Су серпня 2023 року не інсталюється під час спроби оновити сервери Exchange, на яких інстальовано пакет SDK RMS. Радимо не інсталювати пакет SDK RMS на тому самому комп'ютері, на якому інстальовано Exchange Server. 

  • Якщо в Exchange Server 2019 і Exchange Server 2016 у середовищі, яке співіснує з Exchange Server 2013, періодично виникає помилка служби доставки електронної пошти та протоколювання електронної пошти, якщо ввімкнуто підтримку режиму AES256-CBC. Exchange Server 2013 року не підтримується. Таким чином, слід оновити всі сервери до Exchange Server 2019 або Exchange Server 2016.

Ознаки, якщо шифрування CBC не настроєно належним чином або не оновлюється

Якщо TransportDecryptionSetting встановлено обов'язковий параметр ("необов'язковий" установлено за замовчуванням) у Set-IRMConfiguration, а сервери й клієнти Exchange не оновлюються, повідомлення, зашифровані за допомогою AES256-CBC, можуть створювати звіти про недоставку (NDR) і таке повідомлення про помилку:

Віддалений сервер повернув "550 5.7.157 RmsDecryptAgent; Засобу транспортування Microsoft Exchange не вдалося розшифрувати повідомлення.

Цей параметр також може спричинити проблеми, які впливають на правила транспортування для шифрування, журналювання та витребування електронної інформації, якщо сервери не оновлюються. 

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.