Bắt đầu từ bản cập nhật bảo mật tháng 8 năm 2023 cho Microsoft Exchange Server, AES256 trong chế độ Chuỗi Khối Mật mã (AES256-CBC) sẽ là chế độ mã hóa mặc định trên tất cả các ứng dụng sử dụng Bảo vệ thông tin của Microsoft Purview. Để biết thêm thông tin, hãy xem Các thay đổi về thuật toán mã hóa Bảo vệ thông tin của Microsoft Purview.
Nếu bạn đang sử dụng Exchange Server và có triển khai Exchange kết hợp hoặc bạn đang sử dụng Ứng dụng Microsoft 365 tài liệu này sẽ giúp bạn chuẩn bị cho thay đổi để không có sự gián đoạn.
Những thay đổi đã được giới thiệu trong bản cập nhật bảo mật (SU) tháng 8 năm 2023 sẽ giúp giải mã thư email và tệp đính kèm được mã hóa AES256-CBC. Hỗ trợ mã hóa thư email trong chế độ AES256-CBC đã được thêm vào SU tháng 10 năm 2023.
Cách thực hiện thay đổi chế độ AES256-CBC trong Exchange Server
Nếu bạn đang sử dụng các tính năng Quản trị Quyền Thông tin (IRM) trong Exchange Server cùng với Active Directory Rights Management Services (AD RMS) hoặc Azure RMS (AzRMS), bạn phải cập nhật bản cập nhật Exchange Server 2019 và Exchange Server Máy chủ năm 2016 sử dụng Bản cập nhật Bảo mật tháng 8 năm 2023 và hoàn thành các bước bổ sung được mô tả trong các mục sau vào cuối tháng 8 năm 2023. Chức năng tìm kiếm và ghi nhật ký sẽ bị ảnh hưởng nếu bạn không cập nhật máy chủ Exchange của mình lên tháng 8 năm 2023 SU trước cuối tháng 8.
Nếu tổ chức của bạn cần thêm thời gian để cập nhật máy chủ Exchange của bạn, hãy đọc qua phần còn lại của bài viết để tìm hiểu cách giảm thiểu ảnh hưởng của các thay đổi.
Bật hỗ trợ cho chế độ mã hóa AES256-CBC trong Exchange Server
SU tháng 8 năm 2023 cho Exchange Server hỗ trợ giải mã thư email và tệp đính kèm được mã hóa bằng chế độ AES256-CBC. Để bật hỗ trợ này, hãy làm theo các bước sau:
-
Cài đặt SU tháng 8 năm 2023 trên tất cả các máy chủ Exchange 2019 và 2016 của bạn.
-
Chạy lệnh ghép ngắn sau đây trên tất cả các máy chủ Exchange 2019 và 2016.
Lưu ý: Hoàn thành bước 2 trên tất cả các máy chủ Exchange 2019 và 2016 trong môi trường của bạn trước khi tiếp tục bước 3.
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
Lưu ý: Khóa -AclObject $acl được thêm vào sổ đăng ký trong quá trình cài đặt SU tháng 8.
-
Nếu bạn đang sử dụng AzRMS, Trình kết nối AzRMS phải được cập nhật trên tất cả các máy chủ Exchange. Chạy tập lệnh GenConnectorConfig.ps1 cập nhật để tạo khóa đăng ký được giới thiệu cho hỗ trợ chế độ AES256-CBC trong phiên bản EXCHANGE SERVER tháng 8 năm 2023 SU và các phiên bản Exchange mới hơn. Tải xuống tập lệnh GenConnectorConfig.ps1 nhất từ Trung tâm Tải xuống của Microsoft.
Để biết thêm thông tin về cách đặt cấu hình máy chủ Exchange để sử dụng bộ nối, hãy xem Cấu hình máy chủ cho bộ nối Microsoft Rights Management.Bài viết thảo luận về các thay đổi cấu hình cụ thể Exchange Server năm 2019 Exchange Server 2016.
Để biết thêm thông tin về cách cấu hình máy chủ cho bộ nối Rights Management, bao gồm cách chạy bộ nối và cách triển khai thiết đặt, hãy xem Thiết đặt sổ đăng ký cho Trình kết nối Quản lý Quyền. -
Nếu bạn đã cài đặt SU tháng 8 năm 2023, sẽ chỉ hỗ trợ giải mã thư email và tệp đính kèm được mã hóa AES-256 CBC trong Exchange Server. Để bật hỗ trợ này, hãy chạy thay thế thiết đặt sau:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
Ngoài những thay đổi đã được thực hiện trong SU tháng 8 năm 2023, SU tháng 10 năm 2023 bổ sung hỗ trợ mã hóa thư email và tệp đính kèm trong chế độ AES256-CBC. Nếu bạn đã cài đặt SU tháng 10 năm 2023, hãy chạy cài đặt sau sẽ ghi đè:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
Làm mới đối số VariantConfiguration. Để thực hiện điều này, hãy chạy lệnh ghép ngắn sau:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Để áp dụng cài đặt mới, hãy khởi động lại dịch vụ Phát hành Web Toàn cầu và Dịch vụ Kích hoạt Quy trình Windows (WAS). Để thực hiện điều này, hãy chạy lệnh ghép ngắn sau:
Restart-Service -Name W3SVC, WAS -Force
Lưu ý: Khởi động lại các dịch vụ này chỉ trên máy chủ Exchange mà thiết đặt ghi đè lên lệnh ghép ngắn đang chạy.
Nếu bạn có phương thức triển khai kết hợp Exchange (hộp thư trong cả hai thiết bị tại chỗ Exchange Online)
Các tổ chức sử dụng Exchange Server cùng với Azure Rights Management Service Connector (Azure RMS) sẽ tự động chọn không nhận bản cập nhật chế độ AES256-CBC trong Exchange Online cho đến ít nhất tháng 1 năm 2024. Tuy nhiên, nếu bạn muốn sử dụng chế độ AES-256 CBC bảo mật hơn để mã hóa thư email và tệp đính kèm trong Exchange Online và giải mã các thư email và tệp đính kèm đó trong Exchange Server, hãy hoàn thành các bước sau để thực hiện các thay đổi cần thiết cho triển khai Exchange Server của bạn.
Sau khi bạn hoàn thành các bước bắt buộc, hãy mở một trường hợp hỗ trợ, sau đó yêu cầu cài đặt Exchange Online được cập nhật để bật chế độ AES256-CBC.
Nếu bạn đang sử dụng Ứng dụng Microsoft 365 với Exchange Server
Theo mặc định, tất cả các ứng dụng M365 của bạn, chẳng hạn như Microsoft Outlook, Microsoft Word, Microsoft Excel và Microsoft PowerPoint, sẽ sử dụng mã hóa chế độ AES256-CBC bắt đầu từ tháng 8 năm 2023.
Quan trọng: Nếu tổ chức của bạn không thể áp dụng bản cập nhật bảo mật Máy chủ Exchange tháng 8 năm 2023 trên tất cả các máy chủ Exchange (2019 và 2016) hoặc nếu bạn không thể cập nhật thay đổi cấu hình bộ nối trên cơ sở hạ tầng Exchange Server vào cuối tháng 8 năm 2023, bạn phải chọn không tham gia thay đổi AES256-CBC trên Ứng dụng Microsoft 365.
Phần sau đây mô tả cách bắt buộc AES128-ECB cho người dùng sử dụng cài đặt sổ đăng ký chính sách nhóm.
Bạn có thể đặt cấu hình Office và Ứng dụng Microsoft 365 cho Windows để sử dụng chế độ ECB hoặc CBC bằng cách sử dụng chế độ Mã hóa dành cho Quản trị Quyền Thông tin (IRM) trongConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Theo mặc định, chế độ CBC được sử dụng bắt đầu trong phiên bản 16.0.16327 của Ứng dụng Microsoft 365.
Ví dụ: để bắt buộc chế độ CBC cho máy khách Windows, hãy đặt cài đặt chính sách nhóm như sau:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Để đặt cấu hình cài đặt cho máy khách Office cho Mac, hãy xem mục Đặt tùy chọn trên toàn bộ ứng dụng cho Office for Mac.
Để biết thêm thông tin, hãy xem mục "Hỗ trợ AES256-CBC cho Microsoft 365" trong Chi tiết tham khảo kỹ thuật về mã hóa.
Sự cố đã biết
-
SU tháng 8 năm 2023 không cài đặt khi bạn cố gắng cập nhật máy chủ Exchange mà trên đó SDK RMSđược cài đặt. Chúng tôi khuyên bạn không nên cài đặt RMS SDK trên cùng một máy tính mà Exchange Server được cài đặt.
-
Chuyển phát email và ghi nhật ký thỉnh thoảng không thành công nếu hỗ trợ chế độ AES256-CBC được bật trong Exchange Server 2019 và Exchange Server 2016 trong môi trường cùng tồn tại với Exchange Server 2013. Exchange Server 2013 không được hỗ trợ. Do đó, bạn nên nâng cấp tất cả các máy chủ Exchange Server 2019 Exchange Server 2016.
Các dấu hiệu nếu mã hóa CBC không được đặt cấu hình đúng cách hoặc không được cập nhật
Nếu TransportDecryptionSetting được đặt là bắt buộc ("tùy chọn" là mặc định) trong Set-IRMConfigurationvà các máy chủ và máy khách Exchange không được cập nhật thì các thư được mã hóa bằng cách sử dụng AES256-CBC có thể tạo ra Báo cáo Không Chuyển phát (NDR) và thông báo lỗi sau:
Remote Server trả về '550 5.7.157 RmsDecryptAgent; Microsoft Exchange Transport không thể giải mã thư.
Cài đặt này cũng có thể gây ra các sự cố ảnh hưởng đến quy tắc truyền dẫn mã hóa, ghi nhật ký và Khám phá Điện tử nếu máy chủ không được cập nhật.
