从 2023 年 8 月的 Microsoft Exchange Server 安全更新开始,在密码块链接模式下的 AES256 (AES256-CBC) 将成为所有使用 Microsoft Purview 信息保护 的应用程序的默认加密模式。 有关详细信息,请参阅 Microsoft Purview 信息保护 中的加密算法更改。
如果你使用的是 Exchange Server 并具有混合 Exchange 部署,或者使用的是 Microsoft 365 应用版本文档将帮助你为更改做好准备,以便不会发生中断。
2023 年 8 月安全更新中引入的更改 (SU) 有助于解密 AES256-CBC 加密的电子邮件和附件。 2023 年 10 月 SU 添加了在 AES256-CBC 模式下加密电子邮件的支持。
如何在 Exchange Server 中实现 AES256-CBC 模式更改
如果在 Exchange Server 中使用信息权限管理 (IRM) 功能,以及 Active Directory Rights Management Services (AD RMS) 或 Azure RMS (AzRMS) ,则必须更新 Exchange Server 2019 和 Exchange Server2016 服务器到 2023 年 8 月安全更新,并在 2023 年 8 月底之前完成以下部分所述的其他步骤。 如果不在 8 月底之前将 Exchange 服务器更新到 2023 年 8 月 SU,搜索和日记功能将受到影响。
如果你的组织需要额外的时间来更新 Exchange 服务器,请阅读本文的其余部分,了解如何缓解更改的影响。
在 Exchange Server 中启用对 AES256-CBC 加密模式的支持
适用于 Exchange Server 的 2023 年 8 月 SU 支持对 AES256-CBC 模式加密的电子邮件和附件进行解密。 若要启用此支持,请执行以下步骤:
-
在所有 Exchange 2019 和 2016 服务器上安装 2023 年 8 月 SU。
-
在所有 Exchange 2019 和 2016 服务器上运行以下 cmdlet。
注意: 在继续执行步骤 3 之前,请在环境中的所有 Exchange 2019 和 2016 服务器上完成步骤 2。
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
注意: -AclObject $acl键在安装 8 月 SU 期间添加到注册表。
-
如果使用 AzRMS,则必须在所有 Exchange 服务器上更新 AzRMS 连接器。 运行更新的 GenConnectorConfig.ps1 脚本以生成为 2023 年 8 月 SU 及更高版本的 Exchange Server AES256-CBC 模式支持引入的注册表项。 从 Microsoft 下载中心下载最新的 GenConnectorConfig.ps1 脚本。
有关如何将 Exchange 服务器配置为使用连接器的详细信息,请参阅为 Microsoft Rights Management 连接器配置服务器。本文讨论 2019 Exchange Server 2019 和 Exchange Server 2016 的特定配置更改。
有关如何为 Rights Management 连接器配置服务器的详细信息,包括如何运行它以及如何部署设置,请参阅 Rights Management 连接器的注册表设置。 -
如果已安装 2023 年 8 月 SU,则仅支持解密 Exchange Server 中的 AES-256 CBC 加密电子邮件和附件。 若要启用此支持,请运行以下设置替代:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
除了在 2023 年 8 月 SU 中所做的更改外,2023 年 10 月 SU 还添加了对 AES256-CBC 模式下的电子邮件和附件加密的支持。 如果已安装 2023 年 10 月 SU,请运行以下设置替代:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
刷新 VariantConfiguration 参数。 为此,请运行以下 cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
要应用新设置,请重启万维网发布服务和 Windows 进程激活服务 (WAS)。 若要执行此操作,请运行以下cmdlet:
Restart-Service -Name W3SVC, WAS -Force
注意: 仅在运行设置替代 cmdlet 的 Exchange 服务器上重启这些服务。
如果 Exchange 混合部署 (本地和 Exchange Online)
将 Exchange Server 与 Azure Rights Management Service Connector (Azure RMS) 结合使用的组织将在 Exchange Online 自动选择退出 AES256-CBC 模式更新,至少在 2024 年 1 月之前。 但是,如果要使用更安全的 AES-256 CBC 模式来加密Exchange Online中的电子邮件和附件,并在 Exchange Server 中解密此类电子邮件和附件,请完成这些步骤以对Exchange Server部署进行必要的更改。
完成所需步骤后,打开支持案例,然后请求更新Exchange Online设置以启用 AES256-CBC 模式。
如果将 Microsoft 365 应用版 与 Exchange Server
默认情况下,所有 M365 应用程序(如 Microsoft Outlook、Microsoft Word、Microsoft Excel 和 Microsoft PowerPoint)将从 2023 年 8 月开始使用 AES256-CBC 模式加密。
重要: 如果你的组织无法在 2019 和 2016 () 的所有 Exchange 服务器上应用 Exchange server 2023 年 8 月安全更新,或者如果你无法在 2023 年 8 月底之前跨 Exchange Server 基础结构更新连接器配置更改,则必须在 Microsoft 365 应用程序上选择退出 AES256-CBC 更改。
以下部分介绍如何为使用注册表设置和组策略的用户强制使用 AES128-ECB。
可以使用“信息权限管理 (IRM) 加密模式”设置,将 Office 和 Microsoft 365 应用版 for Windows 配置为使用 ECB 或 CBC 模式Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. 默认情况下,从 Microsoft 365 应用版 版本 16.0.16327 开始使用 CBC 模式。
例如,若要强制使用 Windows 客户端的 CBC 模式,请设置组策略设置,如下所示:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
若要配置Office for Mac客户端的设置,请参阅为Office for Mac设置套件范围的首选项。
有关详细信息,请参阅有关加密的技术参考详细信息的“Microsoft 365 的 AES256-CBC 支持”部分。
已知问题
-
尝试更新安装了 RMS SDK的 Exchange 服务器时,不会安装 2023 年 8 月 SU。 建议不要在安装Exchange Server的同一台计算机上安装 RMS SDK。
-
如果在与 Exchange Server 2013 共存的环境中在 Exchange Server 2019 和 2016 Exchange Server 2016 中启用 AES256-CBC 模式支持,则Email传送和日记传送会间歇性失败。 Exchange Server 2013 不受支持。 因此,应将所有服务器升级到 Exchange Server 2019 或 Exchange Server 2016。
CBC 加密配置不正确或未更新时出现症状
如果 TransportDecryptionSetting 设置为强制 (“可选”是 Set-IRMConfiguration中的默认) ,并且 Exchange 服务器和客户端未更新,则使用 AES256-CBC 加密的邮件可能会生成未送达报告 (NDR) 和以下错误消息:
远程服务器返回了 '550 5.7.157 RmsDecryptAgent;Microsoft Exchange Transport 无法对邮件进行 RMS 解密。
如果未更新服务器,此设置还可能导致影响加密、日记和电子数据展示的传输规则的问题。
