自 2023 年 8 月 Microsoft Exchange Server 版安全性更新開始,AES256 in Cipher Block Chaining mode (AES256-CBC) 會是所有使用 Microsoft Purview 資訊保護 應用程式的預設加密模式。 如需詳細資訊,請參閱加密演算法在 Microsoft Purview 資訊保護 中的變更。
如果您使用的是 Exchange Server 且有混合式 Exchange 部署,或是您使用的是Microsoft 365 Apps這份檔將協助您準備進行變更,避免任何干擾。
2023 年 8 月安全性更新 (SU) 協助解密 AES256-CBC 加密的電子郵件訊息和附件。 2023 年 10 月 SU 已新增在 AES256-CBC 模式中加密電子郵件訊息的支援。
如何在 Exchange Server 中實作 AES256-CBC 模式變更
如果您將 Exchange Server 中的資訊版權管理 (IRM) 功能與 AD RMS) (Active Directory Rights Management Services 或 Azure RMS (AzRMS) 搭配使用,則必須更新 Exchange Server 2019 和 Exchange Server2016 伺服器至 2023 年 8 月安全性更新,並于 2023 年 8 月底前完成下列各節所述的其他步驟。 如果您在 8 月底之前不將 Exchange 伺服器更新至 2023 年 8 月 SU,搜尋和日誌功能將會受到影響。
如果貴組織需要額外的時間來更新您的 Exchange 伺服器,請閱讀本文的其餘部分,瞭解如何減輕變更的影響。
在 Exchange Server 中啟用 AES256-CBC 加密模式的支援
2023 年 8 月適用于 Exchange Server 的 SU 支援解密 AES256-CBC 模式加密的電子郵件訊息和附件。 若要啟用這項支援,請遵循下列步驟:
-
在所有 Exchange 2019 和 2016 伺服器上安裝 2023 年 8 月 SU。
-
在所有 Exchange 2019 和 2016 伺服器上執行下列 Cmdlet。
附註: 在您繼續執行步驟 3 之前,先完成環境中所有 Exchange 2019 和 2016 伺服器的步驟 2。
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
附註: -AclObject $acl鍵會在安裝 8 月 SU 時新增至登錄。
-
如果您使用的是 AzRMS,則必須在所有 Exchange 伺服器上更新 AzRMS 連接器。 執行更新 GenConnectorConfig.ps1 腳本,以產生在 2023 年 8 月 SU 和更新版本 Exchange Exchange Server 中針對 AES256-CBC 模式支援導入的登錄機碼。 從Microsoft 下載中心下載最新的 GenConnectorConfig.ps1 腳本。
如需如何設定 Exchange 伺服器以使用連接器的詳細資訊,請參閱設定 Microsoft Rights Management 連接器的伺服器。本文探討 Exchange Server 2019 和 Exchange Server 2016 的特定設定變更。
如需如何為版權管理連接器設定伺服器的詳細資訊,包括如何執行它以及如何部署設定,請參閱 版權管理連接器的登錄設定。 -
如果您已安裝 2023 年 8 月 SU,則僅支援在 Exchange Server 中解密 AES-256 CBC 加密的電子郵件訊息和附件。 若要啟用此支援,請執行下列設定覆寫:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
除了 2023 年 8 月 SU 所做的變更之外,2023 年 10 月 SU 會新增在 AES256-CBC 模式中加密電子郵件訊息和附件的支援。 如果您已安裝 2023 年 10 月 SU,請執行下列設定覆寫:
New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC -
重新整理 VariantConfiguration 引數。 若要這麼做,請執行下列 Cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
若要套用新的設定,請重新啟動 World Wide Web Publishing 服務及 Windows Process Activation Service (WAS)。 若要這麼做,請執行下列 Cmdlet:
Restart-Service -Name W3SVC, WAS -Force
附註: 只在執行設定覆寫 Cmdlet 的 Exchange 伺服器上重新開機這些服務。
如果您在內部部署和Exchange Online) 都有 Exchange 混合式部署 (信箱
搭配 Azure 版權管理服務連接器 (Azure RMS) 一起使用Exchange Server的組織,將會在 Exchange Online 中自動退出宣告 AES256-CBC 模式更新,直到 2024 年 1 月為止。 不過,如果您想要使用更安全的 AES-256 CBC 模式來加密 Exchange Online 中的電子郵件訊息和附件,並在 Exchange Server 中解密這類電子郵件訊息和附件,請完成這些步驟,對您的Exchange Server部署進行必要的變更。
完成必要步驟之後,開啟支援案例,然後要求更新Exchange Online設定以啟用 AES256-CBC 模式。
如果您將 Microsoft 365 Apps 與 Exchange Server 搭配使用
根據預設,從 2023 年 8 月開始,您所有的 M365 應用程式,例如 Microsoft Outlook、Microsoft Word、Microsoft Excel 和 Microsoft PowerPoint,都會使用 AES256-CBC 模式加密。
重要: 如果貴組織無法在 2019 年 8 月與 2016) 的所有 Exchange 伺服器上套用 Exchange server 2023 年 8 月的安全性更新 (,或是您無法在 2023 年 8 月底之前更新Exchange Server基礎結構上的連接器設定變更,則必須在 Microsoft 365 應用程式上退出宣告 AES256-CBC 變更。
下節說明如何針對使用登錄設定和群組原則的使用者強制使用 AES128-}。
您可以使用Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.下的資訊版權管理 (IRM) 設定加密模式,設定 Windows 版 Office 和 Microsoft 365 Apps 使用一或多變數模式 根據預設,從 Microsoft 365 Apps 版本 16.0.16327 開始使用 CBC 模式。
例如,若要強制 Windows 用戶端使用 CBC 模式,請將群組原則設定設為:
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
若要設定Mac 版 Office用戶端的設定,請參閱為Mac 版 Office設定整個套件的喜好設定。
For more information, see the "AES256-CBC support for Microsoft 365" section of Technical reference details about encryption.
已知問題
CBC 加密未正確設定或未更新時出現的問題
如果 TransportDecryptionSetting 設為強制性 (「選擇性」是 Set-IRMConfiguration內的預設) ,且 Exchange 伺服器和用戶端並未更新,則使用 AES256-CBC 加密的郵件可能會產生非傳遞報告 (NDR) ,並出現下列錯誤訊息:
Remote Server 傳回 '550 5.7.157 RmsDecryptAgent;Microsoft Exchange Transport 無法 RMS 解密郵件。
如果伺服器未更新,此設定也可能會造成影響加密、日誌和 eDiscovery 傳輸規則的問題。