Haberler

Exchange Server Ağustos 2023 SU’da AES256-CBC ile Şifrelenmiş İçerik Desteğini Etkinleştirme

Microsoft Exchange Server için Ağustos 2023 güvenlik güncelleştirmesinde başlayarak Şifreleme Blok Zincirleme modunda (AES256-CBC) AES256, Microsoft Purview Bilgi Koruması kullanan tüm uygulamalarda varsayılan şifreleme modu olacak şekilde yeniden yapılandırıldı. Daha fazla bilgi için bkz. Microsoft Purview Bilgi Koruması’de şifreleme algoritması değişiklikleri.

Exchange Server kullanıyorsanız ve Hybrid Exchange dağıtımınız varsa veya Microsoft 365 Uygulamaları kullanıyorsanız, bu belge değişiklik için hazırlanmanıza yardımcı olabilir

Bu güvenlik güncelleştirmesinde (SU) sunulan değişiklikler, AES256-CBC ile şifrelenmiş e-posta iletilerinin ve eklerinin şifresini çözmeye yardımcı olur. Exchange Server henüz AES256-CBC modunda e-posta iletilerini şifrelemeyi desteklemez, ancak bu destek gelecek sürümlerde eklenecektir. 

Exchange Server’da AES256-CBC modu değişikliğini uygulama

Exchange Server’daki Bilgi Hakları Yönetimi (IRM) özelliklerini Active Directory Rights Management Services (AD RMS) veya Azure RMS (AzRMS) ile birlikte kullanıyorsanız, Exchange Server 2019 ve Exchange Server Ağustos 2023 Güvenlik Güncelleştirmesi’ne 2016 sunucuları ve Ağustos 2023 sonuna kadar aşağıdaki bölümlerde açıklanan ek adımları tamamlamanız gerekmektedir. Exchange sunucularınızı Ağustos ayı sonuna kadar Ağustos 2023 SU’ya güncelleştirmezseniz, bu arama ve günlük oluşturma işlevini etkileyebilir veya kesintiler meydana gelebilir.

Exchange Server’de AES256-CBC şifreleme modu desteğini etkinleştirme 

Exchange Server için Ağustos 2023 SU, AES256-CBC moduyla şifrelenmiş e-posta iletilerinin ve eklerinin şifresini çözmeyi desteklemektedir. Bu desteği etkinleştirmek için şu adımları izleyebilirsiniz; 

  1. Ağustos 2023 SU’sini tüm Exchange 2019 ve 2016 sunucularınıza yükleyin.
  2. Tüm Exchange 2019 ve 2016 sunucularında aşağıdaki cmdlet’leri çalıştırın: $acl = Get-Acl -Path “HKLM:\SOFTWARE\Microsoft\MSIPC\Server” $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier(“S-1-5-20”)), 983103, 3, 0, 0)$acl.SetAccessRule($rule) Set-Acl -Path “HKLM:\SOFTWARE\Microsoft\MSIPC\Server” -AclObject $acl 
  3. AzRMS kullanıyorsanız, AzRMS Bağlayıcısı tüm Exchange sunucularında güncelleştirilmelidir. Exchange Server Ağustos 2023 SU ve sonraki Exchange sürümlerinde AES256-CBC modu desteği için sunulan kayıt defteri anahtarlarını oluşturmak için güncelleştirilmiş GenConnectorConfig.ps1 betiğini çalıştırın. Microsoft İndirme Merkezi’nden en son GenConnectorConfig.ps1 betiğini indirebilirsiniz.

    Rights Management bağlayıcısı için sunucuları yapılandırma hakkında daha fazla bilgi için, bunun nasıl çalıştırılacağı ve ayarların nasıl dağıtılacağı da dahil olmak üzere, bkz . Rights Management Bağlayıcısı için kayıt defteri ayarları. Not: En son GenConnectorConfig.ps1 betiği ve ilgili kayıt defteri ayarları 14 Ağustos 2023’den sonra güncelleştirilecektir.
  4. Aşağıdaki ayarı geçersiz kılarak AES-256 CBC moduyla şifrelenmiş e-posta iletilerinin ve eklerinin Exchange Server şifre çözme desteğini etkinleştirin:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” .

Exchange Hybrid Dağıtımınız varsa (hem şirket içi hem de Exchange Online posta kutuları) 

Azure Rights Management Service Connector (Azure RMS) ile birlikte Exchange Server kullanan kuruluşlar, en az Ocak 2024’e kadar Exchange Online’da AES256-CBC modu güncelleştirmesini otomatik olarak geri çevirmeye başlayacaktır. Ancak, Exchange Online e-posta iletilerini ve eklerini şifrelemek ve Exchange Server bu tür e-posta iletilerinin ve eklerin şifresini çözmek için daha güvenli AES-256 CBC modunu kullanmak istiyorsanız, Exchange Server dağıtımınızda gerekli değişiklikleri yapmak için bu adımları tamamlanması gerekmektedir.  

Gerekli adımları tamamladıktan sonra bir destek olayı açın ve AES256-CBC modunu etkinleştirmek için Exchange Online ayarının güncelleştirilmasını isteyin.  

Exchange Server ile Microsoft 365 Uygulamaları kullanıyorsanız 

Varsayılan olarak, Microsoft Outlook, Microsoft Word, Microsoft Excel ve Microsoft PowerPoint gibi tüm M365 uygulamalarınız Ağustos 2023’te başlayarak AES256-CBC modu şifrelemesini kullanır. 

Önemli: Kuruluşunuz Exchange server Ağustos 2023 güvenlik güncelleştirmesini tüm Exchange sunucularına (2019 ve 2016) uygulayamıyorsa veya bağlayıcı yapılandırma değişikliklerini Ağustos 2023’ün sonuna kadar Exchange Server altyapısında güncelleştiremiyorsanız, Microsoft 365 Uygulamaları’nda AES256-CBC değişikliğini geri çevirmeniz gerekir.  

Aşağıdaki bölümde, kayıt defteri ayarlarını ve grup ilkesi kullanan kullanıcılar için AES128-ECB’nin nasıl zorlandığı açıklanmaktadır.

Configuration/Administrative Templates/Microsoft Office 2016/Security Settings altındaki Bilgi Hakları Yönetimi (IRM) için Şifreleme modu ayarını kullanarak Windows için Office ve Microsoft 365 Uygulamaları ECB veya CBC modunu kullanacak şekilde yapılandırabilirsiniz Varsayılan olarak, CBC modu Microsoft 365 Uygulamaları 16.0.16327 sürümünden itibaren kullanılır. 

Örneğin, Windows istemcileri için CBC modunu zorlamak için grup ilkesi ayarını aşağıdaki gibi ayarlayın: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Office Mac istemcilerin ayarlarını yapılandırmak için bkz. Office Mac için paket genelinde tercihleri ayarlama.

Daha fazla bilgi için şifreleme hakkında teknik başvuru ayrıntıları’nın “Microsoft 365 için AES256-CBC desteği” bölümüne bakın.

Bilinen sorunlar 

  • Ağustos 2023 SU, RMS SDK’nın yüklü olduğu Exchange Sunucuları’na düzeltme eki uygulamaya çalışırken yüklenemiyor. RMS SDK’nın Exchange Server aynı makineye yüklenmesi önerilmez. 
  • AES256-CBC modu desteği Exchange Server 2019 ve Exchange Server 2016 sürümleri Exchange Server 2013 sunucularıyla bir arada bulunan bir ortamda etkinleştirilirse Email teslim ve günlük kaydı aralıklı olarak başarısız olur. Exchange Server 2013 destek dışıdır. Bu nedenle, tüm sunucularınızı Exchange Server 2019 veya Exchange Server 2016’ya yükseltmeniz gerekir.

CBC şifrelemesi doğru yapılandırılmadıysa veya güncelleştirilmediyse belirtiler

TransportDecryptionSetting Set-IRMConfigurationiçinde zorunlu (“isteğe bağlı” olarak ayarlanırsa ve Exchange sunucuları ve istemcileri güncelleştirilmezse, AES256-CBC kullanılarak şifrelenen iletiler Teslim Dışı Raporlar (NDR) ve aşağıdaki hata iletisi oluşturabilir:

Uzak Sunucu ‘550 5.7.157 RmsDecryptAgent döndürdü; Microsoft Exchange Aktarım, RMS’nin iletinin şifresini çözemez.

Bu ayar, sunucular güncelleştirilmezse şifreleme, günlük kaydı ve eBulma için aktarım kurallarını etkileyen sorunlara da neden olabilir. 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu