Технические сведения о шифровании

  • Статья

Сведения о сертификатах, технологиях и наборах шифров TLS, используемых для шифрования в Microsoft 365, см. в этой статье. В этой статье также приводятся сведения о запланированных устареваниях.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Владение и управление сертификатами Microsoft Office 365

Вам не нужно приобретать или поддерживать сертификаты для Office 365. Вместо этого Office 365 использует собственные сертификаты.

Текущие стандарты шифрования и запланированные устаревания

Чтобы обеспечить лучшее в своем классе шифрование, Office 365 регулярно проверяет поддерживаемые стандарты шифрования. Иногда старые стандарты устарели, так как они становятся устаревшими и менее безопасными. В этой статье описываются поддерживаемые в настоящее время наборы шифров и другие стандарты, а также сведения о запланированных устареваниях.

Соответствие FIPS для Microsoft 365

Все наборы шифров, поддерживаемые Office 365 используют алгоритмы, допустимые в соответствии с FIPS 140-2. Office 365 наследует проверки FIPS от Windows (через Schannel). Сведения о Schannel см. в разделе Комплекты шифров в TLS/SSL (Schannel SSP).

Поддержка AES256-CBC для Microsoft 365

В конце августа 2023 года Защита информации Microsoft Purview начнет использовать расширенный стандарт шифрования (AES) с длиной ключа 256 бит в режиме цепочки блоков шифра (AES256-CBC). К октябрю 2023 г. AES256-CBC будет использоваться по умолчанию для шифрования Приложения Microsoft 365 документов и сообщений электронной почты. Возможно, вам потребуется принять меры для поддержки этого изменения в организации.

На кого влияет и что мне нужно сделать?

Используйте эту таблицу, чтобы выяснить, нужно ли выполнить следующие действия:

Клиентские приложения Приложения-службы Требуется действие? Что нужно сделать?
Приложения Microsoft 365 Exchange Online, SharePoint Online Нет Н/Д
Office 2013, 2016, 2019 или 2021 Exchange Online, SharePoint Online Да (необязательно) См . статью Настройка office 2013, 2016, 2019 или 2021 для режима AES256-CBC.
Приложения Microsoft 365 Exchange Server или гибридная среда Да (обязательно) См. раздел Настройка Exchange Server поддержки AES256-CBC.
Office 2013, 2016, 2019 или 2021 Exchange Server или гибридная среда Да (обязательно) Выполните вариант 1 (обязательно), а затем см . статью Настройка office 2013, 2016, 2019 или 2021 для режима AES256-CBC.
Приложения Microsoft 365 MIP SDK Да (необязательно) См . статью Настройка пакета SDK MIP для поддержки AES256-CBC.
Любой SharePoint Server Нет Н/Д

Настройка Office 2013, 2016, 2019 или 2021 для режима AES256-CBC

Необходимо настроить office 2013, 2016, 2019 или 2021 для использования режима AES256-CBC с помощью групповая политика или службы облачной политики для Microsoft 365. Начиная с версии 16.0.16327 Приложения Microsoft 365, по умолчанию используется режим CBC. Используйте параметр в Encryption mode for Information Rights Management (IRM) разделе User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.

Например, чтобы принудительно применить режим CBC, выберите параметр групповой политики следующим образом:

Режим шифрования для управления правами на доступ к данным (IRM): [1, цепочка блоков шифра (CBC)]

Настройка Exchange Server поддержки AES256-CBC

Exchange Server не поддерживает расшифровку содержимого, использующего AES256-CBC. Чтобы обойти эту проблему, у вас есть два варианта.

Вариант 1

Клиенты, использующие Exchange Online с развернутой службой Azure Rights Management Connector, будут отказаться от изменения публикации AES256-CBC в Exchange Online и SharePoint Online.

Чтобы перейти в режим AES256-CBC, выполните следующие действия:

  1. Установите исправление на серверах Exchange, когда оно станет доступным. Последние сведения о датах доставки см. в стратегии развития продукта Microsoft 365.

  2. Если вы используете Exchange Server со службой соединителя Azure Rights Management, необходимо запустить сценарий GenConnectorConfig.ps1 на каждом сервере Exchange Server. Дополнительные сведения см. в разделе Настройка серверов для соединителя Rights Management. Чтобы скачать соединитель Azure RMS, см. официальный центр загрузки Майкрософт.

После установки исправления на всех серверах Exchange Server в вашей организации обратитесь в службу поддержки и попросите включить эти службы для публикации AES256-CBC.

Вариант 2

Этот параметр предоставляет некоторое дополнительное время, прежде чем вам потребуется исправить все серверы Exchange. Используйте этот параметр, если вам не удается выполнить действия в варианте 1 , когда исправление станет доступным. Вместо этого разверните параметры групповой политики или клиента, которые вынуждают клиентов Microsoft 365 продолжать использовать режим AES128-ECB. Разверните этот параметр с помощью групповая политика или с помощью службы "Облачная политика" для Microsoft 365. Вы можете настроить Office и Приложения Microsoft 365 для Windows для использования режима ECB или CBC с параметром Encryption mode for Information Rights Management (IRM) в разделе User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. Начиная с версии 16.0.16327 Приложения Microsoft 365, по умолчанию используется режим CBC.

Например, чтобы принудительно использовать режим EBC для клиентов Windows, задайте параметр групповой политики следующим образом:

Режим шифрования для управления правами на доступ к данным (IRM): [2, Электронный кодовик (ECB)]

Сведения о настройке параметров для клиентов Office для Mac см. в статье Настройка параметров для Office для Mac.

Как только это возможно, выполните действия в варианте 1.

Настройка пакета SDK MIP для поддержки AES256-CBC

Обновите пакет SDK для MIP версии 1.13 или более поздней версии. Если вы решили обновить пакет SDK для MIP 1.13, необходимо настроить параметр для принудительного применения AES256-CBC. Дополнительные сведения см. в разделе Критическое обновление пакета SDK для MIP версии 1.13.158. Более поздние версии пакета SDK MIP по умолчанию будут защищать файлы и электронную почту Microsoft 365 с помощью AES256-CBC.

Версии TLS, поддерживаемые Microsoft 365

TLS и SSL, которые были раньше TLS, — это криптографические протоколы, которые защищают обмен данными по сети с помощью сертификатов безопасности для шифрования подключения между компьютерами. Microsoft 365 поддерживает TLS версии 1.2 (TLS 1.2).

Некоторые службы по-прежнему поддерживают TLS версии 1.3 (TLS 1.3).

Важно!

Имейте в виду, что версии TLS устарели, и что устаревшие версии не должны использоваться, если доступны более новые версии. Если устаревшие службы не требуют tls 1.0 или 1.1, их следует отключить.

Поддержка прекращения использования TLS 1.0 и 1.1

Office 365 прекратила поддержку TLS 1.0 и 1.1 31 октября 2018 г. Мы завершили отключение TLS 1.0 и 1.1 в средах GCC High и DoD. Мы начали отключать TLS 1.0 и 1.1 для сред по всему миру и GCC с 15 октября 2020 г. и продолжаем развертывание в течение следующих недель и месяцев.

Для обеспечения безопасного подключения к службам Office 365 и Microsoft 365 все сочетания "клиент-сервер" и "браузер-сервер" используют TLS 1.2 и современные наборы шифров. Возможно, придется обновить определенные сочетания клиент-сервер и браузер-сервер. Сведения о том, как это изменение влияет на вас, см. в статье Подготовка к обязательному использованию TLS 1.2 в Office 365.

Нерекомендуемая поддержка 3DES

С 31 октября 2018 г. Microsoft 365 больше не поддерживает использование наборов шифров 3DES для связи с Microsoft 365. В частности, Microsoft 365 больше не поддерживает набор шифров TLS_RSA_WITH_3DES_EDE_CBC_SHA. С 28 февраля 2019 г. этот набор шифров отключен в Microsoft 365. Клиенты и серверы, взаимодействующие с Microsoft 365, должны поддерживать один или несколько поддерживаемых шифров. Список поддерживаемых шифров см. в статье Наборы шифров TLS, поддерживаемые Microsoft 365.

Поддержка устаревших сертификатов SHA-1 в Microsoft 365

С июня 2016 г. Microsoft 365 больше не принимает сертификат SHA-1 для исходящих или входящих подключений. Используйте SHA-2 (безопасный хэш-алгоритм 2) или более надежный алгоритм хэширования в цепочке сертификатов.

Комплекты шифров TLS, поддерживаемые Microsoft 365

Протокол TLS использует наборы шифров, коллекции алгоритмов шифрования для установления безопасных подключений. Microsoft 365 поддерживает наборы шифров, перечисленные в следующей таблице. В таблице перечислены наборы шифров в порядке надежности. В первую очередь указан самый надежный набор шифров.

Microsoft 365 отвечает на запрос на подключение, сначала пытается подключиться с помощью наиболее безопасного набора шифров. Если подключение не работает, Microsoft 365 пытается использовать второй наиболее безопасный набор шифров в списке и т. д. Служба продолжает работу по списку до тех пор, пока подключение не будет принято. Аналогичным образом, когда Microsoft 365 запрашивает подключение, принимающая служба выбирает, следует ли использовать TLS и какой набор шифров использовать.

Имя набора шифров Алгоритм и сила обмена ключами Секретность пересылки Шифр и надежность Алгоритм и надежность проверки подлинности
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH/192 Да AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH/128 Да AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH/192 Да AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH/128 Да AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Да AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Да AES/128 RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384 RSA/112 Нет AES/256 RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256 RSA/112 Нет AES/256 RSA/112

Следующие наборы шифров поддерживали протоколы TLS 1.0 и 1.1 до даты их прекращения. Для сред GCC High и DoD дата прекращения использования — 15 января 2020 г. Для сред Worldwide и GCC эта дата была 15 октября 2020 г.

Протоколы Имя набора шифров Алгоритм и сила обмена ключами Секретность пересылки Шифр и надежность Алгоритм и надежность проверки подлинности
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Да AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Да AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA RSA/112 Нет AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA RSA/112 Нет AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA256 RSA/112 Нет AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 RSA/112 Нет AES/256 RSA/112

Некоторые продукты Office 365 (включая Microsoft Teams) используют Azure Front Door для эффективного завершения подключений TLS и маршрутизации сетевого трафика. Для успешного подключения к этим продуктам должен быть включен по крайней мере один из наборов шифров, поддерживаемых Azure Front Door через TLS 1.2 . Для Windows 10 и выше рекомендуется включить один или оба комплекта шифров ECDHE для повышения безопасности. Windows 7, 8 и 8.1 несовместимы с наборами шифров ECDHE Azure Front Door, и для обеспечения совместимости с этими операционными системами предоставлены наборы шифров DHE.

Комплекты шифров TLS в Windows 10 версии 1903

Шифрование в Office 365

Настройка шифрования в Office 365 корпоративный

Schannel реализация TLS 1.0 в обновлении состояния безопасности Windows: 24 ноября 2015 г.

Усовершенствования шифрования TLS/SSL (Windows IT Center)

Подготовка к TLS 1.2 в Office 365 и Office 365 GCC

Какие наборы шифров поддерживаются Azure Front Door?