Guia de solução de problemas do Azure Disk Encryption

Aplica-se a: ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis

Este guia destina-se a profissionais de TI, analistas de segurança da informação e administradores de nuvem cujas organizações usam o Azure Disk Encryption. Este artigo é para ajudar na solução de problemas relacionados à criptografia de disco.

Antes de executar qualquer uma dessas etapas, primeiro verifique se as VMs que você está tentando criptografar estão entre os tamanhos e sistemas operacionais de VM com suporte e se você atendeu a todos os pré-requisitos:

• Requisitos de rede
• Requisitos da política de grupo
• Requisitos de armazenamento de chave de criptografia

Solucionando o problema "Falha ao enviar DiskEncryptionData"

Quando a criptografia de uma VM falha com a mensagem de erro "Falha ao enviar DiskEncryptionData...", ela geralmente é causada por uma das seguintes situações:

• Ter o Key Vault existente em uma região e/ou uma assinatura diferentes em relação à Máquina Virtual
• As políticas de acesso avançado no Key Vault não estão definidas para permitir o Azure Disk Encryption
• A chave com criptografia de chave, quando em uso, foi desabilitada ou excluída no Key Vault
• Erro de digitação na ID do Recurso ou URL do Key Vault ou KEK (Chave com criptografia de chave)
• Caracteres especiais usados ao nomear a VM, os discos de dados ou as chaves. por exemplo, _VMName, élite etc.
• Cenários de criptografia sem suporte
• Problemas de rede que impedem que a VM/Host acesse os recursos necessários

Sugestões

• Verificar se o Key Vault existe na mesma região e assinatura que a Máquina Virtual
• Verificar se você definiu as políticas de acesso avançado ao cofre de chaves corretamente
• Se você estiver usando o KEK, verificar se a chave existe e está habilitada no Key Vault
• Verificar se o nome da VM, os discos de dados e as chaves seguem as restrições de nomenclatura de recursos do Key Vault
• Verificar se há erros de digitação no nome do Key Vault ou KEK no comando do PowerShell ou da CLI

Observação

A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]

• Certifique-se de que você não está violando nenhuma restrição
• Verificar se os requisitos de rede estão sendo cumpridos e tentar novamente

Solucionando problemas do Azure Disk Encryption por trás de um firewall

Quando a conectividade estiver restrita por requisitos de proxy, firewall ou NSG (grupo de segurança de rede), a capacidade da extensão para executar as tarefas necessárias poderá ser interrompida. Essa interrupção pode resultar em mensagens de status como "Status de extensão não disponível na VM". Em cenários esperados, a criptografia não é concluída. As seções que se seguem têm alguns problemas comuns de firewall que podem ser investigados.

Grupos de segurança de rede

Qualquer configuração do grupo de segurança de rede aplicada ainda deve permitir que o ponto de extremidade atenda aos pré-requisitos da configuração de rede documentada para criptografia de disco.

Azure Key Vault por trás de um firewall

Quando a criptografia é habilitada com as credenciais do Microsoft Entra, a VM de destino deve permitir conectividade com pontos de extremidade do Microsoft Entra e pontos de extremidade do Key Vault. Os pontos de extremidade atuais de autenticação do Microsoft Entra são mantidos nas seções 56 e 59 da documentação de URLs e intervalos de endereços IP do Microsoft 365. As instruções do Key Vault são fornecidas na documentação sobre como Acessar o Azure Key Vault por trás de um firewall.

Serviço de metadados de instância do Azure

A VM precisa acessar o ponto de extremidade do Serviço de Metadados de Instância do Azure (169.254.169.254) e o endereço IP público virtual (168.63.129.16) usado para comunicação com recursos da plataforma Azure. Não há suporte para as configurações de proxy que alteram o tráfego HTTP local para esses endereços (por exemplo, a adição de um cabeçalho X-Forwarded-For).

Solução de problemas de Server Core do Windows Server 2016

No Windows Server 2016 Server Core, o componente bdehdcfg não está disponível por padrão. Esse componente é exigido pelo Azure Disk Encryption. É usado para dividir o volume do sistema do volume do sistema operacional, o que é feito apenas uma vez para o tempo de vida da VM. Esses binários não são necessários durante as operações posteriores de criptografia.

Para contornar esse problema, copie os quatro arquivos a seguir de uma VM do Data Center do Windows Server 2016 para o mesmo local no Núcleo do Servidor:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Insira o seguinte comando:

   bdehdcfg.exe -target default
   

2. Esse comando cria uma partição de sistema de 550 MB. Reinicialize o sistema.

3. Use DiskPart para verificar os volumes e continue.

Por exemplo:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Solução de problemas de status de criptografia

O portal pode exibir um disco como criptografado mesmo após ele ter sido descriptografado na VM. Essa situação pode ocorrer quando comandos de baixo nível são usados para descriptografar diretamente o disco de dentro da VM, em vez de usar os comandos de gerenciamento do Azure Disk Encryption de nível superior. Os comandos de nível superior não apenas descriptografam o disco de dentro da VM, mas fora da VM eles também atualizam configurações importantes de criptografia de nível de plataforma e configurações de extensão associadas à VM. Se eles não forem mantidos alinhados, a plataforma não poderá relatar o status de criptografia nem provisionar a VM corretamente.

Para desabilitar Azure Disk Encryption com o PowerShell, use Disable-AzVMDiskEncryption seguido por Remove-AzVMDiskEncryptionExtension. A execução de Remove-AzVMDiskEncryptionExtension falhará antes de a criptografia ser desabilitada.

Para desabilitar o Azure Disk Encryption com a CLI, use az vm encryption disable.

Próximas etapas

Neste documento, você aprendeu mais sobre alguns problemas comuns no Azure Disk Encryption e como solucioná-los. Para saber mais sobre esse serviço e seus recursos, confira os seguintes artigos:

• Aplicar a criptografia de disco no Microsoft Defender para Nuvem
• Criptografia de dados em repouso do Azure