Guia de solução de problemas do Azure Disk Encryption

Aplica-se a: ✔️ VMs ✔️ do Windows Conjuntos de escala flexíveis

Este guia destina-se a profissionais de TI, analistas de segurança da informação e administradores de nuvem cujas organizações utilizam a Encriptação de Disco do Azure. Este artigo destina-se a ajudar na resolução de problemas relacionados com encriptação de disco.

Antes de executar qualquer uma dessas etapas, primeiro verifique se as VMs que você está tentando criptografar estão entre os tamanhos de VM e sistemas operacionais suportados e se você atendeu a todos os pré-requisitos:

• Requisitos de rede
• Requisitos da política de grupo
• Requisitos do armazenamento de chaves de encriptação

Solução de problemas 'Falha ao enviar DiskEncryptionData'

Quando a criptografia de uma VM falha com a mensagem de erro "Falha ao enviar DiskEncryptionData...", geralmente é causada por uma das seguintes situações:

• Ter o Cofre da Chave existente em uma região e/ou assinatura diferente da Máquina Virtual
• As políticas de acesso avançadas no Cofre da Chave não estão definidas para permitir a Encriptação de Disco do Azure
• A Chave de Encriptação de Chave, quando em utilização, foi desativada ou eliminada no Cofre da Chave
• Erro de digitação no ID do recurso ou URL do Cofre da Chave ou da Chave de Criptografia da Chave (KEK)
• Caracteres especiais usados ao nomear a VM, discos de dados ou chaves. ou seja, _VMName, elite, etc.
• Cenários de encriptação sem suporte
• Problemas de rede que impedem a VM/Host de acessar os recursos necessários

Sugestões

• Verifique se o Cofre da Chave existe na mesma região e assinatura que a Máquina Virtual
• Certifique-se de ter definido corretamente as políticas de acesso avançado do cofre de chaves
• Se estiver a utilizar o KEK, certifique-se de que a chave existe e está ativada no Cofre da Chave
• Verifique o nome da VM, os discos de dados e as chaves seguem as restrições de nomenclatura de recursos do cofre de chaves
• Verifique se há erros de digitação no nome do Cofre da Chave ou no nome KEK no comando PowerShell ou CLI

Nota

A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Certifique-se de que não está a violar quaisquer restrições
• Certifique-se de que está a cumprir os requisitos de rede e tente novamente

Solução de problemas do Azure Disk Encryption atrás de um firewall

Quando a conectividade é restrita por um firewall, requisito de proxy ou configurações de NSG (grupo de segurança de rede), a capacidade da extensão de executar as tarefas necessárias pode ser interrompida. Essa interrupção pode resultar em mensagens de status como "Status da extensão não disponível na VM". Em cenários esperados, a criptografia não é concluída. As seções a seguir têm alguns problemas comuns de firewall que você pode investigar.

Grupos de segurança de rede

Todas as configurações de grupo de segurança de rede aplicadas ainda devem permitir que o ponto de extremidade atenda aos pré-requisitos de configuração de rede documentados para criptografia de disco.

Azure Key Vault atrás de um firewall

Quando a criptografia está sendo habilitada com credenciais do Microsoft Entra, a VM de destino deve permitir a conectividade com os pontos de extremidade do Microsoft Entra e os pontos de extremidade do Cofre da Chave. Os pontos de extremidade de autenticação atuais do Microsoft Entra são mantidos nas seções 56 e 59 da documentação de URLs e intervalos de endereços IP do Microsoft 365. As instruções do Cofre da Chave são fornecidas na documentação sobre como acessar o Cofre da Chave do Azure atrás de um firewall.

Azure Instance Metadata Service

A VM deve ser capaz de acessar o ponto de extremidade do serviço de Metadados de Instância do Azure (169.254.169.254) e o endereço IP público virtual (168.63.129.16) usado para comunicação com os recursos da plataforma Azure. Não há suporte para configurações de proxy que alteram o tráfego HTTP local para esses endereços (por exemplo, adicionando um cabeçalho X-Forwarded-For).

Solução de problemas do Windows Server 2016 Server Core

No Windows Server 2016 Server Core, o componente bdehdcfg não está disponível por padrão. Este componente é exigido pelo Azure Disk Encryption. Ele é usado para dividir o volume do sistema do volume do sistema operacional, o que é feito apenas uma vez durante o tempo de vida útil da VM. Esses binários não são necessários durante operações de criptografia posteriores.

Para contornar esse problema, copie os seguintes quatro arquivos de uma VM de data center do Windows Server 2016 para o mesmo local no Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Introduza o seguinte comando:

   bdehdcfg.exe -target default
   

2. Este comando cria uma partição de sistema de 550 MB. Reinicie o sistema.

3. Use o DiskPart para verificar os volumes e prossiga.

Por exemplo:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Solução de problemas de status de criptografia

O portal pode exibir um disco como criptografado mesmo depois de ter sido descriptografado dentro da VM. Essa situação pode ocorrer quando comandos de baixo nível são usados para descriptografar diretamente o disco de dentro da VM, em vez de usar os comandos de gerenciamento de criptografia de disco do Azure de nível superior. Os comandos de nível superior não apenas descriptografam o disco de dentro da VM, mas fora da VM também atualizam configurações importantes de criptografia no nível da plataforma e configurações de extensão associadas à VM. Se eles não forem mantidos alinhados, a plataforma não poderá relatar o status da criptografia ou provisionar a VM corretamente.

Para desabilitar a Criptografia de Disco do Azure com o PowerShell, use Disable-AzVMDiskEncryption seguido por Remove-AzVMDiskEncryptionExtension. A execução de Remove-AzVMDiskEncryptionExtension antes que a criptografia seja desabilitada falhará.

Para desabilitar a Criptografia de Disco do Azure com CLI, use az vm encryption disable.

Próximos passos

Neste documento, você aprendeu mais sobre alguns problemas comuns no Azure Disk Encryption e como solucionar esses problemas. Para obter mais informações sobre esse serviço e seus recursos, consulte os seguintes artigos:

• Aplicar criptografia de disco no Microsoft Defender for Cloud
• Encriptação de dados inativa do Azure