Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

[Microsoft Defender for Identity] – Comprendre et corriger les alertes liées aux capteurs MDI

par | 27 Jan 2026 | , , ,

Microsoft Defender for Identity (MDI) est une solution de sécurité conçue pour détecter les activités suspectes et les attaques avancées ciblant Active Directory. Elle s’appuie sur des sensors installés sur les contrôleurs de domaine, chargés d’analyser le trafic réseau, les authentifications et les comportements anormaux au sein de l’annuaire.

Pour que la détection soit fiable, ces sensors doivent fonctionner dans des conditions techniques précises. Lors de la mise en œuvre ou de l’exploitation de MDI, certaines alertes peuvent apparaître, non pas à cause d’une attaque, mais à cause d’une configuration non optimale de l’environnement. C’est notamment le cas des alertes liées à la gestion de l’énergie et à la configuration réseau sur des environnements virtualisés.

Dans mon cas, deux alertes revenaient régulièrement dans le portail Defender for Identity :

  • Sensor with non-optimal power settings
  • Network configuration mismatch for sensors running on VMware

La première alerte indique que le contrôleur de domaine utilise un mode de gestion de l’alimentation incompatible avec les exigences de MDI. Par défaut, Windows Server peut être configuré en mode Balanced, ce qui autorise le système à réduire la fréquence CPU. Or, le sensor MDI nécessite des performances constantes pour analyser le trafic en temps réel.

La correction consiste à forcer le plan d’alimentation en High Performance sur les contrôleurs de domaine concernés.

Correction en PowerShell :

powercfg /L
powercfg /S SCHEME_MIN

Après application, un redémarrage du serveur est recommandé afin de garantir la prise en compte complète du changement. Une fois le plan appliqué, l’alerte disparaît généralement après quelques minutes.

La seconde alerte concerne les environnements virtualisés sous VMware. Elle apparaît lorsque la configuration réseau du contrôleur de domaine ne permet pas au sensor MDI d’observer correctement le trafic, notamment à cause d’un mode de carte réseau inadapté ou d’une incohérence entre les interfaces détectées.

MDI attend une visibilité réseau complète. Sur VMware, cela implique généralement :

  • une seule carte réseau active pour le DC
  • une carte configurée en VMXNET3
  • pas de NIC de sauvegarde ou de supervision mal configurée
  • pas de teaming non supporté

Pour identifier rapidement les interfaces réseau et leurs paramètres :

Get-NetAdapter | Select Name, Status, LinkSpeed, DriverDescription

Sur VMware, certaines optimisations réseau comme Large Send Offload (LSO) modifient la manière dont les paquets sont traités :

  • les paquets sont regroupés côté OS
  • la segmentation est déléguée à la carte réseau virtuelle
  • le sensor MDI ne voit plus le trafic tel qu’il est réellement émis

Microsoft recommande explicitement de désactiver LSO sur les DC protégés par MDI.

Correction en PowerShell:

Get-NetAdapterAdvancedProperty -Name "*" | Where-Object DisplayName -Match "Large Send Offload" | Set-NetAdapterAdvancedProperty -DisplayValue "Disabled"

Un redémarrage du serveur est fortement recommandé après la modification.

Ces alertes rappellent que Microsoft Defender for Identity dépend fortement de la qualité de la configuration système et réseau. Corriger ces points permet non seulement de supprimer les alertes, mais surtout de garantir une détection fiable et complète des activités suspectes au sein d’Active Directory.

[Active Directory] OU protégée contre la suppression : comprendre les impacts réels

par | 27 Jan 2026 |

Lors de la mise en place de délégations Active Directory, le ciblage et la gestion des droits sur les unités d’organisation semblent, en théorie, relativement simples. Les permissions sont correctement attribuées, les groupes sont en place, et pourtant certaines actions échouent systématiquement avec des erreurs de type Access Denied. Dans ce contexte, le diagnostic peut rapidement devenir frustrant, car les droits semblent cohérents et conformes aux attentes.

Ce type de situation est fréquemment lié à l’option “Protect object from accidental deletion”, souvent activée par défaut sur les OU sensibles. Cette protection est une bonne pratique, mais son impact réel est souvent sous-estimé, notamment lors de la mise en œuvre de délégations.

Concrètement, cette option ne se limite pas à empêcher une suppression accidentelle via l’interface graphique. Lorsqu’elle est activée, Active Directory ajoute automatiquement des entrées explicites de type Deny dans les ACL de l’OU. Ces entrées bloquent des actions critiques comme la suppression de l’OU, la suppression d’objets enfants ou certains déplacements dans l’arborescence.

Le point clé à comprendre est que, dans Active Directory, un Deny explicite prévaut toujours sur un Allow, quel que soit le niveau de privilège accordé par ailleurs. Ainsi, même une délégation correctement configurée peut être partiellement inefficace tant que ces ACE de protection sont présentes. Le résultat est souvent une erreur peu explicite, sans lien apparent avec la protection active.

C’est précisément ce comportement qui explique pourquoi certaines délégations semblent « ne pas fonctionner”, alors que les permissions sont correctes sur le papier. Sans analyse des paramètres de sécurité avancés, il est facile de conclure à une erreur de configuration, alors que le blocage est en réalité intentionnel.

La résolution passe par une analyse systématique des ACL de l’OU concernée. Dans certains cas, il est nécessaire de désactiver temporairement la protection afin d’effectuer l’opération prévue, puis de la réactiver une fois la modification terminée. Cette approche permet de conserver le niveau de sécurité attendu tout en évitant les blocages inutiles.

Avec cette compréhension, les délégations deviennent plus prévisibles, les erreurs Deny plus faciles à expliquer, et l’administration Active Directory globalement plus fiable. La protection contre la suppression reste un mécanisme essentiel, à condition d’en connaître les impacts réels et de l’intégrer consciemment dans les scénarios d’administration.

[PowerShell] Gestion des erreurs avec Try / Catch

par | 21 Jan 2026 |

PowerShell est largement utilisé pour automatiser des tâches d’administration système, aussi bien en local que sur des serveurs ou dans des environnements cloud (Azure Automation, pipelines CI/CD, tâches planifiées).
Dans ces contextes, un script qui “semble” fonctionner peut pourtant masquer des erreurs critiques, conduisant à des résultats partiels, incohérents, voire dangereux.

La gestion des erreurs devient alors un élément central de la fiabilité des scripts PowerShell.

Problématique rencontrée

Lors de l’exécution de plusieurs scripts automatisés, certaines commandes échouaient sans interrompre le script.
Aucune alerte claire n’était remontée, et l’exécution se terminait avec succès, alors que certaines actions n’avaient jamais été effectuées.

Les symptômes étaient typiques :

  • aucune interruption du script
  • aucune gestion centralisée des erreurs
  • résultats incomplets ou faux positifs
  • difficulté à diagnostiquer a posteriori

PowerShell distingue principalement deux catégories d’erreurs, avec des comportements très différents.

Erreurs non bloquantes (Non-terminating errors)

Ce sont les erreurs les plus courantes.
Par défaut, PowerShell affiche l’erreur à l’écran mais continue l’exécution du script.

Exemples :

  • objet introuvable
  • accès refusé
  • commande partiellement invalide

Ces erreurs ne déclenchent pas un Catch.

Erreurs bloquantes (Terminating errors)

Ces erreurs interrompent immédiatement l’exécution du script et déclenchent automatiquement un Catch.

Exemples :

  • cmdlet critique en échec
  • erreur levée manuellement
  • erreur forcée via configuration

Le rôle clé de -ErrorAction

Le paramètre -ErrorAction permet de contrôler le comportement des erreurs.

Valeurs principales de -ErrorAction :

  • Continue (par défaut)
    Affiche l’erreur et poursuit l’exécution.
  • SilentlyContinue
    Ignore l’erreur sans affichage (dangereux en automatisation).
  • Stop
    Transforme une erreur non bloquante en erreur bloquante.
  • Ignore
    Ignore totalement l’erreur (rarement recommandé).
  • Inquire
    Demande une confirmation interactive (peu adapté à l’automatisation).

Un piège courant consiste à utiliser Try / Catch sans forcer les erreurs à être bloquantes.

Try {
    Get-ADUser -Identity "UserInexistant"
}
Catch {
    Write-Host "Erreur détectée: $($_.Exception.Message)"
}

Dans ce cas :

  • l’erreur s’affiche
  • le script continue
  • le Catch n’est jamais exécuté

Bonne pratique : combiner Try / Catch et -ErrorAction Stop

Try {
    Get-ADUser -Identity "UserInexistant" -ErrorAction Stop
}
Catch {
    Write-Host "Erreur détectée: $($_.Exception.Message)"
}

Toute erreur est :

  • interceptée
  • traitée
  • journalisée proprement

Derniers articles

Catégories

Archives

Auteurs/Autrices