Microsoft Defender for Identity (MDI) est une solution de sécurité conçue pour détecter les activités suspectes et les attaques avancées ciblant Active Directory. Elle s’appuie sur des sensors installés sur les contrôleurs de domaine, chargés d’analyser le trafic réseau, les authentifications et les comportements anormaux au sein de l’annuaire.

Pour que la détection soit fiable, ces sensors doivent fonctionner dans des conditions techniques précises. Lors de la mise en œuvre ou de l’exploitation de MDI, certaines alertes peuvent apparaître, non pas à cause d’une attaque, mais à cause d’une configuration non optimale de l’environnement. C’est notamment le cas des alertes liées à la gestion de l’énergie et à la configuration réseau sur des environnements virtualisés.

Dans mon cas, deux alertes revenaient régulièrement dans le portail Defender for Identity :

• Sensor with non-optimal power settings
• Network configuration mismatch for sensors running on VMware

La première alerte indique que le contrôleur de domaine utilise un mode de gestion de l’alimentation incompatible avec les exigences de MDI. Par défaut, Windows Server peut être configuré en mode Balanced, ce qui autorise le système à réduire la fréquence CPU. Or, le sensor MDI nécessite des performances constantes pour analyser le trafic en temps réel.

La correction consiste à forcer le plan d’alimentation en High Performance sur les contrôleurs de domaine concernés.

Correction en PowerShell :

powercfg /L
powercfg /S SCHEME_MIN

Après application, un redémarrage du serveur est recommandé afin de garantir la prise en compte complète du changement. Une fois le plan appliqué, l’alerte disparaît généralement après quelques minutes.

La seconde alerte concerne les environnements virtualisés sous VMware. Elle apparaît lorsque la configuration réseau du contrôleur de domaine ne permet pas au sensor MDI d’observer correctement le trafic, notamment à cause d’un mode de carte réseau inadapté ou d’une incohérence entre les interfaces détectées.

MDI attend une visibilité réseau complète. Sur VMware, cela implique généralement :

• une seule carte réseau active pour le DC
• une carte configurée en VMXNET3
• pas de NIC de sauvegarde ou de supervision mal configurée
• pas de teaming non supporté

Pour identifier rapidement les interfaces réseau et leurs paramètres :

Get-NetAdapter | Select Name, Status, LinkSpeed, DriverDescription

Sur VMware, certaines optimisations réseau comme Large Send Offload (LSO) modifient la manière dont les paquets sont traités :

• les paquets sont regroupés côté OS
• la segmentation est déléguée à la carte réseau virtuelle
• le sensor MDI ne voit plus le trafic tel qu’il est réellement émis

Microsoft recommande explicitement de désactiver LSO sur les DC protégés par MDI.

Correction en PowerShell:

Get-NetAdapterAdvancedProperty -Name "*" | Where-Object DisplayName -Match "Large Send Offload" | Set-NetAdapterAdvancedProperty -DisplayValue "Disabled"

Un redémarrage du serveur est fortement recommandé après la modification.

Ces alertes rappellent que Microsoft Defender for Identity dépend fortement de la qualité de la configuration système et réseau. Corriger ces points permet non seulement de supprimer les alertes, mais surtout de garantir une détection fiable et complète des activités suspectes au sein d’Active Directory.