ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event Viewer with IPsec policy and security audit logs
Event ID 4947InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4947 – Microsoft-Windows-Security-Auditing : Service de l'agent de stratégie IPsec démarré

L'ID d'événement 4947 indique que le service Agent de stratégie IPsec a démarré avec succès sur le système. Cet événement d'audit de sécurité confirme que l'application de la stratégie IPsec est active et prête à sécuriser les communications réseau.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4947Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

Le service Agent de stratégie IPsec est un composant Windows critique qui gère les stratégies de sécurité du protocole Internet (IPsec) sur les systèmes locaux. Lorsque l'ID d'événement 4947 est enregistré, il confirme que le service a été initialisé avec succès et est prêt à appliquer les politiques de sécurité pour les communications réseau.

Ce service fonctionne en récupérant les stratégies IPsec à partir de diverses sources, y compris la stratégie de groupe Active Directory, la stratégie de sécurité locale ou les configurations basées sur le registre. Une fois démarré, l'Agent de stratégie surveille le trafic réseau et applique les mesures de sécurité appropriées telles que le chiffrement, l'authentification et la vérification de l'intégrité en fonction des règles configurées.

L'événement fournit un aperçu précieux de la posture de sécurité du système, en particulier dans les environnements où IPsec est obligatoire pour des exigences de conformité ou de sécurité. Le moment de cet événement lors du démarrage du système aide les administrateurs à vérifier que les contrôles de sécurité sont correctement initialisés avant le début des communications réseau.

Dans les environnements Windows Server, cet événement est particulièrement significatif car les serveurs traitent souvent des données sensibles nécessitant des communications chiffrées. Le démarrage réussi de l'Agent de stratégie garantit que les communications serveur à serveur, les connexions client et le trafic inter-domaine peuvent être correctement sécurisés selon les politiques organisationnelles.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage du système avec le service Agent de stratégie IPsec configuré pour démarrer automatiquement
  • Démarrage manuel du service PolicyAgent via la console Services ou PowerShell
  • Récupération du service après une défaillance ou un crash précédent
  • Actualisation de la stratégie de groupe déclenchant le redémarrage du service
  • Installation de Windows Update nécessitant le redémarrage du service
  • Administrateur système résolvant des problèmes de connectivité IPsec
  • Modifications de la stratégie du contrôleur de domaine forçant le redémarrage de l'agent de stratégie
Méthodes de résolution

Étapes de dépannage

01

Vérifier l'état du service dans le Visualiseur d'événements

Vérifiez le journal de sécurité pour confirmer que l'agent de stratégie IPsec a démarré avec succès et examinez les événements connexes.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4947 en utilisant l'option Filtrer le journal actuel
  4. Examinez les détails de l'événement, y compris l'horodatage et le contexte utilisateur
  5. Vérifiez les événements IPsec connexes (4945, 4946, 4948) qui pourraient indiquer des problèmes de stratégie
# Commande PowerShell pour vérifier les événements récents 4947
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4947} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Recherchez l'événement immédiatement après le démarrage du système pour confirmer le timing normal de l'initialisation du service.
02

Valider la configuration du service PolicyAgent

Vérifiez que le service Agent de stratégie IPsec est correctement configuré et fonctionne avec les paramètres de démarrage corrects.

  1. Ouvrez la console Services en appuyant sur Win + R, en tapant services.msc, et en appuyant sur Entrée
  2. Localisez le service Agent de stratégie IPsec dans la liste
  3. Cliquez avec le bouton droit et sélectionnez Propriétés pour vérifier le type de démarrage et les dépendances
  4. Vérifiez que le service est réglé sur le type de démarrage Automatique
  5. Vérifiez l'onglet Dépendances pour vous assurer que les services requis sont disponibles
# Vérifiez l'état et la configuration du service PolicyAgent
Get-Service -Name PolicyAgent | Format-List *

# Affichez le type de démarrage du service et les dépendances
Get-WmiObject -Class Win32_Service -Filter "Name='PolicyAgent'" | Select-Object Name, StartMode, State, PathName
Avertissement : Ne désactivez pas le service PolicyAgent si des stratégies IPsec sont nécessaires pour la conformité à la sécurité du réseau.
03

Examiner la configuration de la politique IPsec

Examinez les politiques IPsec actuelles pour comprendre quelles règles de sécurité ont déclenché le démarrage de l'Agent de politique.

  1. Ouvrez Stratégie de sécurité locale en tapant secpol.msc dans la boîte de dialogue Exécuter
  2. Accédez à Stratégies de sécurité IP sur l'ordinateur local
  3. Examinez les politiques assignées et leurs règles
  4. Vérifiez la Console de gestion des stratégies de groupe pour les politiques IPsec basées sur le domaine si vous êtes joint à un domaine
  5. Vérifiez l'assignation des politiques et la configuration des règles
# Afficher les politiques IPsec actuelles en utilisant netsh
netsh ipsec static show all

# Vérifier l'assignation des politiques IPsec
netsh ipsec static show gpoassignedpolicy

# Voir les associations IPsec actives
netsh ipsec dynamic show all
Astuce pro : Utilisez netsh ipsec monitor show all pour voir l'activité IPsec en temps réel et confirmer que les politiques sont appliquées.
04

Analyser la configuration IPsec du registre

Examinez les paramètres du registre qui contrôlent le comportement de l'agent de stratégie IPsec et les emplacements de stockage des stratégies.

  1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
  2. Accédez à HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Examinez les paramètres du service et la configuration de démarrage
  4. Vérifiez HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local pour les stratégies locales
  5. Examinez HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Cache pour les stratégies de domaine mises en cache
# Interroger la configuration du registre du service PolicyAgent
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent" | Format-List

# Vérifier les emplacements du registre des stratégies IPsec
Get-ChildItem -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy" -Recurse | Select-Object Name
Avertissement : Modifier les entrées du registre des stratégies IPsec peut interrompre la connectivité réseau. Sauvegardez toujours le registre avant de faire des modifications.
05

Dépannage avancé avec corrélation d'événements

Effectuez une analyse complète en corrélant l'ID d'événement 4947 avec d'autres événements système et de sécurité pour identifier les problèmes potentiels.

  1. Activez la journalisation d'audit IPsec dans la stratégie de groupe sous Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  2. Surveillez le journal Système pour les événements du service PolicyAgent (ID d'événements 7034, 7035, 7036)
  3. Vérifiez le journal des applications pour les erreurs d'application liées à IPsec
  4. Utilisez le Moniteur de performances Windows pour suivre les compteurs de performance IPsec
  5. Analysez les problèmes de connectivité réseau qui pourraient être liés à l'application de la stratégie IPsec
# Analyse complète des événements pour le dépannage IPsec
$Events = @(4945, 4946, 4947, 4948, 5049, 5050, 5051, 5052)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$Events; StartTime=(Get-Date).AddHours(-24)} | Sort-Object TimeCreated

# Vérifiez les événements du service PolicyAgent dans le journal Système
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Service Control Manager'} | Where-Object {$_.Message -like '*PolicyAgent*'}
Astuce pro : Utilisez wevtutil qe Security /q:"*[System[EventID=4947]]" /f:text pour une analyse détaillée des événements XML lors du dépannage de problèmes IPsec complexes.

Aperçu

L'ID d'événement 4947 se déclenche lorsque le service Agent de stratégie IPsec (PolicyAgent) démarre avec succès sur un système Windows. Cet événement apparaît dans le journal de sécurité dans le cadre de l'audit de sécurité Windows et indique que l'application des stratégies IPsec est maintenant active. L'Agent de stratégie IPsec est responsable de la récupération des stratégies IPsec à partir d'Active Directory ou du stockage local et de leur application pour sécuriser les communications réseau.

Cet événement se produit généralement lors du démarrage du système, après des opérations de récupération de service, ou lors du démarrage manuel du service PolicyAgent. L'événement confirme que le système est prêt à appliquer les stratégies IPsec pour le chiffrement, l'authentification et la vérification de l'intégrité du trafic réseau. Dans les environnements d'entreprise avec des stratégies IPsec basées sur le domaine, cet événement signale que le poste de travail ou le serveur peut désormais participer à des communications réseau sécurisées conformément aux politiques de sécurité organisationnelles.

L'événement est enregistré avec un statut de réussite d'audit et inclut des détails sur le contexte de démarrage du service. Les administrateurs système surveillent cet événement pour vérifier que l'application des stratégies IPsec fonctionne correctement, en particulier dans les environnements nécessitant un chiffrement réseau obligatoire ou après des modifications de stratégie.

Questions Fréquentes

Que signifie l'ID d'événement 4947 et pourquoi est-il important ?+
L'ID d'événement 4947 indique que le service Agent de stratégie IPsec a démarré avec succès sur votre système Windows. Cela est important car l'Agent de stratégie est responsable de l'application des stratégies de sécurité IPsec qui chiffrent et authentifient les communications réseau. L'événement confirme que votre système est prêt à appliquer les règles IPsec pour un réseau sécurisé, ce qui est crucial dans les environnements nécessitant des communications chiffrées ou la conformité aux normes de sécurité.
Dois-je m'inquiéter si je vois plusieurs entrées d'ID d'événement 4947 ?+
Plusieurs entrées d'ID d'événement 4947 ne sont pas nécessairement préoccupantes si elles correspondent à des démarrages de service légitimes lors du démarrage du système, des redémarrages de service ou des mises à jour de politique. Cependant, des occurrences fréquentes en dehors de ces scénarios pourraient indiquer une instabilité du service, des conflits de politique ou des problèmes système. Vérifiez le timing des événements et corrélez-les avec les activités système telles que les mises à jour, les changements de politique ou les opérations de gestion de service pour déterminer si la fréquence est normale.
Comment puis-je savoir si les politiques IPsec fonctionnent réellement après avoir vu l'ID d'événement 4947 ?+
Après que l'ID d'événement 4947 confirme le démarrage de l'Agent de stratégie, vérifiez la fonctionnalité IPsec en utilisant netsh ipsec monitor show all pour afficher les associations de sécurité actives, en vérifiant les événements 4945-4948 dans le journal de sécurité pour confirmer le chargement des stratégies, et en utilisant des outils de surveillance réseau pour confirmer le trafic chiffré. Vous pouvez également tester la connectivité aux ressources protégées par IPsec et examiner les compteurs de performance IPsec dans le Moniteur de performance pour vous assurer que les stratégies appliquent activement les règles de sécurité.
Que dois-je faire si l'ID d'événement 4947 apparaît mais que l'IPsec ne fonctionne pas correctement ?+
Si l'ID d'événement 4947 apparaît mais qu'IPsec ne fonctionne pas correctement, vérifiez d'abord que les politiques sont correctement assignées en utilisant netsh ipsec static show gpoassignedpolicy. Vérifiez les politiques conflictuelles, assurez-vous que les certificats requis sont installés et valides, vérifiez que le Pare-feu Windows ne bloque pas le trafic IPsec, et examinez le journal de sécurité pour les événements d'échec IPsec (5049-5052). Confirmez également que les deux points de terminaison ont des configurations IPsec compatibles et que l'infrastructure réseau prend en charge les protocoles IPsec (ESP, AH, IKE).
Puis-je désactiver la journalisation de l'ID d'événement 4947 si je n'ai pas besoin de la surveillance IPsec ?+
Vous pouvez désactiver la journalisation de l'ID d'événement 4947 en modifiant les paramètres de la stratégie d'audit, mais cela n'est pas recommandé dans les environnements soucieux de la sécurité. Pour désactiver, utilisez la stratégie de groupe sous Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit système → Accès aux objets, et désactivez 'Audit du pilote IPsec' et 'Audit des autres événements d'accès aux objets'. Cependant, garder cette journalisation activée offre des capacités précieuses de surveillance de la sécurité et aide à répondre aux exigences de conformité et à résoudre les problèmes de sécurité réseau.
Documentation

Références (2)

1
Microsoft Learn - IPsec Policy Agent ServiceOfficial documentation about the IPsec Policy Agent service and its role in Windows securityhttps://learn.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/ipsec-policy-agent
2
Windows Security Auditing Events ReferenceComprehensive guide to Windows security audit events including IPsec-related eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-4947#ipsec-security#windows-auditing

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...