ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing IPsec event logs and network connection status
Event ID 4948InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4948 – Microsoft-Windows-Security-Auditing : Association de sécurité en mode principal IPsec établie

L'ID d'événement 4948 indique l'établissement réussi d'une association de sécurité en mode principal IPsec entre deux points d'extrémité, confirmant la création d'un tunnel sécurisé pour les communications réseau chiffrées.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4948Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4948 représente l'achèvement réussi d'une négociation en mode principal IPsec dans l'audit de sécurité Windows. Le mode principal IPsec est la première phase du protocole d'échange de clés Internet (IKE), responsable de l'établissement d'un canal sécurisé entre deux pairs IPsec avant toute transmission de données réelle.

Lors de la négociation en mode principal, les deux points d'extrémité s'authentifient mutuellement à l'aide de certificats, de tickets Kerberos ou de clés prépartagées, puis négocient des algorithmes de chiffrement, des fonctions de hachage et des groupes Diffie-Hellman pour la génération de clés. Une fois cette phase terminée avec succès, Windows enregistre l'ID d'événement 4948 avec des détails complets sur l'association de sécurité établie.

L'événement inclut des informations cruciales telles que les adresses IP source et destination, les méthodes d'authentification utilisées, les algorithmes de chiffrement sélectionnés et les paramètres de durée de vie de l'association de sécurité. Ces données s'avèrent inestimables pour résoudre les problèmes de connectivité IPsec, valider la conformité aux politiques de sécurité et maintenir des pistes d'audit pour les exigences réglementaires.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré la journalisation des événements pour inclure des détails cryptographiques supplémentaires et une meilleure corrélation avec les événements IPsec associés. L'événement offre désormais une meilleure visibilité sur les paramètres de sécurité négociés, facilitant l'identification des faiblesses potentielles de sécurité ou des erreurs de configuration de politique dans votre déploiement IPsec.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Négociation réussie de la politique IPsec entre ordinateurs joints au domaine mettant en œuvre l'isolation du serveur ou du domaine
  • Client VPN établissant une connexion de tunnel sécurisé au serveur Windows RRAS ou à l'infrastructure DirectAccess
  • Établissement de tunnel IPsec site-à-site entre bureaux distants ou organisations partenaires
  • Pare-feu Windows avec sécurité avancée déclenchant l'authentification IPsec pour des règles de sécurité de connexion spécifiques
  • Client IPsec tiers s'authentifiant avec succès avec la passerelle IPsec basée sur Windows
  • Rafraîchissement automatique de SA IPsec se produisant lorsque les associations de sécurité existantes approchent de l'expiration
  • Changements d'adaptateur réseau ou de routage déclenchant de nouvelles négociations IPsec pour les politiques existantes
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre les paramètres de négociation IPsec et les informations sur les points de terminaison.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4948 en utilisant l'option de filtre ou la fonctionnalité de recherche
  3. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 4948 pour voir les informations détaillées
  4. Examinez les champs clés suivants dans les détails de l'événement:
    • Adresse locale : L'adresse IP de votre système dans la négociation IPsec
    • Adresse distante : L'adresse IP du système pair
    • Méthode d'authentification : Kerberos, Certificat ou Clé pré-partagée
    • Suite cryptographique du mode principal : Algorithmes de chiffrement et de hachage utilisés
    • Durée de vie de l'AS : Durée de validité de l'association de sécurité
  5. Notez l'horodatage pour corréler avec les problèmes de connectivité réseau ou les changements de politique
  6. Vérifiez l'ID d'événement correspondant 4949 (AS du mode principal supprimé) pour comprendre le cycle de vie de l'AS
Conseil pro : Exportez plusieurs événements 4948 en CSV pour une analyse des motifs à travers différentes périodes ou segments de réseau.
02

Utiliser PowerShell pour interroger et analyser les événements IPsec

Exploitez PowerShell pour interroger et analyser efficacement les événements IPsec Main Mode sur plusieurs systèmes ou plages de temps.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4948 avec des informations détaillées :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4948} -MaxEvents 20 | Select-Object TimeCreated, Id, @{Name='RemoteIP';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Remote Address:*'}) -replace '.*Remote Address:\s*',''}}, @{Name='AuthMethod';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Authentication Method:*'}) -replace '.*Authentication Method:\s*',''}}
  3. Filtrez les événements par adresses IP distantes spécifiques pour suivre les connexions à partir de points de terminaison particuliers :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4948; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like '*192.168.1.100*'}
  4. Comptez les établissements IPsec par heure pour identifier les modèles d'utilisation de pointe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4948; StartTime=(Get-Date).AddDays(-7)} | Group-Object @{Expression={$_.TimeCreated.ToString('yyyy-MM-dd HH:00')}} | Sort-Object Name
  5. Exportez les données détaillées des événements IPsec pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4948; StartTime=(Get-Date).AddDays(-30)} | Select-Object TimeCreated, Message | Export-Csv -Path 'C:\Temp\IPsec_Events.csv' -NoTypeInformation
03

Vérifier la configuration et l'état de la politique IPsec

Examinez les politiques IPsec sous-jacentes et les associations de sécurité actuelles pour garantir une configuration et un fonctionnement appropriés.

  1. Vérifiez les politiques IPsec actives en utilisant netsh :
    netsh ipsec static show all
  2. Affichez les associations de sécurité du mode principal actuel :
    netsh ipsec dynamic show mmsas
  3. Examinez les SA du mode rapide qui dépendent des associations du mode principal :
    netsh ipsec dynamic show qmsas
  4. Pour le Pare-feu Windows avec sécurité avancée, vérifiez les règles de sécurité de connexion :
    Get-NetIPsecRule | Where-Object {$_.Enabled -eq 'True'} | Select-Object DisplayName, Profile, Action
  5. Vérifiez l'état et la configuration du service IPsec :
    Get-Service -Name 'PolicyAgent' | Select-Object Name, Status, StartType
  6. Examinez les paramètres IPsec de la stratégie de groupe si vous êtes joint à un domaine :
    • Ouvrez la Console de gestion des stratégies de groupe
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéPolitiques de sécurité IP
    • Vérifiez que les politiques IPsec assignées correspondent à vos exigences de sécurité
Avertissement : La modification des politiques IPsec peut perturber la connectivité réseau. Testez toujours les modifications dans un environnement de laboratoire d'abord.
04

Surveiller les performances IPsec et résoudre les problèmes

Utilisez des outils de surveillance avancés pour suivre les performances IPsec et identifier les problèmes potentiels de sécurité ou de connectivité.

  1. Activez la journalisation d'audit IPsec pour un dépannage complet :
    auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
  2. Surveillez les compteurs de performance IPsec à l'aide de Performance Monitor :
    • Ouvrez Performance Monitor (perfmon.exe)
    • Ajoutez des compteurs à partir des objets IPsec AuthIP IPv4 et IPsec AuthIP IPv6
    • Concentrez-vous sur Main Mode Negotiations/sec et Main Mode Negotiation Failures
  3. Utilisez Network Monitor ou Wireshark pour capturer le trafic IKE pour une analyse détaillée :
    # Activez la journalisation IPsec dans le Pare-feu Windows
Set-NetFirewallProfile -All -LogAllowed True -LogBlocked True -LogFileName 'C:\Windows\System32\LogFiles\Firewall\pfirewall.log'
  4. Vérifiez les événements d'erreur associés qui pourraient indiquer des problèmes :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4960,4961,4962,4963; StartTime=(Get-Date).AddHours(-24)} | Select-Object Id, TimeCreated, LevelDisplayName, Message
  5. Validez l'état de santé des certificats pour l'authentification basée sur les certificats :
    Get-ChildItem -Path 'Cert:\LocalMachine\My' | Where-Object {$_.EnhancedKeyUsageList -like '*IP security*'} | Select-Object Subject, NotAfter, Thumbprint
05

Mettre en œuvre une surveillance et une alerte IPsec avancées

Déployez des solutions de surveillance complètes pour suivre de manière proactive la santé et la sécurité d'IPsec dans votre infrastructure.

  1. Créez un script de surveillance PowerShell personnalisé pour les vérifications automatisées de la santé d'IPsec :
    # Script de surveillance de la santé IPsec
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4948,4960; StartTime=(Get-Date).AddMinutes(-15)} -ErrorAction SilentlyContinue
$SuccessCount = ($Events | Where-Object {$_.Id -eq 4948}).Count
$FailureCount = ($Events | Where-Object {$_.Id -eq 4960}).Count

if ($FailureCount -gt 5) {
    Write-EventLog -LogName 'Application' -Source 'IPsec Monitor' -EventId 1001 -EntryType Warning -Message "Taux d'échec IPsec élevé détecté : $FailureCount échecs en 15 minutes"
}
  2. Configurez le transfert d'événements Windows pour centraliser les événements IPsec :
    • Configurez le serveur de collecte d'événements avec wecutil qc
    • Créez un abonnement pour l'ID d'événement 4948 sur les ordinateurs du domaine
    • Utilisez la requête XPath : *[System[(EventID=4948)]]
  3. Implémentez l'intégration SIEM pour la corrélation de sécurité :
    # Exporter les événements IPsec dans un format compatible SIEM
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4948} -MaxEvents 1000 | ConvertTo-Json -Depth 3 | Out-File 'C:\Logs\IPsec_SIEM_Export.json'
  4. Configurez des tâches planifiées pour la validation régulière des politiques IPsec :
    $Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\IPsec-HealthCheck.ps1'
$Trigger = New-ScheduledTaskTrigger -Daily -At '06:00'
Register-ScheduledTask -TaskName 'IPsec Health Check' -Action $Action -Trigger $Trigger -User 'SYSTEM'
  5. Créez des compteurs de performance personnalisés pour les métriques IPsec spécifiques à l'entreprise en utilisant Windows Performance Toolkit
Astuce pro : Corrélez l'ID d'événement 4948 avec les métriques de performance réseau pour identifier l'impact de la surcharge IPsec sur la performance des applications.

Aperçu

L'ID d'événement 4948 se déclenche lorsque Windows établit avec succès une association de sécurité (SA) en mode principal IPsec entre deux points de terminaison réseau. Cet événement apparaît dans le journal de sécurité chaque fois que la phase initiale de négociation IPsec se termine avec succès, créant ainsi la base pour une transmission de données sécurisée. Le mode principal établit les paramètres de sécurité et les clés cryptographiques qui protégeront les négociations en mode rapide suivantes et le trafic de données réel.

Cet événement est crucial pour les organisations mettant en œuvre des politiques IPsec pour l'isolation de domaine, l'isolation de serveur ou les communications sécurisées entre bureaux distants. L'événement contient des informations détaillées sur les paramètres de sécurité négociés, y compris les algorithmes de chiffrement, les méthodes d'authentification et les identités des deux points de terminaison impliqués dans la connexion.

Vous verrez généralement cet événement sur les contrôleurs de domaine, les serveurs VPN et tout système Windows participant à des communications sécurisées par IPsec. La fréquence dépend de la configuration de votre politique IPsec et de la topologie du réseau. Comprendre cet événement aide à valider que votre infrastructure IPsec fonctionne correctement et fournit des pistes d'audit pour les exigences de conformité en matière de sécurité.

Questions Fréquentes

Que signifie l'ID d'événement 4948 et pourquoi est-il important ?+
L'ID d'événement 4948 indique l'établissement réussi d'une association de sécurité en mode principal IPsec entre deux points d'extrémité du réseau. Cet événement est crucial car il confirme que la phase initiale de négociation IPsec s'est terminée avec succès, établissant la base sécurisée pour les communications chiffrées. L'événement fournit des informations détaillées sur les méthodes d'authentification, les algorithmes de chiffrement et les identités des points d'extrémité, ce qui le rend essentiel pour l'audit de sécurité, le rapport de conformité et le dépannage des problèmes de connectivité IPsec.
À quelle fréquence devrais-je m'attendre à voir l'ID d'événement 4948 dans mon environnement ?+
La fréquence de l'ID d'événement 4948 dépend entièrement de la configuration de votre politique IPsec et de l'activité réseau. Dans les environnements avec des politiques d'isolation de domaine, vous pourriez voir des centaines ou des milliers de ces événements quotidiennement lorsque les ordinateurs s'authentifient entre eux. Pour les connexions VPN site-à-site, vous verrez généralement ces événements lorsque les tunnels s'établissent ou se rétablissent après une maintenance. Les environnements VPN peuvent générer ces événements toutes les quelques heures lorsque les associations de sécurité se rafraîchissent. Surveillez la fréquence de base dans votre environnement pour identifier des schémas inhabituels pouvant indiquer des problèmes de sécurité ou des changements de politique.
Que dois-je faire si l'ID d'événement 4948 cesse soudainement d'apparaître ?+
Si l'ID d'événement 4948 cesse d'apparaître lorsque vous attendez des connexions IPsec, cela indique un problème sérieux avec votre infrastructure IPsec. Tout d'abord, vérifiez si le service IPsec Policy Agent est en cours d'exécution en utilisant 'Get-Service PolicyAgent'. Vérifiez que vos politiques IPsec sont toujours actives avec 'netsh ipsec static show all'. Recherchez des événements d'erreur correspondants comme 4960 (échec de la négociation IPsec) dans le journal de sécurité. Vérifiez la connectivité réseau entre les points de terminaison et assurez-vous que les certificats n'ont pas expiré si vous utilisez l'authentification basée sur les certificats. Passez en revue les modifications récentes de la stratégie de groupe qui pourraient avoir modifié les paramètres IPsec.
L'ID d'événement 4948 peut-il m'aider à identifier des menaces de sécurité ou des tentatives d'accès non autorisées ?+
Oui, l'ID d'événement 4948 peut être précieux pour la surveillance de la sécurité lorsqu'il est analysé correctement. Des connexions IPsec inattendues à partir d'adresses IP inconnues pourraient indiquer des tentatives d'accès non autorisées ou des systèmes compromis. Surveillez les connexions en dehors des heures de bureau normales ou depuis des emplacements géographiques où votre organisation n'opère pas. Corrélez ces événements avec des tentatives d'authentification échouées (ID d'événement 4960) pour identifier des attaques par force brute potentielles. Cependant, rappelez-vous que les événements réussis d'ID d'événement 4948 représentent des connexions légitimes et authentifiées, donc concentrez-vous sur les schémas anormaux plutôt que sur les événements eux-mêmes.
Comment puis-je utiliser l'ID d'événement 4948 pour résoudre les problèmes de performance IPsec ?+
L'ID d'événement 4948 contient des informations sur le timing et l'algorithme qui aident à diagnostiquer les problèmes de performance IPsec. Des négociations fréquentes en mode principal pourraient indiquer que les paramètres de durée de vie de SA sont trop courts, entraînant une surcharge inutile. Comparez les algorithmes de chiffrement négociés dans les détails de l'événement avec vos exigences de politique - des algorithmes plus faibles pourraient être sélectionnés en raison de problèmes de compatibilité. Utilisez PowerShell pour analyser les intervalles de temps entre les événements 4948 afin d'identifier des schémas. Corrélez ces événements avec les métriques de performance réseau pour déterminer si la surcharge IPsec impacte la performance des applications. Surveillez les écarts dans les événements 4948 attendus qui pourraient indiquer des interruptions de connectivité.
Documentation

Références (2)

1
Microsoft Learn - IPsec Security AssociationsOfficial Microsoft documentation covering IPsec security association concepts, configuration, and troubleshooting in Windows environments.https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/ipsec-security-associations
2
Windows Security Auditing Events ReferenceComprehensive reference for Windows security auditing events including detailed explanations of IPsec-related event IDs and their significance.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#ipsec-security#windows-auditing#event-id-4948

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...