ID d'événement Windows 4960 – Microsoft-Windows-Security-Auditing : Échec de l'authentification en mode principal IPsec

Commencez par examiner les détails de l'événement et vérifier la fonctionnalité de base d'IPsec :

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4960 en utilisant cette commande PowerShell :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4960} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Examinez les détails de l'événement pour les IP source/destination et la raison de l'échec
4. Vérifiez l'état actuel d'IPsec :

netsh ipsec static show all
Get-NetIPsecMainModeSA
Get-NetIPsecQuickModeSA

5. Vérifiez que les services IPsec sont en cours d'exécution :

Get-Service -Name PolicyAgent, IKEEXT | Format-Table Name, Status, StartType

Les échecs d'authentification liés aux certificats sont des causes courantes de l'ID d'événement 4960 :

1. Vérifiez les certificats d'ordinateur utilisés pour l'authentification IPsec :

Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.EnhancedKeyUsageList -like '*IP security*'} | Format-List Subject, NotAfter, Thumbprint

2. Vérifiez la chaîne de certificats et la confiance :

$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -like '*YourComputerName*'}
$chain = New-Object System.Security.Cryptography.X509Certificates.X509Chain
$chain.Build($cert)

3. Vérifiez l'accessibilité de la liste de révocation de certificats (CRL) :

certlm.msc

4. Accédez à Personnel → Certificats, double-cliquez sur le certificat IPsec
5. Allez à l'onglet Détails → Points de distribution CRL et vérifiez que les URL sont accessibles
6. Testez la validation du certificat :

Test-NetConnection -ComputerName your-ca-server -Port 80
Test-NetConnection -ComputerName your-ca-server -Port 443

Examinez les politiques IPsec pour les incompatibilités de configuration qui causent des échecs d'authentification :

1. Affichez les politiques IPsec actuelles :

Get-NetIPsecMainModeRule | Format-Table DisplayName, Enabled, PrimaryStatus
Get-NetIPsecRule | Format-Table DisplayName, Enabled, Direction

2. Vérifiez les méthodes d'authentification configurées :

Get-NetIPsecMainModeRule | Get-NetIPsecAuthProposal | Format-Table

3. Vérifiez que les clés pré-partagées (si utilisées) correspondent entre les pairs :

netsh ipsec static show policy name="YourPolicyName"

4. Ouvrez Pare-feu Windows Defender avec sécurité avancée
5. Accédez à Règles de sécurité de connexion et vérifiez les paramètres d'authentification
6. Vérifiez les politiques conflictuelles :

Get-NetIPsecRule | Where-Object {$_.Enabled -eq $true} | Group-Object Direction | Format-Table Count, Name

7. Exportez la configuration IPsec actuelle pour analyse :

netsh ipsec static exportpolicy file="C:\temp\ipsec_policy.ipsec"

Activez la journalisation détaillée pour capturer des données complètes de négociation IPsec :

1. Activez la journalisation d'audit IPsec :

auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Extended Mode" /success:enable /failure:enable

2. Activez la journalisation IKE/AuthIP :

netsh wfp set options keywords=IKEV1+IKEV2+AUTHIP

3. Démarrez la capture de paquets réseau pour une analyse détaillée :

netsh trace start capture=yes provider=Microsoft-Windows-WFP tracefile=C:\temp\ipsec_trace.etl

4. Reproduisez l'échec d'authentification, puis arrêtez la traçabilité :

netsh trace stop

5. Analysez les journaux IPsec dans le Visualiseur d'événements :
6. Accédez à Journaux des applications et services → Microsoft → Windows → WFP
7. Vérifiez les événements supplémentaires : 4650, 4651, 4962, 4963
8. Utilisez Network Monitor ou Wireshark pour analyser le fichier .etl :

netsh trace convert input=C:\temp\ipsec_trace.etl output=C:\temp\ipsec_trace.cap

Résoudre les problèmes de réseau sous-jacents qui empêchent l'authentification IPsec réussie :

1. Tester la connectivité de base avec le pair IPsec :

Test-NetConnection -ComputerName target-server -Port 500
Test-NetConnection -ComputerName target-server -Port 4500

2. Vérifier la synchronisation de l'heure (critique pour la validation des certificats) :

w32tm /query /status
w32tm /resync /force

3. Vérifier la résolution DNS pour l'identification du pair :

nslookup target-server
Resolve-DnsName target-server -Type A

4. Tester l'accessibilité de l'autorité de certification :

Test-NetConnection -ComputerName your-ca-server -Port 135
certutil -ping your-ca-server

5. Vérifier que le pare-feu Windows ne bloque pas le trafic IPsec :

Get-NetFirewallRule | Where-Object {$_.DisplayName -like '*IPsec*' -or $_.DisplayName -like '*IKE*'} | Format-Table DisplayName, Enabled, Direction

6. Vérifier les problèmes de NAT-T (Network Address Translation Traversal) :

netsh interface ipv4 show global

7. Réinitialiser les politiques IPsec si une corruption de configuration est suspectée :

netsh ipsec static restore policy file="C:\Windows\System32\ipsecpols.bak"
netsh advfirewall reset