ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying IPsec network connection logs and security events
Event ID 4962InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4962 – Microsoft-Windows-Security-Auditing : Association de sécurité en mode principal IPsec établie

L'ID d'événement 4962 enregistre lorsque Windows établit avec succès une association de sécurité en mode principal IPsec entre deux points de terminaison, indiquant la création d'un tunnel sécurisé pour les communications réseau.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4962Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4962 représente l'établissement réussi d'une association de sécurité en mode principal IPsec dans l'implémentation IPsec de Windows. Cet événement se produit lors de la première phase de négociation IPsec, où deux points d'extrémité s'authentifient mutuellement et établissent un canal sécurisé pour les communications ultérieures.

Le processus en mode principal implique six échanges de messages entre l'initiateur et le répondeur, négociant des paramètres de sécurité, y compris les algorithmes de chiffrement (AES, 3DES), les algorithmes d'intégrité (SHA-256, MD5), les méthodes d'authentification (certificats, clés pré-partagées) et les groupes Diffie-Hellman pour l'échange de clés. L'événement 4962 enregistre l'achèvement réussi de cette phase de négociation.

Cet événement contient des informations judiciaires cruciales, y compris les adresses IP source et destination, les index de paramètres de sécurité (SPI), les détails de la suite cryptographique négociée et la méthode d'authentification utilisée. L'événement aide les administrateurs à vérifier que les politiques IPsec fonctionnent correctement et fournit des pistes d'audit pour les exigences de conformité en matière de sécurité.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré la journalisation IPsec pour inclure un contexte supplémentaire sur les sources de politique et les métriques de performance de négociation, rendant l'événement 4962 encore plus précieux pour la surveillance de la sécurité du réseau et le dépannage.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Négociation réussie de la politique IPsec entre deux systèmes Windows
  • Client VPN établissant un tunnel sécurisé vers Windows Server
  • Politique d'isolation de domaine déclenchant l'authentification IPsec
  • Configuration manuelle IPsec complétant la négociation en mode principal
  • Protection d'accès réseau (NAP) nécessitant l'authentification IPsec
  • Client DirectAccess se connectant au réseau d'entreprise
  • Établissement de tunnel VPN site-à-site entre serveurs Windows
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre les paramètres de négociation IPsec.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4962 en utilisant l'option de filtre
  3. Double-cliquez sur l'événement pour voir les propriétés détaillées
  4. Notez les champs clés suivants :
    • Adresse réseau source - Point de départ
    • Adresse réseau de destination - Point de réponse
    • Méthode d'authentification - Certificat, Kerberos ou PSK
    • Suite cryptographique du mode principal - Algorithmes négociés
    • Indice de paramètre de sécurité (SPI) - Identifiant unique de SA
  5. Faites une référence croisée avec l'ID d'événement correspondant 4960 (négociation commencée) pour la chronologie complète
Astuce pro : La valeur SPI aide à corréler ce SA du mode principal avec les événements du mode rapide suivants (4978) pour la même connexion.
02

Interroger les événements IPsec avec PowerShell

Utilisez PowerShell pour analyser les modèles d'établissement du mode principal IPsec et identifier les problèmes potentiels.

  1. Interroger les occurrences récentes de l'événement 4962 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4962} -MaxEvents 50 | Select-Object TimeCreated, @{Name='SourceIP';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Source Network Address:'} | ForEach-Object {$_.Split(':')[1].Trim()})}}, @{Name='DestIP';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Destination Network Address:'} | ForEach-Object {$_.Split(':')[1].Trim()})}}
  2. Analyser la fréquence de négociation IPsec par point d'extrémité :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4962} -MaxEvents 1000
$Events | ForEach-Object {
    $Message = $_.Message
    $SourceIP = ($Message -split '\n' | Where-Object {$_ -match 'Source Network Address:'} | ForEach-Object {$_.Split(':')[1].Trim()})
    [PSCustomObject]@{
        Time = $_.TimeCreated
        SourceIP = $SourceIP
    }
} | Group-Object SourceIP | Sort-Object Count -Descending
  3. Vérifier la distribution des méthodes d'authentification :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4962} -MaxEvents 200 | ForEach-Object {
    $AuthMethod = ($_.Message -split '\n' | Where-Object {$_ -match 'Authentication Method:'} | ForEach-Object {$_.Split(':')[1].Trim()})
    $AuthMethod
} | Group-Object | Sort-Object Count -Descending
03

Vérifier la configuration de la politique IPsec

Examinez les politiques IPsec sous-jacentes qui ont déclenché la négociation en mode principal pour garantir une configuration correcte.

  1. Vérifiez les politiques IPsec actives à l'aide de netsh :
    netsh ipsec static show all
  2. Examinez les associations de sécurité IPsec actuelles :
    netsh ipsec dynamic show all
  3. Pour les politiques du Pare-feu Windows avec sécurité avancée :
    Get-NetIPsecRule | Where-Object {$_.Enabled -eq 'True'} | Select-Object DisplayName, Profile, Direction, Action
  4. Vérifiez les politiques en mode principal IPsec :
    Get-NetIPsecMainModeRule | Format-Table DisplayName, Enabled, MainModeCryptoSet
  5. Examinez les méthodes d'authentification configurées :
    Get-NetIPsecAuthProposal | Format-Table
  6. Vérifiez l'authentification basée sur les certificats si applicable :
    Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.EnhancedKeyUsageList -match 'IP security IKE intermediate'}
Avertissement : La modification des politiques IPsec peut perturber la connectivité réseau. Testez toujours les modifications dans un environnement contrôlé d'abord.
04

Analyser les performances IPsec et résoudre les problèmes

Enquêter sur les indicateurs de performance IPsec et identifier les problèmes potentiels de négociation en utilisant des techniques de surveillance avancées.

  1. Activer la journalisation détaillée d'IPsec dans le registre :
    Set-ItemProperty -Path 'HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters' -Name 'EnableLogging' -Value 1 -Type DWord
  2. Surveiller la performance du service IPsec :
    Get-Counter '\IPSec IKEv1 IPv4\Active Main Mode SAs', '\IPSec IKEv1 IPv4\Main Mode Negotiations/sec' -SampleInterval 5 -MaxSamples 12
  3. Vérifier les négociations échouées précédant les réussies :
    $StartTime = (Get-Date).AddHours(-4)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4961,4962; StartTime=$StartTime} | Sort-Object TimeCreated | Select-Object Id, TimeCreated, @{Name='EventType';Expression={if($_.Id -eq 4961){'Failed'}else{'Success'}}}
  4. Analyser les modèles de synchronisation des négociations :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4960,4962} -MaxEvents 100
$Pairs = @{}
$Events | ForEach-Object {
    $SourceIP = ($_.Message -split '\n' | Where-Object {$_ -match 'Source Network Address:'} | ForEach-Object {$_.Split(':')[1].Trim()})
    $Key = "$SourceIP-$($_.TimeCreated.ToString('yyyyMMddHHmmss'))"
    if($_.Id -eq 4960) { $Pairs[$Key] = @{Start=$_.TimeCreated} }
    elseif($_.Id -eq 4962 -and $Pairs[$Key]) { $Pairs[$Key].End = $_.TimeCreated }
}
$Pairs.Values | Where-Object {$_.End} | ForEach-Object {[PSCustomObject]@{Duration=($_.End - $_.Start).TotalSeconds}}
  5. Examiner les journaux du service IPsec de Windows :
    Get-WinEvent -LogName 'Microsoft-Windows-PolicyAgent/Operational' -MaxEvents 50 | Where-Object {$_.LevelDisplayName -eq 'Error' -or $_.LevelDisplayName -eq 'Warning'}
05

Surveillance avancée d'IPsec et rapports de conformité

Implémentez une surveillance IPsec complète pour la conformité de sécurité et les scénarios de dépannage avancés.

  1. Créez un script de surveillance IPsec personnalisé:
    # Script de surveillance du mode principal IPsec
$LogName = 'Security'
$EventID = 4962
$Hours = 24

$Events = Get-WinEvent -FilterHashtable @{LogName=$LogName; Id=$EventID; StartTime=(Get-Date).AddHours(-$Hours)}

$Report = $Events | ForEach-Object {
    $Message = $_.Message
    $SourceIP = ($Message -split '\n' | Where-Object {$_ -match 'Source Network Address:'} | ForEach-Object {$_.Split(':')[1].Trim()})
    $DestIP = ($Message -split '\n' | Where-Object {$_ -match 'Destination Network Address:'} | ForEach-Object {$_.Split(':')[1].Trim()})
    $AuthMethod = ($Message -split '\n' | Where-Object {$_ -match 'Authentication Method:'} | ForEach-Object {$_.Split(':')[1].Trim()})
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SourceIP = $SourceIP
        DestinationIP = $DestIP
        AuthenticationMethod = $AuthMethod
        RecordId = $_.RecordId
    }
}

$Report | Export-Csv -Path "C:\Temp\IPsec_MainMode_Report_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
  2. Configurez des alertes automatisées pour les violations de politique IPsec:
    Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4961" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    Send-MailMessage -To 'admin@company.com' -From 'ipsec-monitor@company.com' -Subject 'IPsec Main Mode Failure' -Body "Failed negotiation detected at $(Get-Date)" -SmtpServer 'mail.company.com'
}
  3. Configurez le transfert d'événements Windows pour une surveillance IPsec centralisée:
    wecutil cs subscription.xml
    Où subscription.xml contient la configuration de collecte d'événements IPsec
  4. Utilisez la stratégie de groupe pour standardiser la journalisation IPsec sur le domaine:
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
    • Activez Audit du mode principal IPsec et Audit du mode rapide IPsec
    • Configurez l'audit de Succès et Échec selon les besoins
Astuce pro : Dans Windows Server 2025, utilisez le nouveau fournisseur IPsec Analytics ETW pour la surveillance des performances en temps réel : Get-WinEvent -ListProvider Microsoft-Windows-IPsec-Analytics

Aperçu

L'ID d'événement 4962 se déclenche lorsque Windows établit avec succès une association de sécurité (SA) en mode principal IPsec entre deux points de terminaison réseau. Cet événement apparaît dans le journal de sécurité et indique que la phase initiale de négociation IPsec s'est terminée avec succès. Le mode principal établit le canal sécurisé utilisé pour les négociations en mode rapide ultérieures qui protègent le trafic de données réel.

Cet événement est crucial pour les environnements utilisant IPsec pour la sécurité réseau, les connexions VPN ou les politiques d'isolation de domaine. L'événement contient des informations détaillées sur les paramètres de sécurité négociés, y compris les algorithmes de chiffrement, les méthodes d'authentification et les identifiants des points de terminaison. Les administrateurs système surveillant les déploiements IPsec s'appuient sur cet événement pour vérifier l'établissement correct du tunnel et résoudre les problèmes de connectivité.

L'événement apparaît généralement aux côtés d'autres événements liés à IPsec dans la plage 4960-4970 et fournit des informations d'audit essentielles pour la conformité et la surveillance de la sécurité. Comprendre cet événement aide les administrateurs à valider l'application des politiques IPsec et à identifier les échecs potentiels d'association de sécurité.

Questions Fréquentes

Que signifie l'ID d'événement 4962 et pourquoi est-il important ?+
L'ID d'événement 4962 indique l'établissement réussi d'une association de sécurité en mode principal IPsec entre deux points de terminaison réseau. Cet événement est crucial car il confirme que la phase initiale de négociation IPsec s'est terminée avec succès, établissant le canal sécurisé nécessaire pour la protection des données ultérieure. L'événement fournit des informations d'audit sur les méthodes d'authentification, les algorithmes de chiffrement et les détails des points de terminaison, ce qui le rend essentiel pour la conformité en matière de sécurité et le dépannage réseau dans les environnements utilisant IPsec pour les VPN, l'isolation de domaine ou les politiques de sécurité réseau.
Comment puis-je corréler l'événement 4962 avec d'autres événements IPsec pour un suivi complet de la connexion ?+
L'événement 4962 doit être corrélé avec l'événement 4960 (négociation du mode principal commencée) et l'événement 4978 (mode rapide IPsec établi) pour un suivi complet de la connexion IPsec. Utilisez les valeurs de l'Index de Paramètres de Sécurité (SPI) et les adresses IP source/destination pour faire correspondre les événements liés. La chronologie montre généralement : Événement 4960 → Événement 4962 → Événement 4978. Vous pouvez également corréler avec l'événement 4961 (échec du mode principal) pour identifier les tentatives de réessai. Les requêtes PowerShell filtrant sur ces ID d'événements dans des fenêtres temporelles spécifiques aident à construire des chronologies complètes de sessions IPsec pour le dépannage et l'analyse de sécurité.
Quelles méthodes d'authentification peuvent déclencher l'événement 4962 et comment les identifier ?+
L'événement 4962 peut être déclenché par plusieurs méthodes d'authentification, y compris les certificats d'ordinateur, l'authentification Kerberos, les clés pré-partagées (PSK) et les certificats utilisateur. La méthode d'authentification est spécifiée dans le message de l'événement sous le champ 'Méthode d'authentification'. L'authentification basée sur les certificats apparaît comme 'Certificat de machine' ou 'Certificat utilisateur', Kerberos apparaît comme 'Kerberos', et les clés pré-partagées s'affichent comme 'Clé pré-partagée'. Vous pouvez analyser la distribution des méthodes d'authentification en utilisant PowerShell pour analyser les messages d'événements et regrouper par type d'authentification, aidant à identifier la conformité aux politiques de sécurité et les problèmes potentiels d'authentification.
Pourquoi est-ce que je vois plusieurs entrées d'Événement 4962 pour la même connexion ?+
Plusieurs entrées d'événement 4962 pour la même connexion se produisent généralement en raison du renouvellement de l'association de sécurité IPsec, de changements de politique ou du rétablissement de la connexion après des expirations. Les SA du mode principal IPsec ont des durées de vie configurables (par défaut 8 heures) et se renouvellent automatiquement avant l'expiration. Les interruptions réseau, les mises à jour de politique ou les redémarrages de service peuvent également déclencher de nouvelles négociations en mode principal. Vérifiez les horodatages et les valeurs SPI pour distinguer entre les renouvellements et les nouvelles connexions. Des occurrences fréquentes peuvent indiquer une instabilité du réseau, des paramètres d'expiration agressifs ou des conflits de politique nécessitant une enquête sur la configuration IPsec et la connectivité réseau.
Comment dépanner lorsque l'événement 4962 est manquant mais qu'IPsec devrait être actif ?+
L'absence de l'événement 4962 lorsque IPsec devrait être actif indique des échecs de négociation en mode principal ou des problèmes de politique d'audit. Tout d'abord, vérifiez que les politiques d'audit IPsec sont activées dans la stratégie de groupe sous Configuration avancée de la stratégie d'audit → Accès aux objets → Audit du mode principal IPsec. Recherchez l'événement 4961 (échec du mode principal) qui indique des tentatives de négociation échouées. Vérifiez que les politiques IPsec sont correctement configurées en utilisant 'netsh ipsec dynamic show all' et vérifiez les règles IPsec du pare-feu Windows. Examinez la connectivité réseau, la validité des certificats, la synchronisation temporelle et les règles du pare-feu permettant le trafic IKE sur le port UDP 500. Activez la journalisation du service IPsec pour obtenir des informations détaillées de dépannage.
Documentation

Références (2)

1
Microsoft Learn - IPsec Security EventsOfficial documentation covering IPsec Main Mode auditing including Event 4962 details and configuration guidance.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-ipsec-main-mode
2
Windows Security Auditing Events ReferenceComprehensive reference for Windows security events including IPsec-related events 4960-4970 range with detailed explanations.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#ipsec-security#event-id-4962#network-auditing

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...