ID d'événement Windows 4977 – Microsoft-Windows-Security-Auditing : Association de sécurité en mode principal IPsec établie

Commencez par examiner les détails complets de l'événement pour comprendre les paramètres de connexion IPsec.

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4977 en utilisant l'option de filtre
3. Double-cliquez sur l'entrée la plus récente de l'événement 4977
4. Examinez l'onglet Général pour obtenir des informations de base
5. Cliquez sur l'onglet Détails et sélectionnez Vue XML pour obtenir des données complètes
6. Notez les champs clés suivants :
   • LocalAddress et RemoteAddress - adresses IP des points d'extrémité
   • AuthenticationMethod - méthode d'authentification des points d'extrémité
   • CipherAlgorithm et HashAlgorithm - détails de chiffrement
   • KeyLength - taille de la clé de chiffrement
   • LifetimeSeconds - période de validité de la SA

Utilisez PowerShell pour interroger et analyser efficacement les événements IPsec Main Mode sur plusieurs systèmes.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes de l'événement 4977 :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4977} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Extrayez des informations détaillées sur IPsec :

   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4977} -MaxEvents 10
   foreach ($Event in $Events) {
       $XML = [xml]$Event.ToXml()
       $EventData = $XML.Event.EventData.Data
       Write-Host "Time: $($Event.TimeCreated)"
       Write-Host "Local IP: $($EventData | Where-Object {$_.Name -eq 'LocalAddress'} | Select-Object -ExpandProperty '#text')"
       Write-Host "Remote IP: $($EventData | Where-Object {$_.Name -eq 'RemoteAddress'} | Select-Object -ExpandProperty '#text')"
       Write-Host "Auth Method: $($EventData | Where-Object {$_.Name -eq 'AuthenticationMethod'} | Select-Object -ExpandProperty '#text')"
       Write-Host "---"
   }

4. Vérifiez les événements de suppression correspondants :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4978} -MaxEvents 10 | Format-Table TimeCreated, Message -Wrap

Vérifiez que les associations de sécurité établies correspondent à vos politiques IPsec configurées.

1. Vérifiez les politiques IPsec actuelles en utilisant netsh :

   netsh ipsec static show all

2. Examinez les règles de sécurité de connexion du Pare-feu Windows :

   Get-NetIPsecRule | Format-Table DisplayName, Enabled, Direction, Action

3. Examinez les associations de sécurité IPsec actives :

   netsh ipsec dynamic show all

4. Pour les environnements Windows Server, vérifiez les paramètres IPsec de la stratégie de groupe :
   • Ouvrez Group Policy Management Console
   • Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Politiques de sécurité IP
   • Vérifiez que les politiques assignées correspondent aux méthodes d'authentification dans l'événement 4977
5. Recoupez les détails de l'événement avec la configuration de la politique :

   Get-NetIPsecMainModeSA | Format-Table LocalEndpoint, RemoteEndpoint, AuthenticationMethod, CipherAlgorithm

Mettre en œuvre une surveillance complète pour suivre la santé et les indicateurs de performance du tunnel IPsec.

1. Créer un script PowerShell pour la surveillance continue d'IPsec:

   # IPsec-Monitor.ps1
   $LogFile = "C:\Logs\IPsec-Monitor.log"
   while ($true) {
       $NewEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4977; StartTime=(Get-Date).AddMinutes(-5)} -ErrorAction SilentlyContinue
       foreach ($Event in $NewEvents) {
           $XML = [xml]$Event.ToXml()
           $EventData = $XML.Event.EventData.Data
           $LogEntry = "$(Get-Date): New IPsec SA - Local: $($EventData[0].'#text') Remote: $($EventData[1].'#text')"
           Add-Content -Path $LogFile -Value $LogEntry
       }
       Start-Sleep -Seconds 300
   }

2. Configurer les compteurs du Windows Performance Toolkit:

   Get-Counter "\IPSec Connections\Active Tunnels" -Continuous

3. Surveiller les clés de registre liées à IPsec pour les changements de politique:

   HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy

4. Créer une tâche planifiée pour des vérifications régulières de la santé d'IPsec:

   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\IPsec-Monitor.ps1"
   $Trigger = New-ScheduledTaskTrigger -Daily -At 9am
   Register-ScheduledTask -TaskName "IPsec Health Monitor" -Action $Action -Trigger $Trigger

Effectuez une analyse approfondie des paquets lorsque des problèmes d'établissement IPsec nécessitent une enquête détaillée.

1. Activez la journalisation d'audit IPsec pour un dépannage détaillé :

   auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
   auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable

2. Démarrez la capture de paquets réseau pendant la négociation IPsec :

   netsh trace start capture=yes provider=Microsoft-Windows-IPsec tracefile=C:\Traces\ipsec.etl

3. Reproduisez la connexion IPsec et arrêtez la trace :

   netsh trace stop

4. Analysez le fichier de trace à l'aide de Network Monitor ou Wireshark pour examiner les paquets IKE
5. Activez la journalisation de diagnostic IPsec :

   HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging = 1

6. Examinez les journaux IPsec dans %SystemRoot%\debug\oakley.log
7. Utilisez PowerShell pour corréler les événements réseau avec les événements de sécurité :

   $StartTime = (Get-Date).AddHours(-1)
   $IPsecEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4977,4978,5049; StartTime=$StartTime}
   $NetworkEvents = Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-Network'; StartTime=$StartTime}
   # Corrélez les événements par horodatage et adresses IP