ID d'événement Windows 4978 – Sécurité : Échec de la négociation en mode principal IPsec

Commencez par examiner les détails spécifiques de l'échec enregistrés dans le journal de sécurité :

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4978 en utilisant l'option de filtre
3. Double-cliquez sur l'événement 4978 le plus récent pour voir les détails
4. Notez les champs Adresse source, Adresse de destination et Point d'échec
5. Vérifiez les valeurs de Méthode d'authentification et Code d'erreur

Utilisez PowerShell pour extraire des informations détaillées :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4978} -MaxEvents 10 | Format-List TimeCreated, Message

Pour une analyse plus détaillée avec des propriétés spécifiques :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4978} | ForEach-Object { [xml]$xml = $_.ToXml(); $xml.Event.EventData.Data }

Vérifiez les politiques IPsec locales et comparez-les avec les exigences du point de terminaison distant :

1. Ouvrez Windows Defender Firewall avec sécurité avancée
2. Accédez à Règles de sécurité de connexion pour examiner les politiques actives
3. Cliquez avec le bouton droit sur les règles problématiques et sélectionnez Propriétés
4. Vérifiez que les paramètres de l'onglet Authentification correspondent aux exigences distantes
5. Vérifiez l'onglet Avancé pour les configurations de protocole et de port

Utilisez PowerShell pour examiner les politiques IPsec :

Get-NetIPsecRule | Where-Object {$_.Enabled -eq 'True'} | Format-Table DisplayName, Profile, Direction

Vérifiez les paramètres cryptographiques du mode principal :

Get-NetIPsecMainModeCryptoSet | Format-List DisplayName, Proposal

Vérifiez les méthodes d'authentification :

Get-NetIPsecAuthProposal | Format-List DisplayName, AuthenticationMethod

Vérifiez que le trafic IPsec peut atteindre le point de terminaison distant :

1. Testez la connectivité de base à l'adresse IP distante :

Test-NetConnection -ComputerName [RemoteIP] -Port 500 -InformationLevel Detailed

2. Vérifiez la connectivité NAT-T sur le port 4500 :

Test-NetConnection -ComputerName [RemoteIP] -Port 4500

3. Vérifiez que les règles du Pare-feu Windows permettent le trafic IPsec :

Get-NetFirewallRule -DisplayName '*IPsec*' | Where-Object {$_.Enabled -eq 'True'}

4. Vérifiez les règles de blocage qui pourraient interférer :

Get-NetFirewallRule | Where-Object {$_.Action -eq 'Block' -and $_.Enabled -eq 'True'} | Format-Table DisplayName, Direction

5. Utilisez netsh pour vérifier l'état du moniteur IPsec :

netsh ipsec dynamic show all

Lors de l'utilisation de l'authentification basée sur les certificats, vérifiez la validité des certificats et les chaînes de confiance :

1. Ouvrez Gestionnaire de certificats (certmgr.msc) et vérifiez le magasin Personnel
2. Vérifiez que le certificat IPsec est présent et valide
3. Vérifiez les dates d'expiration des certificats et assurez-vous qu'elles sont dans la période de validité
4. Validez la chaîne de certificats dans Autorités de certification racines de confiance

Utilisez PowerShell pour examiner les certificats :

Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.EnhancedKeyUsageList -match 'IP security IKE intermediate'}

Vérifiez la validité et l'expiration des certificats :

Get-ChildItem -Path Cert:\LocalMachine\My | Select-Object Subject, NotAfter, Thumbprint | Format-Table

Pour l'authentification par clé pré-partagée, vérifiez la configuration de la clé :

1. Ouvrez Stratégie de sécurité locale (secpol.msc)
2. Accédez à Stratégies de sécurité IP sur l'ordinateur local
3. Cliquez avec le bouton droit sur la stratégie active et sélectionnez Propriétés
4. Vérifiez les méthodes d'authentification dans les règles de la stratégie

Activez la journalisation IPsec complète pour un dépannage détaillé :

1. Activez la journalisation d'audit IPsec dans la stratégie de groupe ou la stratégie de sécurité locale :

Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit système → Ouverture/Fermeture de session

2. Activez Audit du mode principal IPsec pour les réussites et les échecs
3. Configurez la journalisation avancée IPsec à l'aide de netsh :

netsh ipsec dynamic set config ipsecloginterval=60

4. Activez la journalisation IKE pour une analyse détaillée des négociations :

netsh wfp set options keywords=IKEV1+IKEV2

5. Utilisez Windows Performance Toolkit pour une analyse au niveau des paquets :

netsh trace start capture=yes provider=Microsoft-Windows-WFP tracefile=ipsec_trace.etl

6. Reproduisez le problème, puis arrêtez la traçabilité :

netsh trace stop

Analysez le fichier de traçabilité à l'aide de Network Monitor ou Wireshark pour une inspection détaillée des paquets.