ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Network security monitoring dashboard showing Windows Event Viewer with IPsec authentication events
Event ID 4983ErrorMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4983 – Microsoft-Windows-Security-Auditing : Échec de l'authentification en mode principal IPsec

L'ID d'événement 4983 indique un échec d'authentification en mode principal IPsec lors de l'établissement d'une connexion VPN ou réseau sécurisé. Cet événement d'audit de sécurité aide à identifier les problèmes d'authentification dans les communications IPsec.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4983Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4983 représente un événement d'audit de sécurité critique qui se produit lorsque l'authentification en mode principal IPsec échoue lors de la phase initiale de l'établissement d'un tunnel sécurisé. Le mode principal IPsec est responsable de l'authentification des pairs et de la négociation des paramètres de sécurité avant le début de toute transmission de données.

L'événement contient des informations détaillées sur la tentative d'authentification échouée, y compris les adresses IP source et destination, la méthode d'authentification qui a échoué, et des codes d'erreur spécifiques qui aident à identifier la cause principale. Les méthodes d'authentification courantes incluent les certificats, les clés pré-partagées et l'authentification Kerberos.

Dans les environnements Windows, cet événement apparaît fréquemment lorsque les clients DirectAccess ne parviennent pas à se connecter aux réseaux d'entreprise, lorsque les connexions VPN Always On rencontrent des problèmes d'authentification, ou lorsque les politiques IPsec entre les contrôleurs de domaine et les serveurs membres ne peuvent pas établir de canaux sécurisés. L'événement se produit également dans les scénarios de VPN site-à-site où les informations d'identification d'authentification sont mal configurées ou expirées.

Le moment et la fréquence de ces événements fournissent des informations précieuses sur la posture de sécurité du réseau. Des échecs répétés provenant de la même source peuvent indiquer une tentative d'attaque, tandis que des échecs sporadiques pointent souvent vers des problèmes de configuration ou des problèmes d'expiration de certificat.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Certificats expirés ou invalides utilisés pour l'authentification IPsec
  • Incompatibilités de clé pré-partagée entre pairs IPsec
  • Configuration incorrecte de la politique IPsec sur l'un des points de terminaison
  • Échecs de validation de la chaîne de certificats ou certificats racine manquants
  • Échecs d'authentification Kerberos dans les environnements de domaine
  • Problèmes de connectivité réseau empêchant la récupération correcte des certificats
  • Problèmes de synchronisation temporelle affectant la validité des certificats
  • Règles de pare-feu bloquant le trafic de négociation IPsec sur UDP 500/4500
  • Problèmes de configuration NAT-T dans les environnements NAT
  • Problèmes d'accessibilité de la liste de révocation de certificats (CRL)
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte de l'échec d'authentification.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4983 en utilisant l'option de filtre
  3. Double-cliquez sur l'événement 4983 le plus récent pour voir les détails
  4. Notez l'Adresse Réseau Source et l'Adresse Réseau de Destination
  5. Vérifiez le champ Méthode d'Authentification (Certificat, PreSharedKey, ou Kerberos)
  6. Enregistrez la Raison de l'Échec et tout code d'erreur fourni

Utilisez PowerShell pour extraire plusieurs événements pour une analyse de modèle :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4983} -MaxEvents 50 | Select-Object TimeCreated, @{Name='SourceIP';Expression={$_.Properties[1].Value}}, @{Name='DestIP';Expression={$_.Properties[2].Value}}, @{Name='AuthMethod';Expression={$_.Properties[3].Value}} | Format-Table -AutoSize
Astuce pro : Recherchez des motifs dans les IP sources et les méthodes d'authentification pour identifier s'il s'agit d'un problème de politique généralisé ou isolé à des systèmes spécifiques.
02

Vérifier la configuration de la politique IPsec

Vérifiez les politiques IPsec locales et assurez-vous qu'elles correspondent à la configuration attendue pour votre environnement.

  1. Ouvrez Windows Defender Firewall avec sécurité avancée
  2. Accédez à Règles de sécurité de connexion dans le volet de gauche
  3. Examinez les règles actives et leurs exigences d'authentification
  4. Cliquez avec le bouton droit sur chaque règle et sélectionnez Propriétés pour vérifier les méthodes d'authentification
  5. Vérifiez l'onglet Authentification pour les paramètres de certificat ou de clé pré-partagée

Utilisez PowerShell pour examiner les politiques IPsec de manière programmatique :

# Voir les règles de sécurité de connexion IPsec
Get-NetIPsecRule | Select-Object DisplayName, Enabled, Direction, Action | Format-Table -AutoSize

# Vérifiez les règles du mode principal IPsec
Get-NetIPsecMainModeRule | Select-Object DisplayName, Enabled, MainModeCryptoSet | Format-Table -AutoSize

# Examinez les méthodes d'authentification
Get-NetIPsecPhase1AuthSet | Select-Object DisplayName, Proposal | Format-List

Pour les systèmes joints à un domaine, vérifiez les paramètres IPsec de la stratégie de groupe :

# Vérifiez les politiques IPsec appliquées de la stratégie de groupe
gpresult /h c:\temp\gp_report.html
# Examinez la section IPsec dans le rapport généré
Avertissement : La modification des politiques IPsec peut perturber la connectivité réseau. Testez toujours les modifications dans un environnement contrôlé d'abord.
03

Valider la configuration et l'état de santé du certificat

Lorsque l'authentification par certificat est utilisée, vérifiez la validité et l'accessibilité du certificat.

  1. Ouvrez Microsoft Management Console (MMC) et ajoutez le composant logiciel enfichable Certificats
  2. Accédez à PersonnelCertificats pour voir les certificats de la machine
  3. Vérifiez les dates d'expiration des certificats et assurez-vous que les certificats IPsec sont présents
  4. Vérifiez la chaîne de certificats en double-cliquant sur les certificats et en vérifiant l'onglet Chemin de certification
  5. Assurez-vous que le certificat a l'usage de clé amélioré approprié pour IPsec

Utilisez PowerShell pour auditer l'état des certificats :

# Lister les certificats de la machine avec IPsec EKU
Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.EnhancedKeyUsageList -match "IP security IKE intermediate"} | Select-Object Subject, NotAfter, Thumbprint | Format-Table -AutoSize

# Vérifier la validation de la chaîne de certificats
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*YourServerName*"}
$chain = New-Object System.Security.Cryptography.X509Certificates.X509Chain
$chain.Build($cert)
$chain.ChainStatus

Testez l'accessibilité du certificat depuis le pair défaillant :

# Tester l'accès au magasin de certificats
Certlm.msc
# Accédez aux Autorités de certification racines de confiance pour vérifier les certificats CA

Vérifiez l'accessibilité de la liste de révocation de certificats (CRL) :

# Tester le téléchargement de la CRL
$cert = Get-ChildItem Cert:\LocalMachine\My | Select-Object -First 1
$cert.Extensions | Where-Object {$_.Oid.FriendlyName -eq "CRL Distribution Points"}
04

Activer la journalisation de diagnostic IPsec et analyser le trafic

Activez la journalisation IPsec détaillée pour capturer les détails de négociation et identifier les points de défaillance spécifiques.

  1. Ouvrez l'Éditeur du Registre et accédez à HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters
  2. Créez une nouvelle valeur DWORD nommée EnableLogging et définissez-la sur 1
  3. Créez une autre DWORD nommée LogFilePath et définissez le chemin sur C:\Windows\debug\ipsec.log
  4. Redémarrez le service IPsec Policy Agent

Configurez la journalisation IPsec avancée via PowerShell :

# Activer la journalisation d'audit IPsec
Auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
Auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
Auditpol /set /subcategory:"IPsec Extended Mode" /success:enable /failure:enable

# Redémarrer les services IPsec
Restart-Service PolicyAgent
Restart-Service IKEEXT

Utilisez netsh pour activer le traçage IPsec :

# Démarrer le traçage IPsec
netsh wfp capture start file=c:\temp\ipsec_trace.etl keywords=19

# Reproduire le problème, puis arrêter le traçage
netsh wfp capture stop

# Convertir le traçage pour analyse
netsh trace convert input=c:\temp\ipsec_trace.etl output=c:\temp\ipsec_trace.txt

Surveillez les événements IPsec en temps réel :

# Surveiller les événements IPsec en temps réel
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4960,4961,4983,5453} -MaxEvents 1 | Wait-Event
Astuce pro : Les journaux de diagnostic IPsec peuvent croître rapidement. Surveillez l'espace disque et désactivez la journalisation après le dépannage.
05

Dépannage avancé du réseau et de Kerberos

Pour les échecs d'authentification complexes, examinez les problèmes sous-jacents de réseau et de Kerberos qui peuvent empêcher l'authentification IPsec.

  1. Vérifiez la connectivité réseau sur les ports IPsec en utilisant PowerShell :
# Test de la connectivité des ports IPsec
Test-NetConnection -ComputerName target_server -Port 500 -InformationLevel Detailed
Test-NetConnection -ComputerName target_server -Port 4500 -InformationLevel Detailed
  1. Vérifiez la synchronisation de l'heure entre les pairs IPsec :
# Vérifiez l'état de la synchronisation de l'heure
w32tm /query /status
w32tm /query /peers

# Forcez la synchronisation de l'heure si nécessaire
w32tm /resync /force
  1. Pour les problèmes d'authentification Kerberos, examinez les tickets Kerberos :
# Liste des tickets Kerberos actuels
klist

# Purgez et rafraîchissez les tickets Kerberos
klist purge
gpupdate /force
  1. Analysez les traces réseau pour les échecs de négociation IPsec :
# Capturez le trafic réseau pendant la négociation IPsec
netsh trace start capture=yes tracefile=c:\temp\network_trace.etl provider=Microsoft-Windows-WFP keywords=0x0000000000000010

# Arrêtez la trace après avoir reproduit le problème
netsh trace stop
  1. Vérifiez la résolution DNS pour la validation des certificats :
# Testez la résolution DNS pour les points de terminaison CRL et OCSP
nslookup crl.microsoft.com
nslookup ocsp.microsoft.com

# Testez les URL de validation des certificats
Certutil -url certificate.cer
Avertissement : La traçabilité réseau peut impacter les performances. Utilisez-la pendant les fenêtres de maintenance ou les périodes de faible trafic.

Aperçu

L'ID d'événement 4983 se déclenche lorsque Windows échoue à s'authentifier lors de la négociation du mode principal IPsec. Cet événement apparaît dans le journal de sécurité lorsqu'un système ne peut pas établir un tunnel IPsec sécurisé en raison d'échecs d'authentification. Le mode principal est la première phase de la négociation IPsec où les pairs s'authentifient mutuellement et établissent des associations de sécurité.

Cet événement se produit couramment dans les environnements d'entreprise utilisant des politiques IPsec, des déploiements DirectAccess, des configurations VPN Always On, ou des connexions VPN site-à-site. L'échec provient généralement de problèmes de certificat, de discordances de clé pré-partagée, ou de problèmes de configuration de politique.

Lors de l'investigation de cet événement, vérifiez le journal de sécurité pour des événements IPsec connexes comme 4960, 4961, et 5453. L'événement fournit des détails cruciaux incluant l'IP source, l'IP de destination, la méthode d'authentification tentée, et la raison de l'échec. Comprendre ces détails aide à identifier si le problème est lié au certificat, à l'authentification par clé pré-partagée, ou à Kerberos.

Cet événement est particulièrement important pour les administrateurs réseau gérant les communications sécurisées dans les environnements de domaine où les politiques IPsec imposent le chiffrement du trafic entre les systèmes.

Questions Fréquentes

Que signifie l'ID d'événement 4983 et quand se produit-il ?+
L'ID d'événement 4983 indique que l'authentification en mode principal IPsec a échoué lors de la phase initiale de l'établissement d'un tunnel sécurisé entre deux systèmes. Cet événement se produit lorsque Windows ne peut pas s'authentifier avec un pair distant en utilisant la méthode configurée (certificats, clés pré-partagées ou Kerberos). Il apparaît couramment dans les connexions VPN, les déploiements DirectAccess et les environnements avec des politiques IPsec imposant des communications chiffrées entre systèmes.
Comment puis-je identifier quelle méthode d'authentification a échoué dans l'ID d'événement 4983 ?+
Ouvrez les détails de l'événement dans l'Observateur d'événements et recherchez le champ 'Méthode d'authentification' dans les propriétés de l'événement. La valeur indiquera si l'authentification par certificat, l'authentification par clé pré-partagée ou l'authentification Kerberos a échoué. Vous pouvez également utiliser PowerShell pour extraire cette information : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4983} -MaxEvents 10 | ForEach-Object {$_.Properties[3].Value} pour voir les méthodes d'authentification des échecs récents.
Pourquoi vois-je plusieurs entrées d'ID d'événement 4983 provenant de la même adresse IP source ?+
Plusieurs événements 4983 provenant de la même source indiquent généralement des échecs d'authentification persistants, souvent dus à des incompatibilités de configuration ou à des certificats expirés. Le système distant continue de tenter d'établir des connexions IPsec mais échoue à chaque fois. Ce schéma suggère des problèmes systémiques plutôt que des problèmes de réseau isolés. Vérifiez l'expiration des certificats, les incompatibilités de clés pré-partagées ou les conflits de politiques IPsec entre les systèmes.
L'ID d'événement 4983 peut-il indiquer une attaque de sécurité ou simplement des problèmes de configuration ?+
L'ID d'événement 4983 peut indiquer les deux scénarios. La plupart des occurrences sont causées par des problèmes de configuration légitimes, tels que des certificats expirés ou des incompatibilités de politique. Cependant, des échecs répétés provenant d'adresses IP inconnues ou suspectes pourraient indiquer des tentatives de reconnaissance ou de force brute contre votre infrastructure IPsec. Surveillez la fréquence, les IP sources et les schémas temporels. Les échecs légitimes se produisent généralement pendant les heures de bureau à partir de plages réseau connues, tandis que les attaques montrent souvent des schémas irréguliers provenant de sources externes ou inattendues.
Comment puis-je empêcher l'ID d'événement 4983 de se reproduire dans mon environnement ?+
Prévenez les événements récurrents 4983 en mettant en œuvre une gestion proactive des certificats, en assurant des politiques IPsec cohérentes sur tous les systèmes et en maintenant une synchronisation temporelle appropriée. Configurez la surveillance de l'expiration des certificats à l'aide de scripts PowerShell ou d'outils de gestion des certificats d'entreprise. Auditez régulièrement les politiques IPsec pour assurer leur cohérence, surtout après des modifications de la stratégie de groupe. Assurez-vous que tous les systèmes peuvent accéder aux listes de révocation de certificats et aux répondeurs OCSP. Pour les environnements à clé pré-partagée, mettez en œuvre des procédures de rotation sécurisée des clés et vérifiez la cohérence des clés sur tous les pairs.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security audit events including IPsec-related events and their meanings.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
IPsec Configuration and Troubleshooting GuideOfficial Microsoft documentation covering IPsec implementation, configuration, and troubleshooting in Windows environments.https://docs.microsoft.com/en-us/windows/security/threat-protection/ipsec/ipsec-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#ipsec-authentication#event-id-4983

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...