[EventId 10016] ログを止める Windows.SecurityCenter.WscBrokerManager

このサイトを検索 | Search this site
warning
Guid {1b562e86-b7aa-4131-badc-b6f3a001407e}

Windows 10 v1809へアップデートしたタイミングで、
Security Center(wscsvc)に関連する3つのエラーログが記録されました。

同一のGuidに対して、3つの異なるCLSIDの組み合わせです。

wscsvc
Guid{1b562e86-b7aa-4131-badc-b6f3a001407e}
CLSID
  1. Windows.SecurityCenter.WscBrokerManager
  2. Windows.SecurityCenter.SecurityAppBroker
  3. Windows.SecurityCenter.WscDataProtection

「APPID:利用不可」なので、ログが示すコンポーネントサービスの手順は使えません。

緩和策

[PLAN]
  1. ログの記録を止める ← この記事
  2. Security Centerのスタートアップを変更する(SC2
  3. 無視する(Microsoft推奨)

[EVENT10016] DCOM:Security Center|スタートアップの種類を変更

Security Centerサービスのスタートアップは変更できないようにガードされています。[パターン]ExecTIを利用して修復する、レジストリエディターを利用して修復する、イベントログの記録を停止する...



イベントログ

記録に残すために、CLSIDのみ異なる3種類のメッセージを転載します。

イベントログ
メッセージアプリケーション固有 のアクセス許可の設定では、CLSID
Windows.SecurityCenter.WscBrokerManager
および APPID
利用不可
の COM サーバー アプリケーションに対するローカル起動のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。
ログの名前システム
ソースDistributedCOM
イベントID10016
レベルエラー
ユーザーSYSTEM
オペコード情報
Guid{1b562e86-b7aa-4131-badc-b6f3a001407e}

イベントログ
メッセージアプリケーション固有 のアクセス許可の設定では、CLSID
Windows.SecurityCenter.SecurityAppBroker
および APPID
利用不可
の COM サーバー アプリケーションに対するローカル起動のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。
ログの名前システム
ソースDistributedCOM
イベントID10016
レベルエラー
ユーザーSYSTEM
オペコード情報
Guid{1b562e86-b7aa-4131-badc-b6f3a001407e}

イベントログ
メッセージアプリケーション固有 のアクセス許可の設定では、CLSID
Windows.SecurityCenter.WscDataProtection
および APPID
利用不可
の COM サーバー アプリケーションに対するローカル起動のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。
ログの名前システム
ソースDistributedCOM
イベントID10016
レベルエラー
ユーザーSYSTEM
オペコード情報
Guid{1b562e86-b7aa-4131-badc-b6f3a001407e}

ログの記録を止める方法

ログの記録は止まりますが、
エラーは発生しているので根本的な解決策ではありません。

メリットは、イベントビューアーがスッキリします。

[手順]
  1. レジストリエディターを起動する
  2. {1b562e86-b7aa-4131-badc-b6f3a001407e}を検索する
  3. Enabled の値を1から0に変更する

レジストリの操作は自己責任です
レジストリエディターを操作する前に、
不測の事態に備えてレジストリのバックアップを取っておきましょう。

1. レジストリエディターを起動する

Windows キー + R > 名前:regedit

ファイル名を指定して実行

2. {1b562e86-b7aa-4131-badc-b6f3a001407e}を検索する

複数の場所でヒットします。目的の場所は次の通りです。
\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\WMI\Autologger\EventLog-System\{1b562e86-b7aa-4131-badc-b6f3a001407e}

検索

3. Enabled の値を1から0に変更する

Enable:0 に変更したらパソコンを再起動して数秒してからイベントビューアーを起動して確認しましょう。

※Security Center サービスは遅延起動されるため、PC起動直後は効果を確認することができません。

レジストリエディタ

まとめ

[EVENT ID 10016]
  • ソース:DistributedCOM (DCOM)
  • APPIDの名前:利用不可
  • ユーザー:SYSTEM
  • DCOMイベントは、マイクロソフトは無視を推奨している。
  • Windows サービス「Security Center」のスタートアップを「自動」に変更するとログが消える。(関連記事)

SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site