Windows Security Center /wscsvc
Windows 10 v1809へアップデートしたタイミングで、Windows Security Center(wscsvc)に関連する3つのエラーログが記録されました。
wscsvc は、同一のGuidに対して3つの異なる CLSID が関連付けられています。
ログでは「APPID:利用不可」と記録されているので、修正対象を特定できないため、コンポーネントサービスを利用した修正方法は使えません。
ログに記録される原因は特定できたので、修正方法を紹介します。
Guid | {1b562e86-b7aa-4131-badc-b6f3a001407e} |
CLSID |
|
ログに対処する方法
今回記録されたログにどう対応するか?マイクロソフトは無視することを推奨しています。
Security Center のスタートアップを変更するには?
Security Center がロードされるタイミングを変更する方法です。手順はシンプルですが、Security Centerサービス(wscsvc) のスタートアップは変更できないようにガードされているためひと手間必要です。
イベントログ
3種類のエラーのうち、Windows.SecurityCenter.WscDataProtectionのログを掲載します。
残り2つは [Windows.SecurityCenter.WscDataProtection] の文字を以下の文字に置き換えたものと同じです。
- Windows.SecurityCenter.WscBrokerManager
- Windows.SecurityCenter.SecurityAppBroker
メッセージ | アプリケーション固有 のアクセス許可の設定では、CLSID Windows.SecurityCenter.WscDataProtection および APPID 利用不可 の COM サーバー アプリケーションに対するローカル起動のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。 |
ログの名前 | システム |
ソース | DistributedCOM |
イベントID | 10016 |
レベル | エラー |
ユーザー | SYSTEM |
オペコード | 情報 |
Guid | {1b562e86-b7aa-4131-badc-b6f3a001407e} |
ExecTI について
ExecTIは、プログラムや管理コンソールをTrustedInstaller権限で起動することができるソフトウェアです。
通常起動したWindowsサービスは、Security Centerのスタートアップの種類の横のドロップダウンリストがグレーになっているので変更できませんが、ExecTIから起動したWindowsサービスはSecurity Centerのスタートアップの種類を変更することができます。
ソフトウェア情報
ExecTI の解説はこちらの記事が詳しいです。
ExecTI+サービスコンソール(パターンA)
フリーソフトウェア ExecTI を利用して、Security Center のスタートアップの種類を変更する方法を紹介します。
Security Centerのスタートアップの種類を「自動(遅延開始)」→「自動」に変更するとログの記録が止まります。
1. サービスを起動する
ExecTI からサービスを起動します。- ExecTIを起動する
- Openの横のボックスに「services.msc」と入力する
- OKをクリックする
2. Security Center
サービスが起動したら Security Center を探してプロパティを表示します。- Security Center を探す
- ダブルクリックまたは、右クリック > プロパティ を選択する
3. スタートアップの種類
中段にあるスタートアップの種類を「自動」に変更します。変更後 | 自動 |
変更前 | 自動(遅延開始) |
4. 手順終了
以上で手順は終了です。PCを再起動してイベントビューアーを確認しましょう。
レジストリエディタを使用する方法(パターンB)
不測の事態に備えてレジストリのバックアップを取っておきましょう。
レジストリエディターを使用すると ExecTI と同じことが実現できます。この方法はリスクが伴うため自己責任で行ってください。
検索する値は、Security Centerのサービス名「wscsvc」です。
複数の場所でヒットしますが、この記事で対象にしているのは以下の階層の [wscsvc] です。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
ログの記録を止める(パターンC)
ログの記録を止めてイベントビューアーをスッキリさせます。
以下のキーを探して、Enabled の値を 1 から 0 に変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{1b562e86-b7aa-4131-badc-b6f3a001407e}
資料1:SID (S-1-5-18)
ログの「NT AUTHORITY\SYSTEM SID (S-1-5-18)」について調べたのでメモしておきます。
S-1-5-18 はSID(セキュリティ識別子)のことで、Windows をインストールする時に自動的に作成されるビルトインアカウント (Local System) に付与されます。
資料2
Windows.SecurityCenter.WscBrokerManager についてそのエラーは、基本的には無視しても構わないはずです。
原因としては、ユーザーがWindows にログインする前に各種アプリケーションがバックグラウンドでメモリー上にプリロードされていく中で、権限不足によって発生しているものです。
ログイン時に正式にアプリケーションが起動されるときにはログインしたことで解消されていますので、実害はないはずです。
このことも、Windowsの起動時にストレージへのアクセスが緩慢になるまでログインしてはいけない理由の一つになっています。
マイクロソフト コミュニティ
資料3
まとめ
このサイトを検索 | Search this site