[EventId 10016] Security Center のスタートアップを変更する方法

Atom | RSS

このサイトを検索 | Search this site

Guid {1b562e86-b7aa-4131-badc-b6f3a001407e}

to english

Windows Security Center /wscsvc

Windows 10 v1809へアップデートしたタイミングで、Windows Security Center（wscsvc）に関連する3つのエラーログが記録されました。

wscsvc は、同一のGuidに対して3つの異なる CLSID が関連付けられています。

ログでは「APPID：利用不可」と記録されているので、修正対象を特定できないため、コンポーネントサービスを利用した修正方法は使えません。

ログに記録される原因は特定できたので、修正方法を紹介します。

wscsvc
Guid	{1b562e86-b7aa-4131-badc-b6f3a001407e}
CLSID	Windows.SecurityCenter.WscBrokerManager Windows.SecurityCenter.SecurityAppBroker Windows.SecurityCenter.WscDataProtection

ログに対処する方法

今回記録されたログにどう対応するか？マイクロソフトは無視することを推奨しています。

[PLAN]

Security Centerのスタートアップを変更する ← この記事
ログの記録を止める（SC2）
*ログに記録されることを止めるだけなので根本的な解決策ではないが、ログが目に触れることによるストレスを軽減できる。
無視する（Microsoft推奨）

Security Center のスタートアップを変更するには？

Security Center がロードされるタイミングを変更する方法です。手順はシンプルですが、Security Centerサービス(wscsvc) のスタートアップは変更できないようにガードされているためひと手間必要です。

[wscsvc のスタートアップを変更する方法]

ExecTIを利用する
レジストリエディターを利用する
イベントログの記録を停止する

イベントログ

3種類のエラーのうち、Windows.SecurityCenter.WscDataProtectionのログを掲載します。

残り2つは [Windows.SecurityCenter.WscDataProtection] の文字を以下の文字に置き換えたものと同じです。

Windows.SecurityCenter.WscBrokerManager
Windows.SecurityCenter.SecurityAppBroker

イベントログ
メッセージ	アプリケーション固有のアクセス許可の設定では、CLSID Windows.SecurityCenter.WscDataProtection および APPID 利用不可の COM サーバーアプリケーションに対するローカル起動のアクセス許可を、アプリケーションコンテナー利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティアクセス許可は、コンポーネントサービス管理ツールを使って変更できます。
ログの名前	システム
ソース	DistributedCOM
イベントID	10016
レベル	エラー
ユーザー	SYSTEM
オペコード	情報
Guid	{1b562e86-b7aa-4131-badc-b6f3a001407e}

ExecTI について

ExecTIは、プログラムや管理コンソールをTrustedInstaller権限で起動することができるソフトウェアです。

通常起動したWindowsサービスは、Security Centerのスタートアップの種類の横のドロップダウンリストがグレーになっているので変更できませんが、ExecTIから起動したWindowsサービスはSecurity Centerのスタートアップの種類を変更することができます。

wscsvc_auto_delay_trim — 通常起動したWindowsサービスのスナップショット

ソフトウェア情報

※記事とは異なるバージョンが表示される場合があります。

ExecTI の解説はこちらの記事が詳しいです。

[ExecTI] TrustedInstallerとしてアプリケーションを実行する方法

ExecTI＋サービスコンソール（パターンA）

フリーソフトウェア ExecTI を利用して、Security Center のスタートアップの種類を変更する方法を紹介します。

Security Centerのスタートアップの種類を「自動（遅延開始）」→「自動」に変更するとログの記録が止まります。

1. サービスを起動する

ExecTI からサービスを起動します。

ExecTIを起動する
Openの横のボックスに「services.msc」と入力する
OKをクリックする

2. Security Center

サービスが起動したら Security Center を探してプロパティを表示します。

Security Center を探す
ダブルクリックまたは、右クリック > プロパティを選択する

3. スタートアップの種類

中段にあるスタートアップの種類を「自動」に変更します。


変更後	自動
変更前	自動（遅延開始）

4. 手順終了

以上で手順は終了です。

PCを再起動してイベントビューアーを確認しましょう。

レジストリエディタを使用する方法（パターンB）

レジストリの操作は自己責任です

レジストリエディターを操作する前に、
不測の事態に備えてレジストリのバックアップを取っておきましょう。

レジストリエディターを使用すると ExecTI と同じことが実現できます。この方法はリスクが伴うため自己責任で行ってください。

検索する値は、Security Centerのサービス名「wscsvc」です。

複数の場所でヒットしますが、この記事で対象にしているのは以下の階層の [wscsvc] です。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

自動（遅延開始）から自動に変更するには [DelayedAutoStart=0] に設定します。

ログの記録を止める（パターンC）

ログの記録を止めてイベントビューアーをスッキリさせます。

以下のキーを探して、Enabled の値を 1 から 0 に変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{1b562e86-b7aa-4131-badc-b6f3a001407e}

Guid_Enabled — {1b562e86-b7aa-4131-badc-b6f3a001407e}

資料１：SID (S-1-5-18)

ログの「NT AUTHORITY\SYSTEM SID (S-1-5-18)」について調べたのでメモしておきます。

S-1-5-18 はSID（セキュリティ識別子）のことで、Windows をインストールする時に自動的に作成されるビルトインアカウント (Local System) に付与されます。

[Local Systemの種類]

SYSTEM
Local Service
Network Service
...など

資料２

Windows.SecurityCenter.WscBrokerManager について
そのエラーは、基本的には無視しても構わないはずです。

原因としては、ユーザーがWindows にログインする前に各種アプリケーションがバックグラウンドでメモリー上にプリロードされていく中で、権限不足によって発生しているものです。

ログイン時に正式にアプリケーションが起動されるときにはログインしたことで解消されていますので、実害はないはずです。

このことも、Windowsの起動時にストレージへのアクセスが緩慢になるまでログインしてはいけない理由の一つになっています。
マイクロソフトコミュニティ

資料３

Windows の起動処理

PCの電源ON
Windowsが起動する
Security Centerが遅延開始される ← ここでエラーが記録される
ログイン画面が表示される
ログインする
起動処理終了

まとめ

External link

SC2

ブログサークルSNS
クリックして応援してね！

このサイトを検索 | Search this site

Scrap 2nd. (SC2) Inspection

Header

Scrap 2nd. (SC2) Inspection

[EventId 10016] Security Center のスタートアップを変更する方法