[EventId 10016] Security Center のスタートアップを変更する方法

このサイトを検索 | Search this site
warning
Guid {1b562e86-b7aa-4131-badc-b6f3a001407e}

Windows Security Center /wscsvc

Windows 10 v1809へアップデートしたタイミングで、Windows Security Center(wscsvc)に関連する3つのエラーログが記録されました。

wscsvc は、同一のGuidに対して3つの異なる CLSID が関連付けられています。

ログでは「APPID:利用不可」と記録されているので、修正対象を特定できないため、コンポーネントサービスを利用した修正方法は使えません。

ログに記録される原因は特定できたので、修正方法を紹介します。

wscsvc
Guid{1b562e86-b7aa-4131-badc-b6f3a001407e}
CLSID
  1. Windows.SecurityCenter.WscBrokerManager
  2. Windows.SecurityCenter.SecurityAppBroker
  3. Windows.SecurityCenter.WscDataProtection


ログに対処する方法

warning

今回記録されたログにどう対応するか?マイクロソフトは無視することを推奨しています。

[PLAN]
  1. Security Centerのスタートアップを変更する ← この記事
  2. ログの記録を止める(SC2
    *ログに記録されることを止めるだけなので根本的な解決策ではないが、ログが目に触れることによるストレスを軽減できる。
  3. 無視する(Microsoft推奨)

Security Center のスタートアップを変更するには?

Security Center がロードされるタイミングを変更する方法です。手順はシンプルですが、Security Centerサービス(wscsvc) のスタートアップは変更できないようにガードされているためひと手間必要です。

[wscsvc のスタートアップを変更する方法]
  1. ExecTIを利用する
  2. レジストリエディターを利用する
  3. イベントログの記録を停止する

イベントログ

3種類のエラーのうち、Windows.SecurityCenter.WscDataProtectionのログを掲載します。

残り2つは [Windows.SecurityCenter.WscDataProtection] の文字を以下の文字に置き換えたものと同じです。

  • Windows.SecurityCenter.WscBrokerManager
  • Windows.SecurityCenter.SecurityAppBroker
イベントログ
メッセージアプリケーション固有 のアクセス許可の設定では、CLSID
Windows.SecurityCenter.WscDataProtection
および APPID
利用不可
の COM サーバー アプリケーションに対するローカル起動のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。
ログの名前システム
ソースDistributedCOM
イベントID10016
レベルエラー
ユーザーSYSTEM
オペコード情報
Guid{1b562e86-b7aa-4131-badc-b6f3a001407e}

ExecTI について

ExecTI

ExecTIは、プログラムや管理コンソールをTrustedInstaller権限で起動することができるソフトウェアです。

通常起動したWindowsサービスは、Security Centerのスタートアップの種類の横のドロップダウンリストがグレーになっているので変更できませんが、ExecTIから起動したWindowsサービスはSecurity Centerのスタートアップの種類を変更することができます。

通常起動したWindowsサービスのスナップショット
wscsvc_auto_delay_trim

ソフトウェア情報

※記事とは異なるバージョンが表示される場合があります。

ExecTI の解説はこちらの記事が詳しいです。

[ExecTI] TrustedInstallerとしてアプリケーションを実行する方法

[ExecTI] TrustedInstallerとしてアプリケーションを実行する方法

ExecTIは、TrustedInstallerとしてアプリケーションを実行するソフトウェアです。DCOMエラーを修正する時に威力を発揮します。

ExecTI+サービスコンソール(パターンA)

ExecTI

フリーソフトウェア ExecTI を利用して、Security Center のスタートアップの種類を変更する方法を紹介します。

Security Centerのスタートアップの種類を「自動(遅延開始)」→「自動」に変更するとログの記録が止まります。

1. サービスを起動する

ExecTI からサービスを起動します。
  1. ExecTIを起動する
  2. Openの横のボックスに「services.msc」と入力する
  3. OKをクリックする

ExecTI_servicesmsc

2. Security Center

サービスが起動したら Security Center を探してプロパティを表示します。
  1. Security Center を探す
  2. ダブルクリックまたは、右クリック > プロパティ を選択する

wscsvc_auto_delay_execti

3. スタートアップの種類

中段にあるスタートアップの種類を「自動」に変更します。

変更後自動
変更前自動(遅延開始)
Startup_auto

4. 手順終了

以上で手順は終了です。

PCを再起動してイベントビューアーを確認しましょう。

レジストリエディタを使用する方法(パターンB)

レジストリの操作は自己責任です
レジストリエディターを操作する前に、
不測の事態に備えてレジストリのバックアップを取っておきましょう。

レジストリエディターを使用すると ExecTI と同じことが実現できます。この方法はリスクが伴うため自己責任で行ってください。

検索する値は、Security Centerのサービス名「wscsvc」です。

複数の場所でヒットしますが、この記事で対象にしているのは以下の階層の [wscsvc] です。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

自動(遅延開始)から自動に変更するには [DelayedAutoStart=0] に設定します。
DelayedAutoStart

ログの記録を止める(パターンC)

regedit

ログの記録を止めてイベントビューアーをスッキリさせます。

以下のキーを探して、Enabled の値を 1 から 0 に変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{1b562e86-b7aa-4131-badc-b6f3a001407e}

{1b562e86-b7aa-4131-badc-b6f3a001407e}
Guid_Enabled

資料1:SID (S-1-5-18)

ログの「NT AUTHORITY\SYSTEM SID (S-1-5-18)」について調べたのでメモしておきます。

S-1-5-18 はSID(セキュリティ識別子)のことで、Windows をインストールする時に自動的に作成されるビルトインアカウント (Local System) に付与されます。

[Local Systemの種類]
  • SYSTEM
  • Local Service
  • Network Service
  • ...など

資料2

Windows.SecurityCenter.WscBrokerManager について

そのエラーは、基本的には無視しても構わないはずです。

原因としては、ユーザーがWindows にログインする前に各種アプリケーションがバックグラウンドでメモリー上にプリロードされていく中で、権限不足によって発生しているものです。

ログイン時に正式にアプリケーションが起動されるときにはログインしたことで解消されていますので、実害はないはずです。

このことも、Windowsの起動時にストレージへのアクセスが緩慢になるまでログインしてはいけない理由の一つになっています。

マイクロソフト コミュニティ

資料3

Windows の起動処理
  1. PCの電源ON
  2. Windowsが起動する
  3. Security Centerが遅延開始される ← ここでエラーが記録される
  4. ログイン画面が表示される
  5. ログインする
  6. 起動処理終了

まとめ

matome
reload
  • ソース:DistributedCOM (DCOM)
  • APPIDの名前:利用不可
  • ユーザー:SYSTEM
  • DCOMイベントは、マイクロソフトは無視を推奨している。
  • DCOMの修復は、APPIDとユーザーがポイントだが今回は使えない。
  • スタートアップの種類を変更する時はExecTIが便利。
SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site