イベントログの警告について
Windows 11 24H2のイベントビューアーに、DistributedCOMに関連するID10016の警告が3つ記録されていました。
ログはWindows Security Center (wscsvc)の動作に問題があることを警告していますが、「APPID:利用不可」のため、コンポーネントサービスから修正できません。
一般的にイベント ID 10016 の警告は無視しても問題ないとされていますが、今回は既知の修正方法があるため、その対処手順を紹介します。
3つの警告ログ
Windows Security Center(サービス名:wscsvc)に関連するイベントログは3種類記録されます。これらの警告は、サービスが「遅延起動(DelayedAutoStart)」に設定されていることが原因で発生します。
そのため、サービスの起動設定を「遅延起動」から「自動(通常起動)」に変更することで、同様のログが記録されなくなります。
wscsvcに関係する3つのCLSID(ログから抜粋)
| Guid | {1b562e86-b7aa-4131-badc-b6f3a001407e} |
| CLSID |
|
イベントログ
Windows.SecurityCenter.WscDataProtectionのログを掲載します。
残り2つは [Windows.SecurityCenter.WscDataProtection] の文字を以下の文字に置き換えたものと同じです。
- Windows.SecurityCenter.WscBrokerManager
- Windows.SecurityCenter.SecurityAppBroker
| メッセージ | アプリケーション固有 のアクセス許可の設定では、CLSID Windows.SecurityCenter.WscDataProtection および APPID 利用不可 の COM サーバー アプリケーションに対するローカル起動のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。 |
| ログの名前 | システム |
| ソース | DistributedCOM |
| イベントID | 10016 |
| レベル | エラー |
| ユーザー | SYSTEM |
| オペコード | 情報 |
| Guid | {1b562e86-b7aa-4131-badc-b6f3a001407e} |
ログの記録を止める
マイクロソフトは10016イベントは無視推奨としているので、ログの記録を止めてイベントビューアーをスッキリさせることができます。
不測の事態に備えてレジストリのバックアップを取っておきましょう。
以下のキーを探して、Enabled の値を 1 から 0 に変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{1b562e86-b7aa-4131-badc-b6f3a001407e}
ExecTI+サービスコンソール
ソフトウェア情報
フリーソフトウェア ExecTI を利用して、Security Center のスタートアップの種類を変更することができます。
Security Centerのスタートアップの種類を「自動(遅延開始)」→「自動」に変更するとログの記録が止まります。
1. サービスを起動する
ExecTI からサービスを起動します。
- ExecTIを起動する
- Openの横のボックスに「services.msc」と入力する
- OKをクリックする
2. セキュリティ センター (Security Center)
サービスが起動したら 「セキュリティ センター」を探してプロパティを表示します。(Windows 10 は「Security Center」の英文字になっているかも?)
- 「セキュリティ センター」を探す
- ダブルクリックまたは、右クリック > プロパティ を選択する
3. スタートアップの種類
中段にあるスタートアップの種類を「自動」に変更します。
| 変更後 | 自動 |
| 変更前 | 自動(遅延開始) |
 | |
4. 手順終了
以上で手順は終了です。
PCを再起動してイベントビューアーを確認しましょう。
修正方法(レジストリエディター)
レジストリエディターを利用すれば、Windows Security Center(wscsvc)サービスの起動設定を「遅延起動」から「自動起動」に変更することができます。
ただし、この作業には注意が必要です。wscsvc のレジストリキーは既定で所有者が「SYSTEM」になっているため、Administrators グループのアカウントでログインしていても、値を直接変更しようとすると「値の書き込み中にエラーが発生しました」といったエラーメッセージが表示され、編集が拒否されます。そのため、編集を行うには一時的にレジストリキーの所有者を「Administrators」に変更し、必要な値を修正した後で元の所有者に戻すことが推奨されます。
また、レジストリを編集する前には、システムの復元ポイントを作成するか、対象キーをエクスポートしてバックアップを取っておくと安全です。
不測の事態に備えてレジストリのバックアップを取っておきましょう。
[所有者変更 → アクセス権付与 → DelayedAutoStart 値の変更 → 所有者変更(元に戻す)]
- 管理者権限を持つアカウントでWindowsにログインする
- [Win] + [R] キーを押し、regedit と入力してレジストリエディターを起動する
- 次のキーを開く
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- 左側のツリービューでwscsvcキーを右クリックし、「アクセス許可」を選択する
- 「詳細設定」ボタンをクリックする
- 上部の「所有者」の横にある「変更」をクリックする
- 「Administrators」と入力し、「名前の確認」をクリックしてOKする
- 「詳細設定」画面に戻ったら、「追加」ボタンをクリックします。
- 「プリンシパルの選択」から、「Administrators」を選択しOKする
- Administrators を選択し、「フル コントロール」のチェックボックスをオンにして、OKする
Administrators が存在する時はこの処理だけでよい
- レジストリエディターのメイン画面に戻る
- 右ペインにある DelayedAutoStart(DWORD値)をダブルクリックする
- 値を 1(遅延起動) から 0(通常の自動起動) に変更する
- レジストリエディターを閉じ、PCを再起動する
- 以上
これにより、wscsvc の遅延起動が解除され、イベントログに記録される DistributedCOM(ID10016)関連の警告が抑制されます。
レジストリキーの所有権を変更する
編集権限を付与する(Administrators がない場合)
DelayedAutoStart の値を変更する
まとめ
Windows 11 24H2に搭載されているイベントビューアーにて、DistributedCOMに関するID10016の警告が3件確認されました。
この警告は、Windows Security Center(wscsvc)の動作に問題が発生していることを示していますが、ログに「APPID:利用不可」と表示されているため、一般的なコンポーネントサービスの設定変更では修正できません。
ID10016の警告はシステム動作に大きな影響を与えるものではなく、通常は無視しても問題ないとされています。しかし、今回はこの特殊なケースに対する具体的な修正方法が判明したため、その対処法を詳しく解説します。
このサイトを検索 | Search this site
){kind=link}
0 コメント