SEPM をインストールすると、OS のセキュリティイベントログに ID: 5061 のイベントが記録される
Article ID: 368590
Updated On:
Products
Issue/Introduction
SEPM (Symantec Endpoint Protection Manager、以下 SEPM)をインストールした環境で、Windows OS のセキュリティイベントログへ次のイベントメッセージが記録される。
------------------------------------------------------
失敗の監査,2024/05/10 19:20:25,Microsoft-Windows-Security-Auditing,5061,システムの整合性,"暗号化操作。
サブジェクト:
セキュリティ ID: NT SERVICE\semapisrv
アカウント名: semapisrv
アカウント ドメイン: NT SERVICE
ログオン ID: 0xnnnnnn
暗号化パラメーター:
プロバイダー名: Microsoft Software Key Storage Provider
アルゴリズム名: UNKNOWN
キー名: {nnnnnnnn-nnnn-nnnn-nnnn-nnnnnnnnnnnn}
キーの種類: マシン キー。
暗号化操作:
操作: キーを開きます。
リターン コード: 0x80090016"
------------------------------------------------------
失敗の監査,2024/05/10 19:20:20,Microsoft-Windows-Security-Auditing,5061,システムの整合性,"暗号化操作。
サブジェクト:
セキュリティ ID: NT SERVICE\semsrv
アカウント名: semsrv
アカウント ドメイン: NT SERVICE
ログオン ID: 0xnnnnnn
暗号化パラメーター:
プロバイダー名: Microsoft Software Key Storage Provider
アルゴリズム名: UNKNOWN
キー名: {nnnnnnnn-nnnn-nnnn-nnnn-nnnnnnnnnnnn}
キーの種類: マシン キー。
暗号化操作:
操作: キーを開きます。
リターン コード: 0x80090016"
------------------------------------------------------
Environment
SEPM 14.3 RU5
Cause
以下の SEPM サービス起動時に暗号化用キー情報へのアクセスができない場合に記録される。
Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager API サービス
Resolution
イベントログのメッセージに含まれているリターン コードは 0x80090016 となっており、その意味するところは次のものです。
NTE_BAD_KEYSET (Keyset does not exist)
このエラーコードは下記マイクロソフトの技術情報にあるように、キー情報へのアクセスの命令を実行した際に、キー情報へアクセスに問題があることを示しています。
CryptAcquireContext() の使用とトラブルシューティング
CryptAcquireContext エラー
最も一般的なエラー コードと、エラーの原因を次に示します。
NTE_BAD_KEYSET (0x80090016)
キー コンテナーが存在しません。
キー コンテナーにはアクセスできません。
保護されたストレージ サービスが実行されていません。
暗号化キー情報へのアクセスできない要因のひとつとして、下記フォルダ(暗号化キー情報の格納先)へのアクセス権不足を挙げられます。
フォルダ:
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
上記フォルダに対し、ユーザー NT SERVICE\semapisrv や NT SERVICE\semsrv のアクセス権限("フォルダの内容の一覧表示" と "読み取り" は必要)を追加します。
フォルダのアクセス権以外の要因でも記録されるイベントメッセージであるため、上記方法にて解消しない場合にはテクニカルサポートまでご相談ください。
Feedback
