Windows 10/Server 2022: Dienst SgrmBroker startet nach Jan. 2025-Update (KB5049981) nicht mehr

[English]Zum Januar 2025-Patchday (14.1.2025) hat Microsoft das Sicherheitsupdate KB5049981 für Windows 10 21H2-22H2 verteilt. Nach Installation dieses Updates stellen Administratoren fest, dass der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) nicht mehr startet. Das gleiche Verhalten stellen Administratoren auch unter Windows Server 2022 fest. Ich fasse mal die Informationen zusammen, die mir diesbezüglich vorliegen.

Windows 10 Update KB5049981

Das kumulative Update KB5049981 steht für für Windows 10 Version 21H2 (Enterprise und Education) sowie alle Windows 10 22H2 Varianten zur Verfügung. Das Update enthält Sicherheitsfixes, und aktualisiert die Windows Kernel Vulnerable Driver Blocklist-Datei (DriverSiPolicy.p7b). Ich hatte im Blog-Beitrag Patchday: Windows 10/11 Updates (14. Januar 2025) berichtet.

Dienst SgrmBroker startet nicht mehr

Blog-Leser armin hat sich zeitnah mit diesem Kommentar gemeldet und schreibt, dass nach Installation der Januar 2025-Sicherheitsupdates der der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) nicht mehr startet.

Der englische Name System Guard Runtime Monitor weist darauf hin, dass der Dienst zum System Guard und zum Exploit-Schutz gehört. In diesem Beitrag und hier finden sich noch einige Informationen. Der Leser schreibt in seinem Kommentar, dass unter:

C:\WINDOWS\system32\

vier Dateien mit entsprechendem Namen das Datum der Update-Installation aus Zeitstempel aufweisen. Nachdem er das Januar 2025-Update deinstalliert hat, war das Problem behoben.

Der Leser konnte dieses Verhalten bisher bei manchen Windows 10 Clients (Update KB5049981) und Windows Server 2022 (Update KB5049983) in virtuellen Maschinen (VMs) beobachten, wobei die VMs unter Hyper-V liefen.

Diese Beobachtung des Blog-Lesers wurde von weiteren Blog-Lesern bestätigt. Bolko schreibt, dass der Fehlercode 0x80070005 (Zugriff verweigert) ausgeworfen werde. Das heißt, der Dienst kann die Integrität von Windows nicht mehr überwachen – Microsoft hat sich selbst abgeschossen.

Beitrag auf Microsoft Answers

Auf Microsoft Answers gibt es den Thread Error 7023 Service Control Manager….System Guard Runtime Monitor Broker.exe terminated, in dem ein Betroffener das Problem ebenfalls zum 15. Januar 2025 bestätigt. Betroffen sind ein HP Omen Desktop and a HP Envy Laptop mit Windows 10 22H2.

Seit Installation des Januar 2025-Update KB5049981 startet der System Guard Runtime Monitor Broker-Dienst (SgrmBroker.exe) nicht mehr. In der Ereignisanzeige wird dazu das Event 7023 mit folgenden Daten angezeigt:

Log Name:      System
Source:        Service Control Manager
Date:          1/14/2025 3:48:16 PM
Event ID:      7023
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      DESKTOP-
Description:

The System Guard Runtime Monitor Broker service terminated with the following error:

%%3489660935

Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
  <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
<EventID Qualifiers="49152">7023</EventID>
   <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
  <Opcode>0</Opcode>
[...}

Ein weiterer Betroffener bestätigt dieses Problem für Windows 10 und ein Administrator hat nachfolgenden Screenshot aus Windows Server 2022 online gestellt.

Auf reddit.com wird das Problem mit dem kaputten Dienst auch in diesem Thread und in diesem Thread bestätigt. So direkte Auswirkungen hat es nicht, wenn der Dienst nicht mehr läuft – Windows kann halt nicht mehr die eigene Integrität feststellen. Mal schauen, wann Microsoft sich dazu äußert.

Ähnliche Artikel:
Microsoft Security Update Summary (14. Januar 2025)
Patchday: Windows 10/11 Updates (14. Januar 2025)
Patchday: Windows Server-Updates (14. Januar 2025)