[English]Zum Januar 2025-Patchday (14.1.2025) hat Microsoft das Sicherheitsupdate KB5049981 für Windows 10 21H2-22H2 verteilt. Nach Installation dieses Updates stellen Administratoren fest, dass der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) nicht mehr startet. Das gleiche Verhalten stellen Administratoren auch unter Windows Server 2022 fest. Ich fasse mal die Informationen zusammen, die mir diesbezüglich vorliegen.
Anzeige
Windows 10 Update KB5049981
Das kumulative Update KB5049981 steht für für Windows 10 Version 21H2 (Enterprise und Education) sowie alle Windows 10 22H2 Varianten zur Verfügung. Das Update enthält Sicherheitsfixes, und aktualisiert die Windows Kernel Vulnerable Driver Blocklist-Datei (DriverSiPolicy.p7b). Ich hatte im Blog-Beitrag Patchday: Windows 10/11 Updates (14. Januar 2025) berichtet.
Dienst SgrmBroker startet nicht mehr
Blog-Leser armin hat sich zeitnah mit diesem Kommentar gemeldet und schreibt, dass nach Installation der Januar 2025-Sicherheitsupdates der der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) nicht mehr startet.
Der englische Name System Guard Runtime Monitor weist darauf hin, dass der Dienst zum System Guard und zum Exploit-Schutz des Defender gehört. In diesem Beitrag und hier finden sich noch einige Informationen, und hier gibt es ebenfalls eine Analyse des Features. Der Leser schreibt in seinem Kommentar, dass unter:
C:\WINDOWS\system32\
Anzeige
vier Dateien mit entsprechendem Namen das Datum der Update-Installation aus Zeitstempel aufweisen. Nachdem er das Januar 2025-Update deinstalliert hat, war das Problem behoben.
Der Leser konnte dieses Verhalten bisher bei manchen Windows 10 Clients (Update KB5049981) und Windows Server 2022 (Update KB5049983) in virtuellen Maschinen (VMs) beobachten, wobei die VMs unter Hyper-V liefen.
Diese Beobachtung des Blog-Lesers wurde von weiteren Blog-Lesern bestätigt. Bolko schreibt, dass der Fehlercode 0x80070005 (Zugriff verweigert) ausgeworfen werde. Das heißt, der Dienst kann die Integrität von Windows nicht mehr überwachen – Microsoft hat sich selbst abgeschossen.
Beitrag auf Microsoft Answers
Auf Microsoft Answers gibt es den Thread Error 7023 Service Control Manager….System Guard Runtime Monitor Broker.exe terminated, in dem ein Betroffener das Problem ebenfalls zum 15. Januar 2025 bestätigt. Betroffen sind ein HP Omen Desktop and a HP Envy Laptop mit Windows 10 22H2.
Seit Installation des Januar 2025-Update KB5049981 startet der System Guard Runtime Monitor Broker-Dienst (SgrmBroker.exe) nicht mehr. In der Ereignisanzeige wird dazu das Event 7023 mit folgenden Daten angezeigt:
Log Name: System
Source: Service Control Manager
Date: 1/14/2025 3:48:16 PM
Event ID: 7023
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: DESKTOP-
Description:
The System Guard Runtime Monitor Broker service terminated with the following error:
%%3489660935
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
<EventID Qualifiers="49152">7023</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
[...}
Ein weiterer Betroffener bestätigt dieses Problem für Windows 10 und ein Administrator hat nachfolgenden Screenshot aus Windows Server 2022 online gestellt.
Auf reddit.com wird das Problem mit dem kaputten Dienst auch in diesem Thread und in diesem Thread bestätigt. So direkte Auswirkungen hat es nicht, wenn der Dienst nicht mehr läuft – Windows kann halt nicht mehr die eigene Integrität feststellen. Mal schauen, wann Microsoft sich dazu äußert.
Ergänzung: Microsoft hat sich zum Problem erklärt, siehe Windows 10/Server 2022: Microsoft bestätigt SgrmBroker-Problem nach Jan. 2025-Update.
Ähnliche Artikel:
Microsoft Security Update Summary (14. Januar 2025)
Patchday: Windows 10/11 Updates (14. Januar 2025)
Patchday: Windows Server-Updates (14. Januar 2025)
Anzeige
Kann ich so auf meinen Admin-Notebook und einem nicht am WSUS hängenden Infrastrukturrechner bestätigen.
Ein Rollback hat das Problem beseitigt. Updates sind bei mir jetzt einmal ausgesetzt.
Hat schon jemand Erfahrung bei den Servern?
gleiche spiel , derzeit. betrifft alle systeme. da aber die ole rce lücke zu groß ist , wäre rollback nicht so optimal derzeit.
Sehe ich genauso. Soweit die o.g. Probleme nicht erheblich die Nutzung beeinträchtigen, sind die Risiken durch die offenen Lücken einfach deutlich größere – mögliche alternative Risikominderungen mal außen vor gelassen.
Soweit ich das recherchieren konnte, ist dieser Dienst Teil des Defender Paketes und für die interne Systemintegrität zuständig – vor allem beim Starten. Ich konnte bis jetzt keinen Beleg finden dass dieser Dienst als deprecated deklariert wurde…
Also steht die Frage im Raum (nicht die Nutzungseinschränkung) ob hier durch das Stopfen eines großen Sicherheitsloches nicht ein anderes großes aufgerissen wurde.
Danke an MS für die gute Informationspolitik. :-(
Welche meinst du genau?
Wer den Rollback des Januar 2025 CU in Erwägung zieht: hier die GPO, um die OLE RCE Lücke zumindest bei Outlook Classic 2016/2019/365 zu schließen:
https://admx.help/?Category=Office2016&Policy=outlk16.Office.Microsoft.Policies.Windows::L_Reademailasplaintext
Mails werden dann nur noch als Plain Text angezeigt, sieht halt jede Mail häßlicher als sonst aus…
Läuft nicht mehr. Auf noch nicht geupdatetem Gerät läuft "SgrmBroker.exe".
#Karl finde ich, umschreibt es ganz gut.
Check out here
http://blog.syscall.party/2022/08/02/inside-windows-defender-system-guard-runtime-monitor.html
Interessant ist doch dieser Satz:
It appears as though the project has gone unmaintaned since 2019, although still running on (just about) all modern devices using Windows Defender.
Das hatte mich auch verwundert.
In dem Answers-Beitrag vom Artikel sagt der "MSler" ja auch sowas:
"Usually, you can ignore the errors and warnings in system event logs. Most system services are designed for a wide range of system configurations and hardware, so such errors are expected."
Vote for the Bug:
https://aka.ms/AAtyprv
Ist kein Fehler. Sondern auf verschiedenen System gewollt und anders eingestellt.
https://batcmd.com/windows/11/services/sgrmbroker/
im case dieses users mit einer win 10 22h2 home ist automatic korrekt laut deiner liste, aber dort startet es nicht mit dem beschriebenen Fehler.
-> Fehler
Wir haben mehrere Windows Server 2019 intern laufen. Kann als Admin nach dem Patchday Update keine Probleme mit diesem Dienst feststellen. Wir lassen die Server aber vermutlich auch ziemlich im Standard laufen als Terminalserver mit ein paar Tools für die Benutzer und als DATEV-Server sowie Domaincontroller, AD, DNS-Server und DHCP. Der Dienst lässt sich auf allen Windows Servern problemlos starten. Die Fehlermeldung "Access is Denied" klingt für mich eher wie ein Berechtigungsproblem eines Benutzers, der den Dienst nicht ausführen darf. Wer weiß, vielleicht sind auch Systemdateien auf euren Servern beschädigt, die diese Probleme verursachen? Wollte das nur als Anregung mit einbringen. Bin normalerweise nur stiller Leser auf borncity und finde die Meldungen meist sehr hilfreich! Vielen Dank an dieser Stelle. :-)
Hier ist ja auch von Server 2022 die Rede, nicht von 2019
Windows 11 version Home Pro Education Enterprise
21H2 Automatic Automatic Automatic Automatic
22H2 Automatic Automatic Automatic Automatic
23H2 Disabled Disabled Disabled Disabled
24H2 Disabled Disabled Disabled Disabled
https://batcmd.com/windows/11/services/sgrmbroker/
So sollte das Startverhalten je nach Version aussehen.
Man kann das Startverhalten auch manuell in der Registry ändern.
HKLM\SYSTEM\CurrentControlSet\Services\SgrmBroker
Start = 3 -> Neustart
Also die Seite ist doch einfach quatsch. Windows 10 hat den Dienst ja bekanntlich auch…
Windows 10 Pro (22H2) hat diesen Dienst, definitiv ! Und, er startet nicht mehr und wirft den o.g. mehrfach genannten Fehler nach dem 01-2025er Update
VG HV
Bestandsaufnahme VOR dem Patchen:
Hinweis: beide Systeme (das Win10 und das Win2022) hinsichtlich Diensten in Default-Konfiguration
Win10 22H2
C:\Windows\System32\SgrmBroker.exe Version 10.0.19041.4355 vom 15.5.2024
Brokerdienst für Laufzeitüberwachung der Systemüberwachung
Status: wird ausgeführt
Steuerbar über SnapIn Dienste: Nein! (nicht sichtbar)
Registry: "Start=2"
Win2022 21H2
C:\Windows\System32\SgrmBroker.exe Version 10.0.20348.2849 vom 23.12.2024
Brokerdienst für Laufzeitüberwachung der Systemüberwachung
Status: beendet
Steuerbar über SnapIn Dienste: Nein! (nicht sichtbar)
Registry: "Start=3"
Achtung!
ggf. Verwechselungsgefahr mit:
Systemereinissebroker = SystemEventsBroker, Starttyp: "Automatisch" (über svchost.exe -k DcomLaunch -p)
Status: wird ausgeführt
Steuerbar über SnapIn Dienste: Ja!
Registry: "Start=2"
(natürlich auf beiden o.g. Systemen vorhanden)
Also bei meiner Testumgebung sowie auch im Report in der Live Umgebung, gewachsen über die letzten Jahre, ist das Problem auch zu sehen. Aber anders als die Meldungen im Netz suggerieren, die Server 2019 haben den Dienst auf "Manual" stehen, die 2022 Server auf "Manual (Trigger Start)". Sprich da wird kein Dienst gestartet bzw. es gibt nichts zu starten, es sei denn, Jemand macht es eben Manuell.
Bei Server 2025 steht der Dienst wie bei Win11 ebenso auf Deaktiviert.
Ich kann das Problem auf Windows 10 Pro oder Ent 22H2 Clients allerdings nachstellen. Dort ist der Dienst auf Automatisch und startet nach dem Patch nicht mehr. Es wurde bspw. dann auch der Änderungszeitstempel der SgrmBroker.exe auf den Zeitpunkt ca. während der Installation des Updates gesetzt. Sprich da passiert also was mit der Datei. Was genau, keine Ahnung. Bei den Servern hingegen wird die Datei nicht zwingend geändert. Bei allen 2019er Tests bis jetzt bleibt der Zeitstempel unverändert. Bei den 2022 wird die Datei angefasst und das Datum trägt den Install Zeitpunkt des Updates -> fällt aber nicht auf, weil der Dienst nicht automatisch startet.
Es schaut für mich so aus, als braucht es den Kram nicht wirklich. Denn warum sollte der Defender auf 10 mehr/andere Dienste nutzen als auf 2019/2022 Server? -> ist aber nur eine Vermutung meinerseits.
Kann ich bestätigen, unter WS2022 steht der Dienst per Default auf Manuell oder Manuell oder Manuell (Start durch Auslöser), zumindest bis Patchlevel 2024-12.
Hier unter WS2022 steht der Dienst auf Automatic und startet nach dem Patch nicht mehr. Vielleicht hängt es damit zusammen, dass auf den Servern der Defender for Server läuft.
Angesichts der Massenhysterie bzgl. des Sicherheitsrisikos nicht auf Windows 11 upzudaten hat dieser Vorfall durchaus einen annähernd zynischen Beigeschmack, wenn ein solcher Dienst durch ein Update kaputt geht :D
Jetzt gibts offozielle Infos:
https://admin.cloud.microsoft/Adminportal/Home?source=applauncher#/windowsreleasehealth/:/issue/WI982633
The Windows Event Viewer might display an error related to SgrmBroker.exe, on devices which have installed Windows updates released January 14, 2025 (the Originating KBs listed above) or later. This error can be found under Windows Logs > System as Event 7023, with text similar to 'The System Guard Runtime Monitor Broker service terminated with the following error: %%3489660935'.
This error is only observable if the Windows Event Viewer is monitored closely. It is otherwise silent and does not appear as a dialog box or notification.
SgrmBroker.exe refers to the System Guard Runtime Monitor Broker Service. This service was originally created for Microsoft Defender, but it has not been a part of its operation for a very long time. Although Windows updates released January 14, 2025 conflict with the initialization of this service, no impact to performance or functionality should be observed. There is no change to the security level of a device resulting from this issue. This service has already been disabled in other supported versions of Windows, and SgrmBroker.exe presently serves no purpose.
Note: There is no need to manually start this service or configure it in any way (doing so might trigger errors unnecessarily). Future Windows updates will adjust the components used by this service and SgrmBroker.exe. For this reason, please do not attempt to manually uninstall or remove this service or its components.
Workaround: No specific action is required, however, the service can be safely disabled in order to prevent the error from appearing in Event Viewer. To do so, you can follow these steps:
1) Open a Command Prompt window. This can be accomplished by opening the Start menu and typing 'cmd'. The results will include "Command Prompt" as a System application. Select the arrow to the right of "Command Prompt" and select "Run as administrator".
2) Once the window is open, carefully enter the following text:
sc.exe config sgrmagent start=disabled
3) A message may appear afterwards. Next, enter the following text:
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /d 4 /t REG_DWORD
4) Close the Command Prompt window.
This will prevent the related error from appearing in the Event Viewer on subsequent device start up. Note that some of these steps might be restricted by group policy set by your organization.
Next steps: We are working on a resolution and will provide an update in an upcoming release.
Auf en Link kann ich nicht zugreifen, ich muss mich mit einem MS-Konto anmelden, aber keines meiner Konten funktioniert damit.
Gibt es da noch einen anderen, öffentlichen Link von Microsoft zu?
Danke PeDe, aber wie Davorin schon geschrieben hat: man kommt nicht an die Infos bzw. werden nicht angezeigt in unserem Admin Center. Brauch dazu aber ein "offizielles" Statement…
Hoffenwir mal dass die MS Leute das am Montag in den btreffenden KB Artikel schreiben.