Windows 10/Server 2022: Microsoft bestätigt SgrmBroker-Problem nach Jan. 2025-Update

[English]Zum Januar 2025-Patchday (14.1.2025) hat Microsoft Sicherheitsupdates (z.B. KB5049981 für Windows 10 21H2-22H2) verteilt. Nach Installation dieses Updates stellen Administratoren fest, dass der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) unter Windows 10 und Windows Server 2022 nicht mehr startet. Nun hat sich Microsoft zu diesem Thema geäußert.

Worum geht es beim SgrmBroker-Problem genau?

Blog-Leser armin hatte sich mit diesem Kommentar gemeldet und schrieb, dass nach Installation der Januar 2025-Sicherheitsupdates der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) bei ihm nicht mehr startet.

Der englische Name System Guard Runtime Monitor weist darauf hin, dass der Dienst zum System Guard und zum Exploit-Schutz des Defender gehört. In diesem Beitrag und hier finden sich noch einige Informationen, und hier gibt es ebenfalls eine Analyse des Features. Der Leser schriebt in seinem Kommentar, dass unter:

C:\WINDOWS\system32\

vier Dateien mit entsprechendem Namen das Datum der Update-Installation aus Zeitstempel aufweisen. Nachdem er das Januar 2025-Update deinstalliert hat, war das Problem behoben.

Der Leser konnte dieses Verhalten bisher bei manchen Windows 10 Clients (Update KB5049981) und Windows Server 2022 (Update KB5049983) in virtuellen Maschinen (VMs) beobachten, wobei die VMs unter Hyper-V liefen.

Diese Beobachtung des Blog-Lesers wurde von weiteren Blog-Lesern bestätigt. Bolko schreibt, dass der Fehlercode 0x80070005 (Zugriff verweigert) ausgeworfen werde. Das heißt, der Dienst kann die Integrität von Windows nicht mehr überwachen. Auch im Internet finden sich einige Berichte (siehe Microsoft Answers-Einträge hier und hier) zu diesem Problem. Ich hatte das Ganze im Beitrag Windows 10/Server 2022: Dienst SgrmBroker startet nach Jan. 2025-Update (KB5049981) nicht mehr aufgegriffen.

Microsoft äußert sich zum Problem

Thomas R. hat mir die Tage per E-Mail die Information zukommen lassen, dass Microsoft das Problem inzwischen in einem Support-Bericht aufgegriffen habe (der Beitrag ist nur für Inhaber von Microsoft Konten mit bestimmten Abonnements zugreifbar).

Im betreffenden Supportbeitrag bestätigt Microsoft, dass Administratoren in der Windows-Ereignisanzeige möglicherweise einen Fehler im Zusammenhang mit SgrmBroker.exe finden, wenn die Windows-Updates vom 14. Januar 2025 (aus obigem Screenshot) oder später installiert wurden.

Dieser Fehlereintrag ist unter Windows-Protokolle > System als Ereignis 7023 zu finden. Es wird ein Text ähnlich wie "Der System Guard Runtime Monitor Broker-Dienst wurde mit dem folgenden Fehler beendet: %%3489660935" angezeigt. Außer dem Eintrag in der Windows-Ereignisanzeige passiert nichts, es gibt auch keinen FehlerDialogfeld oder Benachrichtigung.

Veraltete Komponente in Windows

Microsoft erklärt dann, dass SgrmBroker.exe sich auf den System Guard Runtime Monitor Broker Service bezieht. Dieser Dienst sei ursprünglich für den Microsoft Defender entwickelt worden. Dieser Dienst ist aber schon lange nicht mehr Teil der aktiven Defender-Komponenten.

Obwohl die am 14. Januar 2025 veröffentlichten Windows-Updates mit der Initialisierung dieses Dienstes in Konflikt stehen, sollten laut Microsoft keine Auswirkungen auf die Leistung oder Funktionalität zu beobachten sein. Die Sicherheitsstufe eines Geräts wird durch dieses Problem nicht verändert. Dieser Dienst wurde bereits in anderen unterstützten Versionen von Windows deaktiviert, und SgrmBroker.exe erfüllt derzeit keinen Zweck.

Kein Grund für Aktionen

Microsoft gibt an, dass keine Notwendigkeit besteht, diesen Dienst manuell zu starten oder in irgendeiner Weise zu konfigurieren (dies könnte unnötig Fehler auslösen). Zukünftige Windows-Updates werden die von diesem Dienst und SgrmBroker.exe verwendeten Komponenten anpassen.

Nutzer sollten daher nicht versuchen, diesen Dienst oder seine Komponenten manuell zu deinstallieren oder zu entfernen. Es seien keine besonderen Maßnahmen erforderlich, um das Problem zu beheben. Der Dienst kann bei Bedarf sicher deaktiviert werden, um zu verhindern, dass der Fehler in der Ereignisanzeige angezeigt wird. Dazu können Sie die folgenden Schritte ausführen:

1. Öffnen Sie ein Eingabeaufforderungsfenster (cmd mit Als Administrator ausführen starten).
2. Geben Sie im Fenster den Befehl sc.exe config sgrmagent start=disabled ein.

Danach kann eine Meldung erscheinen. Geben Sie dann den folgenden Befehl in der Eingabeaufforderung ein:

reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /d 4 /t REG_DWORD

Danach kann das Fenster der Eingabeaufforderung geschlossen werden. Durch den Eingriff wird verhindert, dass der entsprechende Fehler beim nächsten Gerätestart in der Ereignisanzeige angezeigt wird. Diese Schritte können durch die von Ihrer Organisation festgelegten Gruppenrichtlinien eingeschränkt sein können. Microsoft arbeitet an einer Lösung und wird in einer der nächsten Versionen ein Update bereitstellen.

Nachfolgend noch der Text des Support-Beitrags:

Event Viewer displays an error for System Guard Runtime Monitor Broker service

Status

Mitigated

Affected platforms
Client Versions Message ID Originating KB Resolved KB
Windows 10, version 22H2 WI982633 KB5049981 -

Server Versions Message ID Originating KB Resolved KB
Windows Server 2022 WI982632 KB5049983 -

The Windows Event Viewer might display an error related to 
SgrmBroker.exe, on devices which have installed Windows updates 
released January 14, 2025 (the Originating KBs listed above) or 
later. This error can be found under Windows Logs > System as 
Event 7023, with text similar to 'The System Guard Runtime 
Monitor Broker service terminated with the following 
error: %%3489660935'.

This error is only observable if the Windows Event Viewer is 
monitored closely. It is otherwise silent and does not appear as
a dialog box or notification.

SgrmBroker.exe refers to the System Guard Runtime Monitor 
Broker Service. This service was originally created for 
Microsoft Defender, but it has not been a part of its operation 
for a very long time. Although Windows updates released 
January 14, 2025 conflict with the initialization of this 
service, no impact to performance or functionality should 
be observed. There is no change to the security level of a 
device resulting from this issue. This service has already 
been disabled in other supported versions of Windows, and 
SgrmBroker.exe presently serves no purpose.

Note: There is no need to manually start this service or 
configure it in any way (doing so might trigger errors 
unnecessarily). Future Windows updates will adjust the 
components used by this service and SgrmBroker.exe. For 
this reason, please do not attempt to manually uninstall 
or remove this service or its components.

Workaround: No specific action is required, however, the 
service can be safely disabled in order to prevent the 
error from appearing in Event Viewer. To do so, you can 
follow these steps:

1) Open a Command Prompt window. This can be accomplished 
by opening the Start menu and typing 'cmd'. The results 
will include "Command Prompt" as a System application.
Select the arrow to the right of "Command Prompt" and 
select "Run as administrator".
2) Once the window is open, carefully enter the 
following text:
sc.exe config sgrmagent start=disabled
3) A message may appear afterwards. Next, enter the 
following text:
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /d 4 /t REG_DWORD
4) Close the Command Prompt window.

This will prevent the related error from appearing in the 
Event Viewer on subsequent device start up. Note that some 
of these steps might be restricted by group policy set by 
your organization.

Next steps: We are working on a resolution and will 
provide an update in an upcoming release.