[English]Zum Januar 2025-Patchday (14.1.2025) hat Microsoft Sicherheitsupdates (z.B. KB5049981 für Windows 10 21H2-22H2) verteilt. Nach Installation dieses Updates stellen Administratoren fest, dass der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) unter Windows 10 und Windows Server 2022 nicht mehr startet. Nun hat sich Microsoft zu diesem Thema geäußert.
Anzeige
Worum geht es beim SgrmBroker-Problem genau?
Blog-Leser armin hatte sich mit diesem Kommentar gemeldet und schrieb, dass nach Installation der Januar 2025-Sicherheitsupdates der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) bei ihm nicht mehr startet.
Der englische Name System Guard Runtime Monitor weist darauf hin, dass der Dienst zum System Guard und zum Exploit-Schutz des Defender gehört. In diesem Beitrag und hier finden sich noch einige Informationen, und hier gibt es ebenfalls eine Analyse des Features. Der Leser schriebt in seinem Kommentar, dass unter:
C:\WINDOWS\system32\
vier Dateien mit entsprechendem Namen das Datum der Update-Installation aus Zeitstempel aufweisen. Nachdem er das Januar 2025-Update deinstalliert hat, war das Problem behoben.
Anzeige
Der Leser konnte dieses Verhalten bisher bei manchen Windows 10 Clients (Update KB5049981) und Windows Server 2022 (Update KB5049983) in virtuellen Maschinen (VMs) beobachten, wobei die VMs unter Hyper-V liefen.
Diese Beobachtung des Blog-Lesers wurde von weiteren Blog-Lesern bestätigt. Bolko schreibt, dass der Fehlercode 0x80070005 (Zugriff verweigert) ausgeworfen werde. Das heißt, der Dienst kann die Integrität von Windows nicht mehr überwachen. Auch im Internet finden sich einige Berichte (siehe Microsoft Answers-Einträge hier und hier) zu diesem Problem. Ich hatte das Ganze im Beitrag Windows 10/Server 2022: Dienst SgrmBroker startet nach Jan. 2025-Update (KB5049981) nicht mehr aufgegriffen.
Microsoft äußert sich zum Problem
Thomas R. hat mir die Tage per E-Mail die Information zukommen lassen, dass Microsoft das Problem inzwischen in einem Support-Bericht aufgegriffen habe (der Beitrag ist nur für Inhaber von Microsoft Konten mit bestimmten Abonnements zugreifbar).
Im betreffenden Supportbeitrag bestätigt Microsoft, dass Administratoren in der Windows-Ereignisanzeige möglicherweise einen Fehler im Zusammenhang mit SgrmBroker.exe finden, wenn die Windows-Updates vom 14. Januar 2025 (aus obigem Screenshot) oder später installiert wurden.
Dieser Fehlereintrag ist unter Windows-Protokolle > System als Ereignis 7023 zu finden. Es wird ein Text ähnlich wie "Der System Guard Runtime Monitor Broker-Dienst wurde mit dem folgenden Fehler beendet: %%3489660935" angezeigt. Außer dem Eintrag in der Windows-Ereignisanzeige passiert nichts, es gibt auch keinen FehlerDialogfeld oder Benachrichtigung.
Veraltete Komponente in Windows
Microsoft erklärt dann, dass SgrmBroker.exe sich auf den System Guard Runtime Monitor Broker Service bezieht. Dieser Dienst sei ursprünglich für den Microsoft Defender entwickelt worden. Dieser Dienst ist aber schon lange nicht mehr Teil der aktiven Defender-Komponenten.
Obwohl die am 14. Januar 2025 veröffentlichten Windows-Updates mit der Initialisierung dieses Dienstes in Konflikt stehen, sollten laut Microsoft keine Auswirkungen auf die Leistung oder Funktionalität zu beobachten sein. Die Sicherheitsstufe eines Geräts wird durch dieses Problem nicht verändert. Dieser Dienst wurde bereits in anderen unterstützten Versionen von Windows deaktiviert, und SgrmBroker.exe erfüllt derzeit keinen Zweck.
Kein Grund für Aktionen
Microsoft gibt an, dass keine Notwendigkeit besteht, diesen Dienst manuell zu starten oder in irgendeiner Weise zu konfigurieren (dies könnte unnötig Fehler auslösen). Zukünftige Windows-Updates werden die von diesem Dienst und SgrmBroker.exe verwendeten Komponenten anpassen.
Nutzer sollten daher nicht versuchen, diesen Dienst oder seine Komponenten manuell zu deinstallieren oder zu entfernen. Es seien keine besonderen Maßnahmen erforderlich, um das Problem zu beheben. Der Dienst kann bei Bedarf sicher deaktiviert werden, um zu verhindern, dass der Fehler in der Ereignisanzeige angezeigt wird. Dazu können Sie die folgenden Schritte ausführen:
- Öffnen Sie ein Eingabeaufforderungsfenster (cmd mit Als Administrator ausführen starten).
- Geben Sie im Fenster den Befehl sc.exe config sgrmagent start=disabled ein.
Danach kann eine Meldung erscheinen. Geben Sie dann den folgenden Befehl in der Eingabeaufforderung ein:
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /d 4 /t REG_DWORD
Danach kann das Fenster der Eingabeaufforderung geschlossen werden. Durch den Eingriff wird verhindert, dass der entsprechende Fehler beim nächsten Gerätestart in der Ereignisanzeige angezeigt wird. Diese Schritte können durch die von Ihrer Organisation festgelegten Gruppenrichtlinien eingeschränkt sein können. Microsoft arbeitet an einer Lösung und wird in einer der nächsten Versionen ein Update bereitstellen.
Nachfolgend noch der Text des Support-Beitrags:
Event Viewer displays an error for System Guard Runtime Monitor Broker service Status Mitigated Affected platforms Client Versions Message ID Originating KB Resolved KB Windows 10, version 22H2 WI982633 KB5049981 - Server Versions Message ID Originating KB Resolved KB Windows Server 2022 WI982632 KB5049983 - The Windows Event Viewer might display an error related to SgrmBroker.exe, on devices which have installed Windows updates released January 14, 2025 (the Originating KBs listed above) or later. This error can be found under Windows Logs > System as Event 7023, with text similar to 'The System Guard Runtime Monitor Broker service terminated with the following error: %%3489660935'. This error is only observable if the Windows Event Viewer is monitored closely. It is otherwise silent and does not appear as a dialog box or notification. SgrmBroker.exe refers to the System Guard Runtime Monitor Broker Service. This service was originally created for Microsoft Defender, but it has not been a part of its operation for a very long time. Although Windows updates released January 14, 2025 conflict with the initialization of this service, no impact to performance or functionality should be observed. There is no change to the security level of a device resulting from this issue. This service has already been disabled in other supported versions of Windows, and SgrmBroker.exe presently serves no purpose. Note: There is no need to manually start this service or configure it in any way (doing so might trigger errors unnecessarily). Future Windows updates will adjust the components used by this service and SgrmBroker.exe. For this reason, please do not attempt to manually uninstall or remove this service or its components. Workaround: No specific action is required, however, the service can be safely disabled in order to prevent the error from appearing in Event Viewer. To do so, you can follow these steps: 1) Open a Command Prompt window. This can be accomplished by opening the Start menu and typing 'cmd'. The results will include "Command Prompt" as a System application. Select the arrow to the right of "Command Prompt" and select "Run as administrator". 2) Once the window is open, carefully enter the following text: sc.exe config sgrmagent start=disabled 3) A message may appear afterwards. Next, enter the following text: reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /d 4 /t REG_DWORD 4) Close the Command Prompt window. This will prevent the related error from appearing in the Event Viewer on subsequent device start up. Note that some of these steps might be restricted by group policy set by your organization. Next steps: We are working on a resolution and will provide an update in an upcoming release.
Anzeige
"schon lange nicht mehr Teil der aktiven Defender-Komponenten…" warum bleibt es dann am Rechner und läuft sogar bei manchen? Warum wird es nicht schon lange entfernt? Sind das nicht unnötige Angriffsflächen?
Benutzen Sie doch etwas anderes als Microsoft-Produkte. – Sag nicht nur ich, sagt der EU-Datenschutzbeauftragte (m/w/d) auch.
mache ich privat ja auch, nur in der Arbeit kann man sich so etwas nicht aussuchen… Ist auch schwierig bei vielen gewachsenen Systemen…
Der Eu-Datenschutzbeauftrage hat kein Unternehmen und kann in seiner Blase das Ganze gar nicht verstehen. Für seine "einfache" Kommunikation kann er nutzen was will.
https://www.borncity.com/blog/2025/01/15/windows-10-server-2022-dienst-sgrmbroker-startet-nach-jan-2025-update-kb5049981-nicht-mehr/#comment-205643
Damals schon geschrieben. Kommt auf die vorhandene Version an.
Nur dass dort bei 22H2 automatic stand, was ja nach aktuellem Stand nicht zu stimmen scheint, bei sowas sollte man dann schon auf Herstellerdokumentation zurückgreifen, wenn deren Support es denn findet *hüstel*
Aber bis heute hat es die Info auch nicht in die Deprectated Features Liste geschafft:
https://learn.microsoft.com/en-us/windows/whats-new/deprecated-features
Was mich störte war, das wir die Patche zurückgehalten hatte, nur weil diese Meldung erschien. Da hätte MS deutlich besser arbeiten müssen und diesen Dienst zugleich mit entfernen können. Wir hatten uns schon gedacht das dieser Dienst nicht benötigt wird, da er auf anderen Systemen nicht vorhanden oder nicht aktiv war.
Richtige Firmen rollen updates in Kohorten aus statt falschen Alarmismus zu betreiben:
10% der Systeme (unwichtige Workstations)
n-Tage warten
20% der Systeme (normale Workstations)
n-Tage warten
Rest/etc.
genau, richtige firmen schauen n-Tage zu wie ein offenes scheunentor offen bleibt, hello welcome rce, aber ich warte noch n tage.
ist doch realitätsfern. Die kommunikation war mies, weil gerade wegen dem scheregrad der lücken, wollten viele patchen und wurden davon aufgehalten, das sie n Tage brauchen um zu sagen, sry der dienst braucht kein mensch, aber wir sind jetzt nicht schuld, wenn durch eine email jetzt bei euch alle sim argen ist. Ist doch wieder mal richtig schlechte Umsetzung seitens Microsoft gewesen.
So wie die aktuelle Bedrohungslage ist, kannst du nicht n>1 Tage warten.
Das machen wir auf Testsystemen und nicht wichtigen Prod-Systemen.
Wie aber Gänseblümchen schreibt, können wir nicht ewig warten und testen, zumal es auch HomeOffice Benutzer gibt, die grundsätlich umgehend upgedated werden.
Einfach aus Windows rausnehmen und komplett entfernen wäre für MS wieder zu einfach gewesen.
Leider wahr. Wer weiß schon, wann man es nicht mal wieder gebrauchen könnte… :D