Erro SgrmBroker.exe (Evento 7023) após janeiro/2025 no Windows Server 2022 e Windows 10 — causa, impacto e correção (KB5055526/KB5058379)

Após as atualizações de 14/01/2025, muitos admins passaram a ver falhas do serviço System Guard Runtime Monitor Broker (SgrmBroker.exe) com Evento 7023 no Windows Server 2022 e no Windows 10 22H2. Este guia explica a causa, o impacto e a correção recomendada, com passos práticos e automação.

Contexto: erro do System Guard Runtime Monitor Broker (SgrmBroker.exe)

Depois de instalar os cumulativos de 14 de janeiro de 2025, diversas organizações observaram que o serviço System Guard Runtime Monitor Broker falha logo após a inicialização do sistema, registrando o Evento 7023 do Service Control Manager. Em muitos ambientes, o tipo de inicialização deste serviço mudou de Manual (Acionado por Evento) para Automático (Inicialização Atrasada), o que fez ferramentas de monitoramento dispararem alertas de serviço parado.

Embora o nome remeta a “segurança do sistema”, o serviço em questão é um componente legado ligado a antigas funcionalidades do Microsoft Defender e já não é utilizado nas versões modernas do Windows. Por isso, a falha do serviço não representa risco funcional ou de segurança — é essencialmente ruído no log e, em alguns casos, falsos positivos em ferramentas de monitoramento.

Causa: serviço legado e conflito com os cumulativos de janeiro/2025

Os cumulativos de 14/01/2025 introduziram uma mudança que conflita com a inicialização do serviço SgrmBroker. Em sistemas onde o serviço continua presente e configurado para iniciar, o processo SgrmBroker.exe não sobe e o Windows registra o evento de término com falha (7023). Em versões suportadas e devidamente atualizadas do Windows, a Microsoft já vinha mantendo esse serviço desativado por padrão; o comportamento anômalo ocorre quando a atualização de janeiro encontra o serviço ainda ativo ou quando sua configuração de inicialização é alterada de forma não intencional.

Impacto prático no ambiente

• Logs ruidosos: dezenas de eventos 7023 após boot.
• Alertas falsos: monitores veem o serviço “parado” e abrem incidentes.
• Sem impacto de segurança: a falha não desativa recursos de proteção do Windows; o serviço é obsoleto e não tem função ativa nas versões atuais.
• Operação do servidor não afetada: aplicações e papéis de servidor continuam funcionando normalmente.

Quem é afetado

• Windows Server 2022 (build 20348.x) com cumulativos de 14/01/2025 aplicados e serviço SgrmBroker presente.
• Windows 10 22H2 (build 19045.x) após os mesmos cumulativos.

Ambientes com políticas ou imagens corporativas mais antigas (onde o serviço permaneceu configurado) são mais propensos a ver o problema.

Como reconhecer o problema nos logs

No Visualizador de Eventos, navegue até Logs do Windows > Sistema e filtre pelo ID 7023 do provedor Service Control Manager. Os eventos referentes ao System Guard Runtime Monitor Broker aparecem logo após a inicialização do sistema.

Dica: em servidores com muita rotatividade de eventos, filtre também por intervalo de datas a partir de 14/01/2025 para identificar a regressão após os cumulativos de janeiro.

Como confirmar no sistema (serviço e tipo de inicialização)

Verifique a presença e a configuração do serviço:

PowerShell
Get-Service -Name SgrmBroker -ErrorAction SilentlyContinue |
  Select-Object Name, Status

Get-CimInstance Win32\_Service -Filter "Name='SgrmBroker'" |
Select-Object Name, StartMode, State 

Se o StartMode retornar Auto ou Delayed Auto, e houver eventos 7023 recentes, seu ambiente está sofrendo o ruído descrito.

Correção definitiva (recomendado): instalar os cumulativos que resolvem

A solução adequada é avançar para os cumulativos que suprimem e/ou removem o comportamento problemático. Aplique conforme a plataforma:

Windows Server 2022 — instale o KB5055526 (08/abr/2025) ou posterior

• O pacote de abril/2025 aborda a falha do SgrmBroker introduzida em janeiro.
• Após instalar, reinicie o servidor e verifique se os eventos 7023 deixam de aparecer.
• Se sua organização usa WSUS/ConfigMgr/Intune, aprove a implantação do cumulativo mais recente (qualquer um posterior a abril/2025 também é válido).

Como validar:

PowerShell
Verificar se o cumulativo de abril (ou posterior) está presente
Get-HotFix | Where-Object HotFixID -match 'KB5055526|KB5055\d{3}|KB50\d{5}'

Checar ruído no log após atualização

Get-WinEvent -FilterHashtable @{
LogName='System'; ProviderName='Service Control Manager'; Id=7023;
StartTime=(Get-Date).AddDays(-7)
} | Where-Object { $\_.Message -like 'System Guard Runtime Monitor Broker' } </code></pre>

<h3>Windows 10 22H2 — instale o KB5058379 (13/mai/2025) ou posterior</h3>
<ul>
  <li>O cumulativo de maio/2025 corrige a geração dos erros do SgrmBroker no Visualizador de Eventos.</li>
  <li>Após a instalação e reinicialização, os eventos 7023 param de ocorrer.</li>
</ul>
<p><strong>Como validar</strong>:</p>
<pre><code>PowerShell
Get-HotFix | Where-Object HotFixID -match 'KB5058379|KB5058\d{3}|KB50\d{5}'
</code></pre>

<h2>Mitigação imediata (quando a atualização não pode ser aplicada agora)</h2>
<p>Se a janela de manutenção ainda não permite aplicar os cumulativos acima, use as mitigações abaixo. Elas reduzem o ruído e evitam incidentes falsos até a atualização definitiva.</p>
<ol>
  <li><strong>Não tente iniciar o serviço manualmente</strong>. Forçar a inicialização do SgrmBroker só gera novos eventos 7023 e não traz benefício.</li>
  <li><strong>Ajuste seus monitores</strong> (SCOM, Zabbix, Nagios, etc.) para ignorar o serviço SgrmBroker até a aplicação dos cumulativos de abril/maio/2025.</li>
  <li><strong>Mitigação aceitável (temporária)</strong>: desabilitar o serviço para suprimir o ruído, desde que sua política permita:
    <pre><code>cmd
sc.exe config SgrmBroker start= disabled
sc.exe stop SgrmBroker

<p>Não remova arquivos do sistema, não altere permissões em %windir%\System32 e não faça “limpezas” manuais. O ajuste definitivo vem via atualização.</p>

O que não fazer

• Não perca tempo com SFC/DISM para “consertar” arquivos do sistema; o problema não é corrupção de imagem.
• Não mexa em permissões (por exemplo, icacls) nem em dependências/GPO do serviço — isso não corrige a causa.
• Não desinstale cumulativos de janeiro como solução padrão; além de remover correções de segurança, não resolve a origem do comportamento.

Tabela de decisão (resumo executivo)

Plataforma	Sintoma	Update que resolve	Ação recomendada
Windows Server 2022	Evento 7023 para “System Guard Runtime Monitor Broker” após 14/01/2025	KB5055526 (08/abr/2025) ou posterior	Aplicar o cumulativo de abril/2025 ou mais novo; reiniciar; validar fim dos eventos 7023.
Windows 10 22H2	Evento 7023 semelhante após 14/01/2025	KB5058379 (13/mai/2025) ou posterior	Aplicar o cumulativo de maio/2025 ou mais novo; reiniciar; validar.

Automação com PowerShell (detecção e mitigação)

Script de detecção (único para Server 2022 e Windows 10 22H2)

Este script detecta: presença do serviço, modo de inicialização, eventos 7023 a partir de 14/01/2025 e se os cumulativos de correção já foram aplicados.

PowerShell
$service = Get-Service -Name SgrmBroker -ErrorAction SilentlyContinue
$svcInfo = $null
if ($service) { $svcInfo = Get-CimInstance Win32_Service -Filter "Name='SgrmBroker'" }

\$events = Get-WinEvent -FilterHashtable @{
LogName='System'; ProviderName='Service Control Manager'; Id=7023;
StartTime=\[datetime]'2025-01-14'
} -ErrorAction SilentlyContinue | Where-Object {
\$.Message -like 'System Guard Runtime Monitor Broker*' -or
\$.Message -like 'SgrmBroker*'
}

\$hotfix = Get-HotFix -ErrorAction SilentlyContinue
\$hasServerFix = \$hotfix.HotFixID -contains 'KB5055526'
\$hasWin10Fix  = \$hotfix.HotFixID -contains 'KB5058379'

\[pscustomobject]@{
ServicePresent               = \[bool]\$service
ServiceStatus                = if (\$service) { \$service.Status } else { 'NotInstalled' }
ServiceStartType             = if (\$svcInfo) { \$svcInfo.StartMode } else { \$null }
Has7023EventsAfterJan2025    = (\$events.Count -gt 0)
HasServerFix\_KB5055526       = \$hasServerFix
HasWin10Fix\_KB5058379        = \$hasWin10Fix
} | Format-List 

Mitigação temporária por script

Use somente se você ainda não pode aplicar os cumulativos corretivos:

PowerShell
$svc = Get-Service -Name SgrmBroker -ErrorAction SilentlyContinue
if ($svc) {
  Write-Host 'Desabilitando serviço SgrmBroker (mitigação temporária)...'
  sc.exe config SgrmBroker start= disabled | Out-Null
  if ($svc.Status -ne 'Stopped') { sc.exe stop SgrmBroker | Out-Null }
}

Consulta rápida de ruído pós-boot

PowerShell
Get-WinEvent -FilterHashtable @{
  LogName='System'; ProviderName='Service Control Manager'; Id=7023;
  StartTime=(Get-Date).Date
} | Where-Object { $_.Message -like 'SgrmBroker' } |
  Select-Object TimeCreated, Id, LevelDisplayName, Message

Monitoramento: ajustes nas principais ferramentas

Zabbix

• Em Templates > Windows services, adicione uma exclusão ao protótipo de descoberta de serviços para ^SgrmBroker$.
• Se usar itens específicos de serviço, aplique um preprocessing que ignore o nome “SgrmBroker” até que os cumulativos de abril/maio/2025 estejam amplamente implantados.

Nagios/Icinga

• Em ambientes com checknt ou checkwmi_plus, ajuste a lista de serviços monitorados para excluir SgrmBroker.
• Documente a exceção no CMDB e no runbook de NOC para evitar reincidências de incidentes.

SCOM

• Localize o monitor “Windows Service – Services Running” aplicado ao servidor e crie um override que exclua o serviço SgrmBroker por grupo/escopo.
• Defina um prazo para remoção do override após a implantação dos cumulativos de correção.

FAQ — perguntas frequentes

Há risco de segurança por deixar o SgrmBroker parado?

Não. O serviço é legado e já não desempenha papel ativo nas versões suportadas. A falha não degrada recursos de proteção nem enfraquece o Defender. A correção é para eliminar ruído e sanear a telemetria.

Posso remover o serviço definitivamente?

Não é necessário nem recomendado. Atualizações cumulativas posteriores a abril/maio de 2025 ajustam o comportamento; mexer manualmente em arquivos, chaves de registro ou ACLs só cria dívida técnica e riscos de suporte.

Por que alguns servidores mudaram para “Automático (Inicialização Atrasada)?”

Em parte dos ambientes, o cumulativo de janeiro alterou a configuração de inicialização. Isso aumenta a chance de o monitoramento marcar o serviço como parado. Trate como falso positivo e normalize após aplicar os cumulativos corretivos.

Posso resolver desinstalando o cumulativo de janeiro/2025?

Tecnicamente é possível remover cumulativos, mas não é boa prática: você abre mão de correções de segurança e não aborda a origem. O caminho suportado é avançar para os cumulativos de abril/maio/2025 (ou mais recentes).

Uso antivírus de terceiros. Muda algo?

Não. O comportamento está ligado a um serviço legado do sistema, independentemente de você usar MDE/Defender, outro EDR ou solução de terceiros.

Linha do tempo resumida

• 14 jan 2025: cumulativos introduzem ruído de inicialização do SgrmBroker em Windows Server 2022 e Windows 10 22H2.
• Jan/2025: confirmação pública de que o serviço é obsoleto e sem função nas versões atuais; recomenda-se ignorar/mitigar até correção.
• 08 abr 2025: cumulativo para Windows Server 2022 (KB5055526) trata o problema.
• 13 mai 2025: cumulativo para Windows 10 22H2 (KB5058379) elimina os erros no Visualizador de Eventos.

Checklist de pós-correção

1. Aplicar cumulativos corretivos (Server 2022: KB5055526+; Windows 10 22H2: KB5058379+).
2. Reiniciar o dispositivo/servidor.
3. Validar ausência de eventos 7023 do SgrmBroker nas últimas 24–72 horas.
4. Reverter exceções temporárias no monitoramento (Zabbix/Nagios/SCOM).
5. Registrar o incidente como ruído conhecido no runbook, com nota de “resolvido via atualização cumulativa”.

Modelo de comunicação para stakeholders

EQUIPE: Infra/Windows
ASSUNTO: Ruído de log – SgrmBroker.exe (Evento 7023) após cumulativos de 14/01/2025

Resumo: Após os cumulativos de janeiro, alguns servidores/estações registraram falha do serviço legado “System Guard Runtime Monitor Broker”, sem impacto funcional/segurança.
Ação: Aplicaremos cumulativos corretivos (Server 2022: KB5055526+; Windows 10: KB5058379+) no próximo ciclo de manutenção.
Mitigação: Monitoramento ajustado para ignorar o serviço até a atualização.
Status: Acompanhando. Sem risco para produção. 

Conclusão

O erro do SgrmBroker.exe pós-14/01/2025 é um glitch de inicialização em um serviço legado. Não há perda de proteção nem de funcionalidade. O caminho suportado e limpo é atualizar para os cumulativos que tratam o problema (Server 2022: KB5055526 ou posterior; Windows 10 22H2: KB5058379 ou posterior). Até lá, trate os alertas como ruído: não tente iniciar o serviço, ajuste o monitoramento e, se necessário, desabilite temporariamente o serviço sem remover arquivos. Esse enfoque evita retrabalho, reduz incidentes falsos e mantém o ambiente aderente às recomendações de suporte.