Após o Patch Tuesday de 14 de janeiro de 2025, muitos administradores começaram a notar um novo aviso no Visualizador de Eventos do Windows relacionado ao serviço System Guard Runtime Monitor Broker (SgrmBroker.exe). Embora o registro pareça alarmante à primeira vista, trata‑se apenas de um ruído inofensivo que não afeta a segurança, o desempenho ou a estabilidade da máquina. Neste artigo detalhamos a origem do evento 7023, o motivo técnico por trás da falha, as soluções provisórias e a correção definitiva publicada pela Microsoft.
Contexto do problema
O erro passou a surgir imediatamente após a instalação das seguintes atualizações cumulativas:
- KB5049981 – Windows 10 22H2, Build 19045.4523
- KB5049983 – Windows Server 2022, Build 20348.2315
Logo depois da primeira reinicialização, o Gerenciador de Eventos registra:
Log Name: System
Source: Service Control Manager
Event ID: 7023
Level: Error
Message: The System Guard Runtime Monitor Broker service terminated with error %%3489660935
O que é o System Guard Runtime Monitor Broker?
O executável SgrmBroker.exe surgiu originalmente como parte do Microsoft Defender Application Guard, encarregado de monitorar a integridade do ambiente isolado. Entretanto, desde 2020 o mecanismo principal foi integrado a camadas mais modernas do Defender, e o serviço foi mantido apenas por compatibilidade. Em muitas versões recentes do Windows ele não chega nem a iniciar — permanece configurado como StartType = 4 (Disabled).
Como o erro se manifesta
A falha ocorre exatamente uma vez por boot. Não é recorrente nem traz sintomas visíveis além da entrada 7023. Usuários relataram BSODs no mesmo período, mas análises posteriores associaram os travamentos a drivers antigos de vídeo e não ao SgrmBroker.
| Sintoma | Frequência | Impacto |
|---|---|---|
| Evento ID 7023 no log System | 1 por inicialização | Zero impacto funcional |
| Travamento/BSOD após o patch | Casos isolados | Relacionados a drivers de terceiros |
Diagnóstico interno da Microsoft
Dois boletins internos, WI982633 e WI982632, marcaram o incidente como “Mitigated”. O relatório explica que uma chamada adicionada aos binários do Defender nesta leva de patches entra em conflito com o fluxo normal de inicialização do SgrmBroker — serviço já desativado nas SKUs empresariais mais recentes. Em vez de ignorar a chamada, o Windows tenta iniciar o serviço, falha e gera o 7023. Como o componente não é usado na proteção antimalware atual, não há perda de defesa ou de estabilidade.
Impacto prático
- O log 7023 é gerado apenas uma vez por partida/reinício.
- Não há degradação de desempenho nem consumo extra de recursos.
- Ferramentas como SFC, DISM e o próprio Windows Security continuam exibindo “Nenhum problema encontrado”.
Soluções provisórias (opcionais)
Para quem deseja manter o Visualizador de Eventos limpo até aplicar o patch definitivo, a própria Microsoft indicou a desativação manual do serviço:
sc.exe config sgrmagent start=disabled
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 4 /f
Ambos os comandos podem ser colados em um Console de Administrador (Prompt de Comando ou PowerShell) e não exigem reinício imediato. A partir do próximo boot, o evento 7023 deixa de surgir.
Atenção : não substitua arquivos em %windir%\System32 nem desinstale a KB5049981/KB5049983. Vários usuários que tentaram tais métodos relataram falhas adicionais em serviços do SPP (ativação) e do Defender.
Correção oficial
Em 23 de abril de 2025 a Microsoft publicou um build Preview que removia a chamada problemática. O ajuste passou para o canal estável no Patch Tuesday de 13 de maio de 2025:
- KB5058379 – Windows 10 22H2, Build 19045.5854
- KB5058381 – Windows Server 2022, Build 20348.2481
Depois de instalar a nova cumulativa, o evento 7023 não volta a aparecer e qualquer “workaround” pode ser revertido com:
sc.exe config sgrmagent start=demand
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 3 /f
Como confirmar se o patch já está aplicado
- Aperte Win + R, digite
winvere pressione Enter. - Verifique se a versão exibe 19045.5854 (Windows 10) ou 20348.2481 (Server 2022) ou superior.
- Abra o Visualizador de Eventos > Logs do Windows > Sistema e filtre por
ID = 7023eFonte = Service Control Manager. Nenhuma ocorrência após a data de instalação deve estar presente.
Tabela resumida de patches e status do erro
| SO / Build | Patch cumulativo | Status do Evento 7023 | Ação recomendada |
|---|---|---|---|
| Win 10 22H2 19045.4523 | KB5049981 (14/jan/2025) | Presente | Ignorar ou desativar serviço |
| Server 2022 20348.2315 | KB5049983 (14/jan/2025) | Presente | Ignorar ou desativar serviço |
| Win 10 22H2 19045.5854 | KB5058379 (13/mai/2025) | Resolvido | Nenhuma ação |
| Server 2022 20348.2481 | KB5058381 (13/mai/2025) | Resolvido | Nenhuma ação |
Perguntas frequentes (FAQ)
O erro afeta máquinas que nunca ativaram o Defender Application Guard? Não. O componente é herdado e o problema se limita à tentativa de inicialização do serviço, independentemente de o recurso ter sido usado. Posso simplesmente ocultar o evento? Sim, mas é mais limpo desativar o serviço ou aplicar o patch. Ferramentas de terceiros para filtrar logs não tratam a causa raiz. Desativar o serviço reduz a proteção contra malware? Não. O serviço não é mais parte da cadeia ativa de defesa. Há risco de o problema voltar em builds futuros? Baixíssimo, pois o chamado de inicialização foi removido definitivamente. Ainda assim, mantenha o Windows Update habilitado.
Melhores práticas e recomendações finais
- Mantenha o Windows Update atualizado para receber hotfixes rapidamente.
- Evite manipular DLLs/EXEs de sistema manualmente; preferir configurações suportadas (sc.exe, reg.exe).
- Documente em inventários internos quais máquinas receberam workarounds, para reverter depois do patch.
- Use rotinas de limpeza no Visualizador de Eventos apenas quando necessário; logs são valiosos para auditoria.
- Acompanhe os canais Microsoft TechCommunity e o painel de saúde do Windows para avisos de qualidade.
Em resumo, o evento 7023 provocado pela atualização de janeiro 2025 é apenas um artefato benigno. Se você já instalou o cumulativo de maio ou posterior, a ocorrência desaparece sozinha. Caso não possa atualizar de imediato, desativar o serviço é seguro e recomendado pela própria Microsoft.