Errore 7023 SgrmBroker dopo gli aggiornamenti di gennaio 2025: cause, impatto e soluzioni per Windows 10 e Windows Server 2022

Dopo le cumulative del 14 gennaio 2025 (Windows Server 2022 KB5049983 e Windows 10 21H2/22H2 KB5049981) molti sistemi registrano l’errore 7023 per il servizio System Guard Runtime Monitor Broker (SgrmBroker). È un evento cosmetico, senza impatto: ecco come gestirlo in produzione.

Indice

Panoramica del problema

Subito dopo l’installazione delle CU di gennaio 2025, su un’ampia gamma di macchine Windows 10 21H2/22H2 e Windows Server 2022, il servizio SgrmBroker risulta con tipo di avvio impostato su Automatico (avvio ritardato), ma allo stesso tempo non può più inizializzarsi perché Microsoft ne ha disattivato l’uso a livello di componente. Al primo tentativo di start (anche automatico al boot) il Service Control Manager scrive nel registro eventi di Sistema un Event ID 7023 e il servizio resta nello stato Arrestato.

La segnalazione è spesso intercettata dai sistemi di monitoraggio che evidenziano un “servizio in automatico non in esecuzione” (Zabbix, SCOM, ecc.), generando falsi positivi e rumore operativo.

Messaggio tipico nel Visualizzatore eventi

Log:      Sistema
Origine:  Service Control Manager
ID evento: 7023
Testo:    The System Guard Runtime Monitor Broker service terminated with the following error: %%3489660935
Servizio: SgrmBroker

Cos’è SgrmBroker e perché ora fallisce

System Guard Runtime Monitor Broker era stato introdotto a supporto di scenari storici di Microsoft Defender e integrità del sistema. Con l’evoluzione della piattaforma, il suo ruolo è diventato ridondante. A partire dagli aggiornamenti di 14 gennaio 2025, Microsoft ha scelto di disabilitare per impostazione predefinita l’inizializzazione del servizio su Windows 10 e Windows Server 2022. Il risultato pratico è che il servizio non ha più un compito attivo: il tentativo di avvio non è necessario e produce soltanto un evento di terminazione (7023) senza effetti funzionali o di sicurezza.

Conferme ufficiali

Le note delle CU di gennaio 2025 per Windows Server 2022 (KB5049983) e Windows 10 (KB5049981) descrivono il 7023 di SgrmBroker.exe come problema noto e chiariscono che non c’è impatto su prestazioni o sicurezza. Inoltre, si specifica che non è necessario avviare o riconfigurare manualmente il servizio e che aggiornamenti futuri ne modificheranno/rimuoveranno i componenti.
Discussioni su Microsoft Q&A segnalano che, in alcuni ambienti, la CU ha cambiato il tipo di avvio da “Manual (Triggered)” a “Automatic (Delayed)”, innescando allarmi nei sistemi che controllano i servizi automatici.
Gli aggiornamenti successivi di aprile 2025 hanno risolto la questione senza interventi amministrativi (Windows Server 2022 con KB5055526; Windows 10 con KB5055612), pur lasciando possibile la presenza del servizio fino alla sua rimozione completa in build successive.

Impatto su sicurezza e funzionalità

Il 7023 di SgrmBroker è puramente cosmetico:

Non disattiva funzionalità di sicurezza di Windows, né riduce il livello di protezione di Defender o di System Guard.
Non ha effetti su prestazioni, compatibilità applicativa o stabilità del sistema operativo.
È visibile solo a chi monitora attivamente il registro eventi; non genera messaggi a video per l’utente finale.

Per questo motivo, la linea guida consigliata da Microsoft è non tentare di avviare il servizio e non rimuovere manualmente i suoi componenti. Il rumore operativo può essere gestito con esenzioni nel monitoraggio o con un cambio esplicito del tipo di avvio, come descritto più avanti.

Come riconoscere rapidamente la condizione

Verifica locale

Apri services.msc e cerca System Guard Runtime Monitor Broker.
Osserva: tipo di avvio “Automatico (avvio ritardato)” e stato Arrestato. Un tentativo di Avvia fallirà con errore generico.
Apri Visualizzatore eventi > Registri di Windows > Sistema e filtra per ID 7023 per confermare la voce relativa a SgrmBroker.

Verifica via riga di comando

REM Stato e tipo di avvio
sc.exe query SgrmBroker
sc.exe qc SgrmBroker

REM Eventi 7023 delle ultime 48 ore
wevtutil qe System /q:"[System[(EventID=7023)]] and [EventData[Data and (Data='SgrmBroker')]]" /rd:true /f:text /c:20 </code></pre>

<h2>Strategie di gestione (pro e contro)</h2>
<p>Di seguito quattro opzioni operative che coprono la maggior parte degli scenari reali. Scegli in base a policy di monitoraggio e sensibilità al rumore di allarme.</p>

<table>
  <thead>
    <tr>
      <th>Opzione</th>
      <th>Dettagli operativi</th>
      <th>Quando preferirla</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td><strong>Ignorare l’evento</strong></td>
      <td>Nessun intervento: l’errore è innocuo e scomparirà con la rimozione definitiva del servizio nelle build successive.</td>
      <td>Ambienti in cui il monitoraggio non genera incident per servizi non in esecuzione.</td>
    </tr>
    <tr>
      <td><strong>Disabilitare esplicitamente il servizio</strong></td>
      <td>
        <p>Imposta il tipo di avvio su <em>Disabilitato</em> per evitare allarmi su “Automatico non avviato”.</p>
        <pre><code>cmd
sc.exe config SgrmBroker start= disabled
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 4 /f

    <p><em>Nota</em>: non rimuovere i binari e non forzare start manuali.</p>
  </td>
  <td>Infrastrutture con monitor che segnalano ogni servizio in automatico non running (Zabbix, SCOM, ecc.).</td>
</tr>
<tr>
  <td><strong>Ripristinare “Manual (Triggered)”</strong></td>
  <td>
    <p>Riporta l’avvio a <em>Manuale</em> (i trigger interni restano nel sistema).</p>
    <pre>cmd
sc.exe config SgrmBroker start= demand
</pre>
    <p>Riduce la gravità degli allarmi in alcuni template di monitoraggio.</p>
  </td>
  <td>Quando si desidera evitare modifiche al Registro e limitarsi a un cambio di policy del servizio.</td>
</tr>
<tr>
  <td><strong>Attendere gli aggiornamenti successivi</strong></td>
  <td>Le CU di gennaio 2025 hanno marcato il tema come <em>Known issue</em> anche nell’OOB del 18&nbsp;gennaio&nbsp;(KB5052819). Rilasci successivi di aprile 2025 hanno risolto la condizione (vedi cronologia più sotto).</td>
  <td>Contesti con patching ordinario e bassa priorità sull’eliminazione del rumore di monitoraggio.</td>
</tr>

Raccomandazioni operative

Conferma che l’errore è benigno: non ci sono regressioni di sicurezza o funzionalità note attribuibili a SgrmBroker, secondo la documentazione ufficiale.
Allinea le policy di monitoraggio: escludi SgrmBroker dalle regole “servizi in automatico non running” o applica una delle mitigazioni sopra.
Evita di avviare manualmente il servizio: continuerà a terminare e a generare log non utili.
Documenta nei run‑book che, dopo le CU di gennaio 2025, l’event 7023 di SgrmBroker è previsto.

Playbook pratico per ambienti enterprise

Disattivazione/normalizzazione via PowerShell

# Esegui in sessione elevata
$svc = Get-Service -Name SgrmBroker -ErrorAction SilentlyContinue
if ($null -ne $svc) {
  # Opzione A: disabilita esplicitamente
  Set-Service -Name SgrmBroker -StartupType Disabled

Opzione B (alternativa): riporta a Manuale (Triggered)

Set-Service -Name SgrmBroker -StartupType Manual

Verifica

Get-Service SgrmBroker | Select-Object Name,Status,StartType
} else {
Write-Host "SgrmBroker non presente su questo sistema."
}

Distribuzione di massa con Criteri di Gruppo (GPO)

Crea o modifica una GPO assegnata alle OU interessate.
Vai su Configurazione computer → Preferenze → Impostazioni di controllo → Servizi.
Aggiungi SgrmBroker e imposta Startup=Disabilitato (o Manuale se preferisci la normalizzazione).
Abilita “Avvia servizio” disabilitato (per evitare tentativi inutili) e applica “Modifica impostazioni esistenti”.

Distribuzione con Microsoft Intune

Crea uno Script di dispositivo PowerShell con il frammento riportato sopra.
Assegna allo scope di produzione; imposta “Run this script using the logged-on credentials” su No e “Run script in 64-bit PowerShell host” su Yes.
Conferma il risultato con una Device compliance script di sola verifica (legge StartType del servizio).

Riduzione del rumore su SCOM e Zabbix

SCOM: crea un override per il monitor “Windows Service: not running” escludendo SgrmBroker o imposta la severità su Informational. Per policy più fini, limita l’override a computer con CU ≥ 2025‑01.
Zabbix: se usi regole che allertano “servizi automatici non running”, inserisci SgrmBroker in una maintenance exclude list o filtra l’LLD dei servizi tramite una regexp (ad es. ^(?!SgrmBroker$).*) per i template interessati.

Diagnostica avanzata (facoltativa)

Se desideri dimostrare l’assenza di impatto, puoi raccogliere in un file CSV lo stato del servizio e gli eventi 7023 degli ultimi 7 giorni sull’intero parco macchine:

# Esempio remoto via WinRM/PSRemoting
$computers = Get-Content .\servers.txt
$report = foreach ($c in $computers) {
  try {
    $svc = Invoke-Command -ComputerName $c -ScriptBlock { Get-Service SgrmBroker -ErrorAction SilentlyContinue }
    $evt = Invoke-Command -ComputerName $c -ScriptBlock {
      Get-WinEvent -FilterHashtable @{LogName='System'; Id=7023; StartTime=(Get-Date).AddDays(-7)} |
      Where-Object { $_.Message -like 'SgrmBroker' } | Select-Object -First 1
    }
    [pscustomobject]@{
      Computer = $c
      Present  = [bool]$svc
      StartType= $svc.StartType
      Status   = $svc.Status
      Event7023= if ($evt) { $true } else { $false }
      EventTime= $evt.TimeCreated
    }
  } catch {
    [pscustomobject]@{ Computer=$c; Present=$false; StartType=$null; Status=$null; Event7023=$null; EventTime=$null }
  }
}
$report | Export-Csv .\SgrmBroker-Audit.csv -NoTypeInformation -Encoding UTF8

Domande frequenti (FAQ)

Posso eliminare il servizio?

No. Microsoft sconsiglia di rimuovere o “pulire” manualmente i componenti. Il servizio è già privo di funzione attiva; la rimozione sarà gestita dagli aggiornamenti futuri. Interventi manuali potrebbero introdurre effetti collaterali in scenari non testati.

È sicuro disabilitarlo esplicitamente per zittire gli allarmi?

Sì, cambiare il tipo di avvio a Disabilitato è una misura accettabile per ridurre il rumore. Non avviare forzatamente il servizio e non cancellarne i file.

Perché vedo “Automatic (Delayed)” se il servizio è disattivato?

Le CU di gennaio hanno modificato il tipo di avvio in alcuni ambienti; contemporaneamente l’inizializzazione del componente è stata disabilitata. Il risultato è un servizio configurato per l’avvio ritardato ma che, di fatto, non può partire e termina con 7023.

Questo tocca Windows 11 o altre edizioni?

Su vari rami supportati il servizio era già disabilitato; la condizione visibile con 7023 riguarda principalmente Windows 10 21H2/22H2 e Windows Server 2022 nelle build attorno a gennaio 2025.

Cronologia e stato degli aggiornamenti

14 gennaio 2025 – Rilascio KB5049983 (Windows Server 2022) e KB5049981 (Windows 10 21H2/22H2). L’errore 7023 di SgrmBroker è dichiarato Known issue. Viene chiarita la natura cosmetica e l’assenza di impatto.
18 gennaio 2025 – KB5052819 Out‑of‑band per Server 2022: l’evento 7023 resta elencato come problema noto.
Febbraio 2025 – Il tema rimane nei Known issues dei bollettini successivi; l’indicazione operativa resta di non intervenire sul servizio.
8 aprile 2025 – KB5055526 (Windows Server 2022) contrassegna il problema come risolto (nessuna azione manuale richiesta; il rumore tende a scomparire dopo l’aggiornamento).
22/23 aprile 2025 – KB5055612 (Preview per Windows 10 22H2) include la correzione che elimina la segnalazione 7023 di SgrmBroker nelle build interessate.

Nota: la presenza del servizio come “oggetto” amministrativo può persistere tra build anche dopo la risoluzione del problema; la rimozione completa avviene progressivamente con le versioni successive.

Esempi di policy “zero‑rumore”

Standard di monitoraggio consigliato

Non generare incident per servizi in Automatico fermi se elencati come Known issue o Deprecated nelle note di rilascio di Microsoft.
Intrudere una deny‑list centralizzata (es. SgrmBroker, componenti WinRE, ecc.) aggiornata ogni mese post‑Patch Tuesday.
Associare a tali eventi una severità Informational e una KB reference nei dettagli del ticket per evitare escalation inutili.

Rollback (se necessario)

Se in passato hai rimosso o alterato in modo invasivo componenti del servizio, è consigliabile ripristinare lo stato standard del sistema (repair install / in‑place upgrade oppure DISM /RestoreHealth), quindi lasciare che gli aggiornamenti ufficiali completino la pulizia.

Checklist operativa pronta all’uso

Identifica i device con CU ≥ 2025‑01 e presenza di 7023/SgrmBroker negli ultimi 7 giorni.
Classifica per criticità di monitoraggio (server di produzione con alert severi vs. endpoint utente).
Applica una delle 3 azioni: esenzione monitor, disabilitazione esplicita, ripristino a Manuale.
Documenta nei run‑book l’evento 7023 come “previsto” per le build di gennaio‑marzo 2025.
Aggiorna all’ultima CU (aprile 2025 o successive) per beneficiare della correzione lato sistema.

In sintesi

L’errore 7023 legato a SgrmBroker dopo gli aggiornamenti di gennaio 2025 è atteso e privo di impatto: Microsoft ha già disattivato il servizio (divenuto ridondante) e ne ha pianificato la rimozione. Puoi ignorare l’evento, disabilitare esplicitamente il servizio per sopprimere allarmi o attendere gli aggiornamenti successivi (da aprile 2025 in poi) che normalizzano la situazione automaticamente. L’importante è non forzare l’avvio e non rimuovere manualmente i componenti.

Riferimenti (titoli)

“January 14, 2025—KB5049983 (OS Build 20348.3091) – Windows Server 2022 – Known issues: SgrmBroker.exe / Event 7023”.
“January 14, 2025—KB5049981 (OS Builds 19044.5371 e 19045.5371) – Windows 10 – Known issues: SgrmBroker.exe”.
“January 18, 2025—KB5052819 (OS Build 20348.3095) OOB – Windows Server 2022 – Known issue mantiene SgrmBroker”.
“Microsoft Q&A – Server 2022 Windows Updates January 2025 – System Guard Runtime Monitor Broker Service: avvio Auto (Delayed) e allarmi Zabbix”.
“Aggiornamenti di aprile 2025: KB5055526 (Windows Server 2022) e KB5055612 (Windows 10) – correzione del problema SgrmBroker”.

Appendice – Comandi “copia e incolla”

REM 1) Disabilita SgrmBroker per fermare gli alert
sc.exe config SgrmBroker start= disabled
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 4 /f

REM 2) Ripristina a Manual (Triggered) se preferisci evitare modifiche al Registro
sc.exe config SgrmBroker start= demand

REM 3) Verifica stato
sc.exe query SgrmBroker
sc.exe qc SgrmBroker

Questo articolo è stato pensato per amministratori di sistema e team SecOps che desiderano ridurre il rumore di monitoraggio in ambienti Windows 10/Server 2022 mantenendo la conformità alle indicazioni Microsoft.