Patch Tuesday di gennaio 2025 ha innescato un errore di registro fastidioso ma innocuo: l’evento 7023 relativo al servizio System Guard Runtime Monitor Broker (SgrmBroker.exe). In questa guida approfondiamo cause, impatto reale e soluzioni, incluse le patch ufficiali che lo eliminano definitivamente.
Scenario dell’errore
Dopo l’installazione degli aggiornamenti cumulativi del 14 gennaio 2025:
- Windows 10 22H2 → KB5049981 (build 19045.5371)
- Windows Server 2022 → KB5049983
molti amministratori hanno iniziato a visualizzare nel Visualizzatore eventi il log:
Event ID 7023
Service Control Manager
System Guard Runtime Monitor Broker (SgrmBroker.exe) terminated with error %%3489660935
Il servizio tenta di avviarsi automaticamente ad ogni riavvio, fallisce immediatamente con Access Denied e genera l’evento.
Origine tecnica del bug
- SgrmBroker.exe fu introdotto anni fa per componenti interni di Microsoft Defender, ma da tempo non svolge più alcuna funzione pratica.
- Con le patch di gennaio 2025 la logica d’inizializzazione è stata modificata: il driver firma il servizio come Automatic anziché Demand. Il caricamento non riesce perché i token di sicurezza non concedono più i privilegi richiesti, scatenando l’errore 7023.
- Microsoft ha classificato il problema come “puramente cosmetico”: nessuna perdita di protezione, nessun impatto su BSOD, prestazioni o stabilità del sistema operativo. (I pochissimi arresti anomali segnalati in rete si sono rivelati legati a firmware e driver di terze parti, non all’errore in oggetto.)
Impatto pratico
| Componente | Effetto segnalato | Gravità reale |
|---|---|---|
| Event Viewer | Errore 7023 ad ogni riavvio | Solo log; nessun sintomo visibile |
| Avvio del servizio | Impossibile (Access Denied) | Atteso, il servizio è obsoleto |
| Sicurezza / Prestazioni | Nessun impatto | Confermato da Microsoft |
Analisi dettagliata
System Guard è un insieme di tecnologie introdotte con Windows 10 1903 per garantire integrità del kernel e misurazione dell’attestazione hardware. Gran parte della logica originale è confluita in Secured-core PC e in funzionalità di HVCI. Il broker (SgrmBroker.exe), che fungendo da agente utente orchestrava processi secondari, non è più richiamato da alcun componente moderno.
Quando KB5049981/KB5049983 installano una nuova versione firmata, il servizio risulta:
StartType = 2(Automatic)ImagePath = %SystemRoot%\System32\SgrmBroker.exeServiceSidType = 1
All’avvio, il Service Control Manager lo isola in un SID dedicato che non dispone più dei diritti d’accesso a \Device\SeLoadDriverPrivilege. Da qui l’errore 0xC0000022 (STATUSACCESSDENIED) convertito in %%3489660935 nel registro.
Soluzioni e workaround
| Approccio | Descrizione | Note di cautela |
|---|---|---|
| Ignorare l’errore | Indicazione ufficiale Microsoft: il broker è ormai ridondante. | Nessuna azione necessaria. |
| Disabilitare il servizio | sc.exe config sgrmagent start= disabled | Facoltativo; sopprime l’evento 7023. |
| Ripristino dei file di novembre 2024 | Copiare versioni precedenti di SgrmBroker.exe e DLL correlate. | Sconsigliato: intervento manuale, invalida SFC. |
| Modifiche a registro/servizi “Time Broker” & simili | Vari tentativi proposti in forum. | Inutili o potenzialmente dannosi. |
Procedura passo‑passo per disabilitare in sicurezza SgrmBroker.exe
- Aprire Prompt dei comandi come amministratore.
- Eseguire:
sc.exe stop SgrmBroker sc.exe config SgrmBroker start= disabled reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 4 /f - Riavviare il sistema. L’evento 7023 non verrà più generato.
- Per ripristinare l’impostazione originale:
sc.exe config SgrmBroker start= auto reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 2 /f
Il comando sc.exe è sufficiente; la voce di registro è ridondante ma utile su build che non sincronizzano immediatamente il valore.
Cronologia dei fix ufficiali
| Data | Aggiornamento | Stato del bug |
|---|---|---|
| 20 gen 2025 | Bollettini interni WI982632/WI982633 | Bug classificato “Mitigated” |
| 25 feb 2025 | Preview update KB5052077 | Bug ancora presente |
| 23 apr 2025 | Beta preview KB5056xxx | Fix introdotto in anteprima |
| 13 mag 2025 | Patch Tuesday KB5058379 (build 19045.5854) | Risolto definitivamente |
Domande frequenti (FAQ)
Il mio antivirus perde efficacia se il servizio non parte?
No. Tutti i moduli di Microsoft Defender restano operativi perché SgrmBroker.exe non è più coinvolto nelle pipeline di scansione o protezione in tempo reale.
Posso rimuovere fisicamente SgrmBroker.exe?
Sconsigliato. La rimozione di binari firmati da Windows può invalidare SFC e disallineare future cumulative update.
Il registro si riempie di errori, rallenta il sistema?
No. Il Visualizzatore eventi è un log append‑only. La sua crescita è gestita da criteri di rollover automatici.
Perché alcuni utenti citano BSOD?
Nei casi investigati si trattava di driver NIC non aggiornati o firmware firmware di memorie NVMe, non correlati al servizio.
La disabilitazione impatta device Guard o Credential Guard?
No. Quelle funzionalità dipendono dai servizi LSAISO, HvHost e dal motore Virtual Secure Mode, non da SgrmBroker.
Raccomandazioni finali
- Aggiornare a build 19045.5854 (o superiore) distribuita il 13 maggio 2025 per eliminare definitivamente l’errore.
- Se si resta su build precedenti limitarsi – al massimo – a disabilitare SgrmBroker.exe con i comandi forniti, evitando script invasivi o la cancellazione dei file di sistema.
- Ricordare che il Visualizzatore eventi contiene centinaia di messaggi benigni: concentrare l’attenzione su errori corroborati da sintomi concreti (BSOD, freeze, degrado prestazioni).
Conclusioni
L’evento 7023 legato a SgrmBroker.exe è un esempio lampante di noise diagnostico: segnala la mancata partenza di un servizio obsoleto ma non pregiudica in alcun modo sicurezza o stabilità. Bastano pochi comandi per silenziarlo, oppure ci si può semplicemente affidare alle patch cumulative di maggio 2025 che risolvono il problema alla radice.