MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. SgrmBroker : corriger l’erreur 7023 après les mises à jour de janvier 2025 (Windows Server 2022, Windows 10)

SgrmBroker : corriger l’erreur 7023 après les mises à jour de janvier 2025 (Windows Server 2022, Windows 10)

Windows Server

Après le Patch Tuesday du 14 janvier 2025, de nombreux hôtes Windows Server 2022 (et quelques Windows 10) affichent l’erreur 7023 pour le service System Guard Runtime Monitor Broker (SgrmBroker). Voici l’explication officielle, les correctifs, et des actions immédiates sans risque.

Sommaire

Vue d’ensemble de la question

Suite aux mises à jour de sécurité publiées le 14 janvier 2025 (et suivantes), des administrateurs observent :

  • Des événements Event 7023 dans Journaux Windows → Système émis par Service Control Manager, mentionnant SgrmBroker.exe et le code %%3489660935.
  • Des alertes de supervision, car le service apparaît en « Automatique (démarrage différé) » mais ne démarre pas.
  • Des tickets bruités côté SOC/ITSM, alors même qu’aucun symptôme utilisateur n’est visible.

Microsoft a confirmé que ce comportement est attendu après ces mises à jour : le service n’est plus utilisé, son initialisation entre en conflit et se termine sans impact fonctionnel ni de sécurité. Le composant est déjà inactif dans d’autres versions prises en charge de Windows. Il n’est ni nécessaire de le lancer, ni de le configurer manuellement ; des correctifs ultérieurs ajustent les composants concernés.

Réponse et solution

Cause officielle : comportement attendu

  • SgrmBroker (System Guard Runtime Monitor Broker) était historiquement lié à Microsoft Defender/Windows Defender System Guard. Il est désormais obsolète et non requis sur les plates‑formes concernées.
  • Après les mises à jour de janvier 2025, l’initialisation du service peut se terminer avec l’erreur 7023 / %%3489660935. Il n’y a pas de baisse du niveau de sécurité ; les protections (Defender, HVCI, etc.) restent opérationnelles.
  • Microsoft ne recommande pas de démarrer ni de forcer la configuration du service. La résolution passe par l’application des LCU qui intègrent l’ajustement.

Correctifs par mise à jour

Appliquez la mise à jour correspondant à votre système, ou toute cumulative plus récente :

SystèmeSymptômeCorrectifStatut recommandé
Windows Server 2022Event 7023 / %%3489660935 pour SgrmBroker, service en « auto (démarrage différé) » qui ne démarre pas.KB5055526 (8 avril 2025) et cumulatives ultérieures.Déployer la LCU la plus récente (inclut la correction).
Windows 10 22H2Cas observés plus rares, même symptôme Event 7023.KB5055612 (22 avril 2025, Preview), puis cumulatives suivantes.Installer une cumulative incluant la correction.

Mesures d’atténuation immédiates

Si vous ne pouvez pas patcher immédiatement l’ensemble du parc :

  1. Ignorer/adapter la supervision : excluez SgrmBroker des contrôles « service en démarrage automatique » dans vos templates (Zabbix/SCOM/Nagios/PRTG, etc.) ou relevez le seuil d’alerte. De nombreux retours indiquent un état « Auto (démarrage différé) » post‑patch qui entraîne des faux positifs.
  2. Désactiver proprement le service (optionnel, pour supprimer le bruit d’événements en attendant le correctif). Ne désinstallez rien, ne supprimez pas de binaires. Contentez‑vous, si nécessaire, de le désactiver et planifiez le déploiement de la LCU.
# PowerShell (élevé)
Set-Service -Name SgrmBroker -StartupType Disabled
Stop-Service -Name SgrmBroker -ErrorAction SilentlyContinue

:: Invite de commandes (élevée)
sc.exe config SgrmBroker start= disabled

Important : les opérations du type SFC/DISM, modification d’autorisations, ajustement de dépendances ou GPO « exotiques » ne résolvent pas la cause. Le comportement est voulu jusqu’à l’application des mises à jour correctives.

Diagnostic et détection rapide

Identifier les hôtes affectés par l’erreur 7023

Recherche locale (événements Système depuis le 14/01/2025) :

$start = Get-Date '2025-01-14'
Get-WinEvent -FilterHashtable @{
  LogName='System'; Id=7023; StartTime=$start; ProviderName='Service Control Manager'
} | Where-Object {
  $_.Message -match 'System Guard Runtime Monitor Broker|SgrmBroker|%%3489660935'
} | Select-Object TimeCreated, MachineName, Id, Message

Inspection de l’état du service :

Get-Service -Name SgrmBroker | Select-Object Name, Status, StartType

Inventaire à l’échelle du domaine

Exemple d’audit des serveurs Windows Server 2022 via PowerShell Remoting et Active Directory :

# Nécessite RSAT-AD-PowerShell et WinRM activé
Import-Module ActiveDirectory
$computers = Get-ADComputer -Filter "OperatingSystem -like 'Windows Server 2022*'" -Properties OperatingSystem |
             Select-Object -ExpandProperty Name

\$results = foreach (\$c in \$computers) {
try {
\$svc = Invoke-Command -ComputerName \$c -ScriptBlock {
Get-Service -Name SgrmBroker -ErrorAction Stop | Select-Object Status, StartType
} -ErrorAction Stop

```
$evt = Invoke-Command -ComputerName $c -ScriptBlock {
  $start = Get-Date '2025-01-14'
  Get-WinEvent -FilterHashtable @{
    LogName='System'; Id=7023; StartTime=$start; ProviderName='Service Control Manager'
  } | Where-Object {
    $_.Message -match 'SgrmBroker|System Guard Runtime Monitor Broker|%%3489660935'
  } | Select-Object -First 1 -Property TimeCreated
} -ErrorAction SilentlyContinue

[PSCustomObject]@{
  Computer   = $c
  SgrmStatus = $svc.Status
  StartType  = $svc.StartType
  Event7023  = $evt.TimeCreated
}
```

} catch {
\[PSCustomObject]@{
Computer   = \$c
SgrmStatus = 'N/A'
StartType  = 'N/A'
Event7023  = \$null
}
}
}

\$results | Sort-Object Computer | Export-Csv -NoTypeInformation .\SgrmBroker\_Audit.csv
\$results

Vérifier la présence du correctif

Selon l’édition et la méthode de maintenance, Get-HotFix peut ne pas toujours lister les LCU. Utilisez alors DISM pour interroger les packages installés :

# Vérifier Windows Server 2022 (KB5055526) et Windows 10 22H2 (KB5055612)
dism /online /get-packages /format:table | findstr 5055526
dism /online /get-packages /format:table | findstr 5055612

Ajustement de la supervision

SCOM

  1. Identifiez le moniteur ciblant les services Windows (par ex. « Windows Service »).
  2. Créez un override pour désactiver la surveillance du service SgrmBroker :
    • Scope : groupe « Serveurs Windows Server 2022 » (recommandé) ou un groupe ad‑hoc.
    • Paramètre : désactivation pour le service nommé SgrmBroker.
  3. Vérifiez la suppression des alertes et documentez l’exception dans la CMDB/runbook.

Zabbix

  • Si vous utilisez la découverte LLD des services Windows, ajoutez un filtre pour exclure le service :
    • Règle Windows services discoveryFilter : {#SERVICE.NAME} « does not equal » SgrmBroker (ou un regex d’exclusion).
  • Si un item dédié existe déjà, désactivez l’item/trigger pour ce service dans le template ou au niveau hôte.

Nagios/Icinga

  • Pour les checks de service (WMI/NSClient++), retirez SgrmBroker des listes de services attendus en running, ou marquez‑le explicitement comme ignored.
  • Conservez une note de changement afin d’éviter la régression lors de l’actualisation des commandes.

PRTG et autres

  • Dans les capteurs « Windows Service », décochez SgrmBroker ou fixez l’état attendu à Stopped/Disabled pour ce service précis.

Procédures de désactivation contrôlée

Si vous optez pour la désactivation temporaire du service afin de faire tomber le bruit, standardisez l’action et documentez‑la :

GPO (Preferences) pour uniformiser l’état du service

  1. Éditeur de gestion de stratégie de groupe → Configuration ordinateurPreferencesControl Panel SettingsServices.
  2. New → Service : SgrmBroker, Action : Update, Startup : Disabled, Service action : Stop service.
  3. Utilisez l’Item‑level targeting pour viser uniquement Windows Server 2022 (et, si besoin, Windows 10 22H2).

Intune Proactive Remediations

Detection script : renvoie le code 1 si le service n’est pas désactivé (déclenche la remédiation).

# Detection.ps1
$svc = Get-Service -Name SgrmBroker -ErrorAction SilentlyContinue
if ($null -eq $svc) { exit 0 }
if ($svc.StartType -ne 'Disabled') { exit 1 } else { exit 0 }

Remediation script : désactive et arrête le service.

# Remediation.ps1
Try {
  Set-Service -Name SgrmBroker -StartupType Disabled -ErrorAction Stop
  Stop-Service -Name SgrmBroker -ErrorAction SilentlyContinue
  Write-Output 'SgrmBroker désactivé.'
} Catch {
  Write-Error $_
  exit 1
}

Sécurité et conformité

  • Aucun affaiblissement de sécurité n’est imputé à l’arrêt/désactivation de SgrmBroker sur les versions affectées. Les fonctionnalités clés (Microsoft Defender, durcissements du noyau, virtualisation‑based security) restent actives.
  • Évitez les remédiations « intrusives » (désinstallation de LCU, suppression de fichiers système) : elles n’apportent aucun bénéfice et risquent d’augmenter la surface d’incident.
  • Justifiez l’exception de supervision dans vos contrôles de conformité (SOX/ISO27001) en annexant la note de Microsoft et le plan de patching.

Chronologie utile

  • 14 janvier 2025 : publication des mises à jour engendrant l’arrêt attendu de SgrmBroker et l’Event 7023.
  • 8 avril 2025 : correctif pour Windows Server 2022 intégré à la LCU KB5055526 (présent dans les cumulatives suivantes).
  • 22 avril 2025 : correctif pour Windows 10 22H2 via KB5055612 (Preview), repris dans les cumulatives suivantes.

Ce qui ne sert généralement à rien ici

  • Exécuter SFC /scannow ou des cycles DISM pour « réparer » le système : la cause n’est pas une corruption de fichiers.
  • Modifier les ACL, les dépendances de service ou pousser des GPO pour forcer SgrmBroker en Automatic : inefficace et contraire à la recommandation.
  • Désinstaller les mises à jour de janvier : vous perdriez des correctifs de sécurité sans bénéfice réel.

Plan d’action recommandé

  1. Inventorier les hôtes affectés :
    • Rechercher l’Event 7023 lié à SgrmBroker depuis le 14/01/2025.
    • Établir la liste des systèmes où le service est en « Auto (démarrage différé) / Stopped ».
  2. Mettre à jour :
    • Windows Server 2022 → déployer KB5055526 (ou une cumulative plus récente).
    • Windows 10 22H2 → déployer une cumulative intégrant la correction (à partir de KB5055612 Preview puis LCUs suivantes).
  3. Calmer la supervision entre‑temps :
    • Exclure SgrmBroker des contrôles de services auto‑start, ou désactiver proprement le service.
  4. Communiquer :
    • Informer les équipes (SOC/Helpdesk/Run) qu’il s’agit d’un comportement attendu sans impact de sécurité.
    • Documenter la dérogation de supervision et la cible de patching (lotification, fenêtres de maintenance).

Runbook opérateur

  1. Vérifier la présence de l’événement 7023 avec %%3489660935 et le nom SgrmBroker.
  2. Contrôler l’état du service : Get-Service SgrmBroker → attendu : Stopped, Disabled si vous avez appliqué l’atténuation.
  3. Confirmer la version cumulative : vérifier la présence de KB5055526 (WS 2022) ou d’une cumulative postérieure à KB5055612 (Win10 22H2).
  4. Si non corrigé et bruit élevé, désactiver temporairement le service selon les procédures ci‑dessus.
  5. Mettre à jour le ticket : Incident connu – sans impact → assigner au lot de patching approprié.

FAQ express

Q : Si je réactive le service en manuel/automatique, cela corrige‑t‑il l’erreur ?
R : Non. Le service n’est plus requis et son initialisation se termine volontairement. Le correctif est apporté par les LCUs d’avril 2025 et suivantes.

Q : Est‑ce que la désactivation de SgrmBroker réduit la posture de sécurité ?
R : Non. Microsoft indique explicitement l’absence d’impact sécurité. Les mécanismes de protection restent actifs.

Q : Puis‑je désinstaller les mises à jour de janvier pour faire disparaître l’événement ?
R : Non recommandé. Vous perdriez des correctifs de sécurité essentiels. Préférez l’atténuation (exclusion de supervision / désactivation du service) puis l’application des LCUs d’avril (ou plus récentes).

Q : Le problème touche‑t‑il Windows Server Core ?
R : Oui, la présence/état du service peut générer le même événement 7023. Les mêmes correctifs et atténuations s’appliquent.

Q : Comment prouver rapidement à l’audit que l’incident est « sans impact » ?
R : Conservez la note éditeur, référencez les KB (KB5055526 pour WS2022, KB5055612 pour Win10 22H2), listez les hôtes, l’exclusion de supervision, et le plan de déploiement des LCUs. Ajoutez un extrait d’événement encadré ci‑dessous.

Annexe : exemple d’événement

Log Name: System
Source: Service Control Manager
Event ID: 7023
Description:
The System Guard Runtime Monitor Broker service terminated with the following error: %%3489660935

Résumé exécutable

  • Constat : Event 7023 pour SgrmBroker après les mises à jour du 14/01/2025.
  • Impact : aucun impact fonctionnel ni de sécurité, bruit de supervision uniquement.
  • Correctif : installer KB5055526 (WS 2022) et les LCUs ultérieures ; pour Win10 22H2, correction à partir de KB5055612 (puis cumulatives suivantes).
  • En attendant : exclure SgrmBroker de la supervision ou désactiver proprement le service.

En bref : SgrmBroker est obsolète; l’erreur 7023 observée après janvier 2025 est connue et corrigée par les LCUs d’avril 2025 et suivantes. Appliquez des cumulatives récentes, adaptez votre supervision et évitez les « réparations » invasives.

Windows Server
Sommaire