Depuis le Patch Tuesday du 14 janvier 2025, de nombreux administrateurs voient apparaître l’évènement ID 7023 « System Guard Runtime Monitor Broker ». Ce guide détaille l’origine du message, son impact et les moyens de le faire disparaître.
Contexte de l’erreur 7023 : qu’est‑ce que System Guard Runtime Monitor Broker ?
Le service System Guard Runtime Monitor Broker (SgrmBroker.exe) a été introduit à l’origine pour soutenir les fonctions d’intégrité de Microsoft Defender. Sa mission initiale : dialoguer avec les enclaves matérielles (Intel SGX/AMD SEV) afin de vérifier l’état de confiance du système.
Dans les faits, ce composant est devenu obsolète ; sur les versions récentes de Windows 11, il est même désactivé par défaut. Néanmoins, la mise à jour cumulative (CU) du 14 janvier 2025 a réactivé le service en mode « Automatique » sous :
- Windows 10 22H2 (KB5049981 – build 19045.5371)
- Windows Server 2022 (KB5049983)
Or, les binaires livrés n’étant plus compatibles avec le reste de la pile de sécurité, le démarrage échoue systématiquement ; l’ID 7023 est consigné à chaque boot avec le code d’erreur %%3489660935.
Pourquoi le service est‑il revenu en « Automatique » ?
Lors de la construction des CU, Microsoft regroupe de très nombreux correctifs. Un script interne a, par erreur, rétabli la valeur de la clé de registre HKLM\System\CurrentControlSet\Services\SgrmBroker\Start à 2 (démarrage automatique). Aucune dépendance n’étant plus présente, le contrôle de service Windows (SCM) tente le lancement, échoue, puis journalise l’évènement 7023.
Impact réel : seulement visuel, pas opérationnel
Selon les ingénieurs du programme Windows Insider, aucune dégradation des performances ni compromis de sécurité n’a été observé :
- Le service n’est plus invoqué par Defender ; son absence d’activité ne bloque donc aucune fonction d’antivirus ou de virtualisation.
- Aucun appel d’API critique ne dépend de
SgrmBroker.exe. - Les rares BSOD signalés dans les forums ont été attribués à des pilotes GPU obsolètes ou à des SSD NVMe défectueux, sans corrélation avec SGRM.
Solutions rapides et mesures intermédiaires
| Approche | Description | Risques / remarques |
|---|---|---|
| Ignorer l’évènement | Solution officielle : laisser le message dans l’Observateur d’évènements. L’OS fonctionne normalement. | 0 % de risque. Ne génère qu’un log « bruit ». |
| Désactiver le service | sc.exe config SgrmBroker start= disabled reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 4 /f | Recommandé si l’on souhaite un journal propre. Microsoft tolère la modification mais déconseille de supprimer les fichiers. |
| Restaurer les binaires de nov. 2024 | Copier SgrmBroker.exe, SgrmEnclave.dll… depuis une sauvegarde antérieure et remplacer les versions actuelles. | Opération fastidieuse ; sera annulée par SFC ou la prochaine CU. |
| Dépannage BSOD | Analyser les minidumps avec BlueScreenView, WhoCrashed ou WinDbg → mettre à jour pilotes/UEFI. | Sans lien direct avec SGRM. Utile seulement si des arrêts brutaux persistent. |
Pas‑à‑pas : désactiver proprement le service SGRM
- Ouvrir une Invite de commandes en tant qu’administrateur.
- Exécuter la commande :
sc.exe query SgrmBrokerVous devriez voir l’étatSTOPPEDet le type de démarrageAUTO_START. - Désactivez le service :
sc.exe config SgrmBroker start= disabled - Sécurisez la modification dans le registre (optionnel mais recommandé) :
reg add HKLM\System\CurrentControlSet\Services\SgrmBroker /v Start /t REG_DWORD /d 4 /f - Redémarrez le système et vérifiez l’absence du 7023.
Astuce : Si un script d’inventaire doit s’assurer que le correctif est appliqué, interrogez la valeur DWORD Start; elle doit être égale à 4.
Ligne du temps des correctifs Microsoft
| Date | Mise à jour | État du bug |
|---|---|---|
| 20 janv. 2025 | Bulletin interne WI982633 / WI982632 | Problème classé « Mitigated » (en cours de résolution) |
| 11 fév. 2025 | KB5051974 (Patch Tuesday) | Bug toujours présent |
| 25 fév. 2025 | KB5052077 (aperçu) | Aucun changement |
| 23 avr. 2025 | Aperçu (BETA) de correctif | Premier correctif public facultatif |
| 13 mai 2025 | KB5058379 (build 19045.5854) | Erreur 7023 éliminée sur Windows 10 22H2 |
| 13 mai 2025 | CU équivalente Windows Server 2022 | Service à nouveau désactivé côté serveur |
Et pour les environnements serveurs ?
Sur Windows Server 2022, les symptômes sont identiques : l’évènement 7023 apparaît uniquement dans le journal Système. Les rôles AD DS, Hyper‑V ou IIS ne sont pas impactés.
Bonnes pratiques :
- Évitez de désinstaller la CU de janvier ; les vulnérabilités corrigées sont plus critiques que le log 7023.
- Planifiez le redémarrage hors production après l’application de la CU de mai 2025 (ou ultérieure).
- Centralisez les journaux (Azure Monitor, Splunk, etc.) ; vous pourrez filtrer le 7023 le temps que la correction soit installée.
Dépannage BSOD : vérifier si SGRM est réellement en cause
Si vous observez des écrans bleus et que vous suspectez le bogue :
- Installez l’outil gratuit WhoCrashed et ouvrez le dernier
.dmp. - Regardez la pile d’appels ; si
SgrmBroker.exen’est pas mentionné, le problème est ailleurs (souvent :nvlddmkm.sysoustorport.sys). - Mettez à jour le firmware du BIOS/UEFI et les pilotes GPU, RAID et réseau.
- Soumettez la trace sur le portail Microsoft pour confirmation.
Recommandations actuelles
- Mettre à jour : appliquez la CU de mai 2025 ou toute CU ultérieure. L’erreur disparaît sans action supplémentaire.
- Systèmes non encore patchés : tolérer le log ou désactiver proprement le service comme décrit plus haut.
- Éviter les solutions lourdes : ne supprimez ni ne remplacez les exécutables ; Windows File Protection et Windows Update les restaureront.
- Surveillance : gardez un œil sur l’Historique Windows Update ; Microsoft pourrait retirer définitivement le composant lors d’un prochain refactor.
FAQ
Q : L’erreur peut‑elle réapparaître après la CU de mai 2025 ?
R : Non, sauf si la clé de registre Start est à nouveau forcée à 2 par une image de référence obsolète ou par un outil tiers.
Q : Puis‑je créer une règle Event Log pour masquer l’ID 7023 ?
R : Oui ; utilisez Filtrer le journal actuel ou déployez une règle EventForwarding ciblée.
Q : Y a‑t‑il un impact sur BitLocker ou le démarrage sécurisé ?
R : Aucun. Ces fonctionnalités dépendent d’autres services (BDESVC, SecureBoot), pas de SGRM.
Q : Le service sera‑t‑il totalement supprimé à terme ?
R : Probablement. Microsoft a indiqué vouloir « retirer ou fusionner les services de sécurité hérités » dans Windows 10 LTSC 2025 et Web Server VNext.
Conclusion
L’apparition de l’ID 7023 « System Guard Runtime Monitor Broker » depuis la CU de janvier 2025 est le résultat d’un simple réglage de service inapproprié. La CU de mai 2025 corrige définitivement le problème. En attendant, l’erreur est purement cosmétique ; une désactivation du service suffit pour retrouver des journaux propres sans compromettre la sécurité.