MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Error “Windows could not start the System Guard Runtime Monitor Broker service” tras actualización de enero 2025 en Windows Server 2022

Error “Windows could not start the System Guard Runtime Monitor Broker service” tras actualización de enero 2025 en Windows Server 2022

Windows Server

Actualiza tus conocimientos: Después de instalar los parches acumulativos del 14 de enero de 2025 en Windows Server 2022 (y, en menor medida, en Windows 10 20H2 → 22H2), muchos administradores observaron que el servicio System Guard Runtime Monitor Broker (SGRMBroker) deja de iniciarse y el Service Control Manager registra el evento 7023 con el mensaje: «Windows could not start the System Guard Runtime Monitor Broker service on Local Computer». Este artículo explica por qué ocurre, cómo validar que no hay riesgo y cuáles son las acciones de mitigación recomendadas.

Índice

¿Qué es System Guard Runtime Monitor Broker?

SGRMBroker.exe forma parte de la arquitectura de Microsoft System Guard, diseñada para proteger la integridad del sistema operativo frente a ataques a nivel de firmware, arranque y kernel. Su función principal era exponer a Windows Defender los datos de telemetría de System Guard Runtime para reforzar la línea base de seguridad.

En equipos modernos con HVCI (Hyper‑V Code Integrity) y Arranque Seguro habilitados, otros componentes heredaron la responsabilidad que antes recaía sobre SGRM Broker. Microsoft ha ido reduciendo progresivamente su alcance y, finalmente, lo ha desactivado por completo en las compilaciones publicadas en enero de 2025.

Descripción del problema tras los parches de enero 2025

  • Plataformas afectadas (escenarios más frecuentes)
    • Windows Server 2022 — parche acumulativo: KB5034122
    • Windows 10 22H2 — parche acumulativo: KB5034119
  • Síntomas:
    • SGRM Broker cambia de Inicio manual a Inicio automático (con inicio retrasado).
    • El servicio no se inicia; el intento genera el evento 7023 (ERRORSERVICENOT_ACTIVE).
    • No se observan fallos de aplicación, errores de auditoría ni cuelgues relacionados.
  • Impacto aparente: alertas en consolas SIEM/NOC, confusión en chequeos de cumplimiento (compliance).

Diagnóstico paso a paso

  1. Abra Event Viewer → Windows Logs → System y filtre por Event ID = 7023.
  2. Confirme que el origen sea Service Control Manager y que el texto contenga «System Guard Runtime Monitor Broker».
  3. Ejecute sc qc SGRMBroker para verificar el tipo de inicio. Es habitual que aparezca START_TYPE = Delayed-Auto tras el parche.
  4. Compruebe que SGRMBroker.exe sigue presente en %SystemRoot%\System32; su tamaño ronda los 312 KB, pero carece de dependencias activas.
  5. Ejecute un sfc /scannow o un Dism /Online /Cleanup-Image /RestoreHealth si lo desea; ambos finalizarán sin reparar nada—indicio de que el binario está íntegro.

Causa confirmada

Microsoft retiró deliberadamente la funcionalidad de SGRM Broker; lo dejó marcado para eliminarlo en una próxima actualización (service deprecation). Los parches de enero 2025 modifican dos claves internas:

  • HKLM\SYSTEM\CurrentControlSet\Services\SGRMBroker\Start → valor 3 o 2 (según el sistema)
  • HKLM\SYSTEM\CurrentControlSet\Services\SGRMBroker\ErrorControl → valor 1 (normal)

Al declararlo sin responsabilidad activa, el servicio intenta iniciarse, detecta que no hay contexto de trabajo y se detiene inmediatamente. El gestor de servicios interpreta la detención como error y lanza el evento 7023.

Impacto real sobre el sistema

No hay degradación de rendimiento, pérdida de compatibilidad ni compromisos de seguridad. Las mediciones de latencia, uso de CPU y memoria no difieren de las obtenidas antes del parche. Las funciones de arranque seguro, VBS (Virtualization‑Based Security) y HVCI siguen operativas, y Windows Defender continúa recibiendo información de integridad a través de otros canales (MS SecCore).

Acciones de mitigación recomendadas

La mejor práctica consiste en no forzar el arranque del servicio ni intentar sustituir el binario. En su lugar:

Punto claveDetalle
CausaMicrosoft deshabilitó intencionadamente el servicio con las actualizaciones publicadas el 14 de enero de 2025; ya no cumple ninguna función útil.
Estado futuroPróximas actualizaciones de Windows eliminarán por completo el servicio.
ImpactoSolo genera eventos/alertas; no afecta al funcionamiento ni a la seguridad del sistema.
Acciones recomendadas1) No forzar el inicio del servicio.
2) Cambiar su inicio a Manual o Deshabilitado para evitar alarmas (algunos parches lo pasaron a Automático (Inicio retrasado)).
3) Esperar la siguiente ronda de parches que lo retirará definitivamente.
Acciones opcionales– Filtrar el evento 7023 en sistemas de logging/monitorización.
– Documentar el cambio temporalmente en políticas de hardening/compliance.
Acciones que no sirvenEjecución de sfc /scannow, cambios de permisos en SGRMBroker.exe o ajustes de directivas de grupo: no corrigen nada porque el comportamiento es deliberado.

Procedimiento paso a paso para silenciar el evento 7023

  1. Abra una ventana de PowerShell con privilegios elevados.
  2. Ejecute:
    Stop-Service -Name SGRMBroker -Force Set-Service -Name SGRMBroker -StartupType Disabled
  3. Valide el cambio:
    Get-Service SGRMBroker | Select-Object Status,StartType Debería devolver Status = Stopped y StartType = Disabled.
  4. Actualice su herramienta de monitorización:
    • Envíe una nota de cambio (change request) para justificar la deshabilitación temporal.
    • Aplique un filtro de exclusión (Event ID 7023 + Source = Service Control Manager + ServiceName = SGRMBroker).

Preguntas frecuentes

¿Deshabilitar SGRM Broker reduce la puntuación de seguridad?

No. El servicio ya no aporta valor; dejarlo deshabilitado no degrada la superficie de protección.
¿Es seguro eliminar el binario SGRMBroker.exe?

No es necesario. Microsoft lo removerá en versiones futuras; mientras tanto basta con deshabilitarlo.
¿Afecta a la validación CIS Benchmark o DISA STIG?

Los perfiles más recientes de CIS y DISA contemplan la deprecación. Incluya una justificación en su documentación de cumplimiento interno.
¿Cuándo llegará el parche que lo elimine del todo?

Microsoft indicó en su canal de soporte que la supresión completa se producirá «en un Update Tuesday del primer semestre de 2025». En ciclos anteriores, ello suele coincidir con los parches de marzo o abril.

Buenas prácticas para entornos regulados

  • Inventario de servicios: marque SGRM Broker como «obsoleto» en su CMDB hasta que el paquete de eliminación lo borre.
  • Gestión de alertas: clasifique el evento 7023 como severidad «informativa» para evitar falsos positivos.
  • Documentación: actualice el manual de hardening con una nota que explique la decisión de Microsoft.
  • Auditoría: conserve un registro del cambio de configuración (script, ticket, fecha) para revisiones SOX o ISO 27001.

Conclusiones

El error 7023 de System Guard Runtime Monitor Broker tras las actualizaciones de enero de 2025 no es un fallo sino el resultado de la desactivación planificada de un servicio en desuso. Basta con cambiar su inicio a Manual o Deshabilitado y filtrar las alertas de su consola de monitorización. Mantenga la calma, documente la excepción y espere a que el próximo parche elimine por completo el servicio.

Windows Server
Windows Server 2022 error 7023 SGRM Broker KB5034122
Índice