Che cosè SgrmBroker.exe e perché è in esecuzione?

Se stai utilizzando Task Manager su un computer Windows 10 ( 1709 Fall Creators Update o successivo ), probabilmente hai visto SgrmBroker.exe in esecuzione in background. È un file valido? È un virus? Grandi domande. Esaminiamo di cosa si tratta e se dovresti essere preoccupato o meno.

Saltando fino alla fine: va tutto bene. Non devi preoccuparti di SgrmBroker.exe. System Guard Runtime Monitor Broker (SgrmBroker.exe) è un servizio creato da Microsoft e integrato nel sistema operativo principale a partire da Windows 10 versione 1709.

Che cos'è SgrmBroker.exe?

System Guard Runtime Monitor Broker (SgrmBroker) è un servizio Windows in esecuzione e parte di Windows Defender System Guard. Può essere facilmente scambiato per RuntimeBroker che gestisce app universali, tuttavia sono processi diversi ed entrambi sicuri.

System Guard Runtime Monitor Broker è responsabile del monitoraggio e attesta l'integrità della piattaforma Windows. Il servizio ha tre aree chiave che monitora:

1. Proteggere e mantenere l'integrità del sistema all'avvio.
2. Proteggere e mantenere l'integrità del sistema dopo che è in esecuzione.
3. Convalida che l'integrità del sistema è stata realmente mantenuta tramite l'attestazione locale e remota.

Questa è una spiegazione di alto livello di ciò di cui è responsabile il servizio SgrmBroker.exe , quindi analizziamo un po' di più ciascuna delle aree.

 1- Proteggere e mantenere l'integrità del sistema all'avvio

Ciò garantisce che nessun firmware o software non autorizzato possa essere avviato prima del bootloader di Windows. Ciò includerebbe il firmware spesso chiamato bootkit o rootkit: cose brutte. Solo file e driver Windows correttamente firmati e protetti possono essere avviati sul dispositivo durante l'avvio.

Una cosa da notare, affinché le funzioni più avanzate funzionino correttamente, avrai bisogno di un computer con un moderno chipset che supporti il ​​TPM 2.0. Deve essere abilitato anche nel BIOS UEFI .

Che cos'è il TPM 2.0?

Trusted Platform Module (TPM) esiste nella versione 1.2 e nella versione più recente 2.0. Un altro standard per un crittoprocessore sicuro, una sorta di chip hardware nel tuo computer.

2 – Proteggere e mantenere l'integrità del sistema dopo che è in esecuzione

L'hardware di Windows 10 isola i servizi e i dati Windows più sensibili. In breve, questo significa che se un utente malintenzionato ottiene il privilegio di livello SYSTEM o comprende il kernel stesso, non può controllare o bypassare tutte le difese del tuo sistema.

3 – Convalidare che l'integrità del sistema è stata veramente mantenuta attraverso l'attestazione locale e remota

Il chip TPM 2.0 aiuta a misurare l'integrità del tuo dispositivo isolando i processi e i dati di livello superiore lontano da Windows. Misura, ad esempio, il firmware del dispositivo, lo stato di configurazione hardware e i componenti relativi all'avvio di Windows. L'attestazione remota richiede sistemi aziendali come Intune o System Center Configuration Manager.

Posizioni dei file di registro e di sistema per SgrmBroker.exe

Il registro e le posizioni dei file di sistema rilevanti per il processo sono:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SgrmBroker %SystemRoot%\system32\SgrmBroker.exe

Non preoccuparti, SgrmBroker.exe è sicuro

Come abbiamo discusso, SgrmBroker.exe è un servizio di sicurezza creato da Microsoft per proteggere te e il tuo sistema. Quindi non dovresti provare a interrompere o rimuovere il servizio in alcun modo. Su un sistema sano, questo processo verrà eseguito per la maggior parte del tempo con un basso utilizzo della RAM.

In caso di problemi, è possibile verificare che il file sia firmato da Microsoft e in esecuzione dalla cartella c:\windows\system32. Ci aiuta a garantire che non sia un file copycat in esecuzione da un'altra posizione.

Hai altre domande su SgrmBroker.exe a cui non ho risposto? Pubblica la tua domanda o commenta nel nostro forum di discussione gratuito di Windows 10.