O que é SgrmBroker.exe e por que está em execução?

Se você estiver passando pelo Gerenciador de Tarefas em uma máquina Windows 10 ( 1709 Fall Creators Update ou posterior ), provavelmente já viu o SgrmBroker.exe sendo executado em segundo plano. É um arquivo válido? É um vírus? Ótimas perguntas. Vamos rever o que é e se você deve se preocupar ou não.

Pulando direto para o fim - está tudo bem. Você não precisa se preocupar com SgrmBroker.exe. O System Guard Runtime Monitor Broker (SgrmBroker.exe) é um serviço criado pela Microsoft e integrado ao sistema operacional principal a partir do Windows 10 versão 1709.

O que é SgrmBroker.exe?

O agente de monitoramento de tempo de execução do System Guard (SgrmBroker) é um serviço do Windows em execução e parte do Windows Defender System Guard. Pode ser facilmente confundido com o RuntimeBroker que lida com aplicativos universais, porém, são processos diferentes e ambos seguros.

O System Guard Runtime Monitor Broker é responsável pelo monitoramento e atesta a integridade da plataforma Windows. O serviço tem três áreas principais que monitora:

1. Proteja e mantenha a integridade do sistema durante a inicialização.
2. Proteja e mantenha a integridade do sistema após sua execução.
3. Valide se a integridade do sistema foi realmente mantida por meio do atestado local e remoto.

Essa é uma explicação de alto nível do que o serviço SgrmBroker.exe é responsável, então vamos nos aprofundar um pouco mais em cada uma das áreas.

 1- Proteger e manter a integridade do sistema durante a inicialização

Isso garante que nenhum firmware ou software não autorizado possa ser iniciado antes do bootloader do Windows. Isso inclui firmware geralmente chamado de bootkit ou rootkit – coisas desagradáveis. Somente arquivos e drivers do Windows devidamente assinados e seguros podem ser iniciados no dispositivo durante a inicialização.

Uma coisa a notar, para que as funções mais avançadas funcionem corretamente, você precisará de um computador com um chipset moderno que suporte o TPM 2.0. Ele também deve estar habilitado na bios UEFI .

O que é TPM 2.0?

O Trusted Platform Module (TPM) existe na versão 1.2 e na 2.0 mais recente. Outro padrão para um criptoprocessador seguro, uma espécie de chip de hardware em seu computador.

2 – Proteja e mantenha a integridade do sistema após sua execução

O hardware do Windows 10 isola os serviços e dados mais confidenciais do Windows. Em resumo, isso significa que, se um invasor obtiver privilégios de nível SYSTEM ou incluir o próprio kernel, ele não poderá controlar ou ignorar todas as defesas de seu sistema.

3 – Validar que a integridade do sistema foi realmente mantida através do atestado local e remoto

O chip TPM 2.0 ajuda a medir a integridade do seu dispositivo isolando processos e dados de nível superior do Windows. Ele mede, por exemplo, firmware do dispositivo, estado de configuração de hardware e componentes relacionados à inicialização do Windows. O atestado remoto exigiria sistemas corporativos, como o Intune ou o System Center Configuration Manager.

Locais de arquivos do registro e do sistema para SgrmBroker.exe

Os locais de registro e arquivos de sistema relevantes para o processo são:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SgrmBroker %SystemRoot%\system32\SgrmBroker.exe

Não se preocupe, SgrmBroker.exe é seguro

Conforme discutimos, o SgrmBroker.exe é um serviço de segurança seguro criado pela Microsoft para manter você e seu sistema seguros. Portanto, você não deve tentar interromper ou remover o serviço de forma alguma. Em um sistema saudável, esse processo será executado na maioria das vezes com baixo uso de RAM.

Se houver algum problema, verifique se o arquivo foi assinado pela Microsoft e executado na pasta c:\windows\system32. Isso nos ajuda a garantir que não seja um arquivo copycat sendo executado em outro local.

Você tem perguntas adicionais sobre o SgrmBroker.exe que eu não respondi? Por favor, poste sua pergunta ou comentário em nosso fórum de discussão gratuito do Windows 10.