Hva er SgrmBroker.exe og hvorfor kjører det?

Hvis du går gjennom Task Manager på en Windows 10 ( 1709 Fall Creators Update eller nyere ) maskin, har du sannsynligvis sett SgrmBroker.exe kjøre i bakgrunnen. Er det en gyldig fil? Er det et virus? Flotte spørsmål. La oss se på hva det er og om du burde være bekymret eller ikke.

Hopper rett til slutten - alt er bra. Du trenger ikke å bekymre deg for SgrmBroker.exe. System Guard Runtime Monitor Broker (SgrmBroker.exe) er en tjeneste opprettet av Microsoft og innebygd i kjerne-operativsystemet fra og med Windows 10 versjon 1709.

Hva er SgrmBroker.exe?

System Guard Runtime Monitor Broker (SgrmBroker) er en Windows-tjeneste som kjører og en del av Windows Defender System Guard. Det kan lett forveksles med RuntimeBroker som håndterer universelle apper, men de er forskjellige prosesser og begge sikre.

System Guard Runtime Monitor Broker er ansvarlig for overvåking og attesterer integriteten til Windows-plattformen. Tjenesten har tre nøkkelområder den overvåker:

1. Beskytt og opprettholde integriteten til systemet når det starter opp.
2. Beskytt og vedlikehold integriteten til systemet etter at det har kjørt.
3. Bekreft at systemintegriteten virkelig er opprettholdt gjennom lokal og ekstern attestasjon.

Det er en forklaring på ganske høyt nivå på hva SgrmBroker.exe -tjenesten er ansvarlig for, så la oss grave litt mer inn i hvert av områdene.

 1- Beskytt og opprettholde integriteten til systemet når det starter opp

Dette sikrer at ingen uautorisert fastvare eller programvare kan starte før oppstartslasteren for Windows. Dette vil inkludere fastvare ofte kalt en bootkit eller rootkit - ekle ting. Bare riktig signerte og sikre Windows-filer og drivere kan starte på enheten under oppstart.

En ting å merke seg, for at de mest avanserte funksjonene skal fungere ordentlig, trenger du en datamaskin med et moderne brikkesett som støtter TPM 2.0. Det må også være aktivert i bios UEFI .

Hva er TPM 2.0?

Trusted Platform Module (TPM) finnes i versjon 1.2 og den nyere 2.0. En annen standard for en sikker kryptoprosessor, en slags maskinvarebrikke i datamaskinen din.

2 – Beskytt og vedlikehold integriteten til systemet etter at det har kjørt

Windows 10-maskinvare isolerer de mest sensitive Windows-tjenestene og dataene. Kort fortalt betyr dette at hvis en angriper får SYSTEM-nivå-privilegier eller består av selve kjernen, kan de ikke kontrollere eller omgå alle systemforsvaret.

3 – Bekreft at systemintegriteten virkelig har blitt opprettholdt gjennom lokal og ekstern attestasjon

TPM 2.0-brikken hjelper deg med å måle integriteten til enheten din ved å isolere prosesser og data på toppnivå fra Windows. Den måler for eksempel enhetens fastvare, maskinvarekonfigurasjonstilstand og Windows-oppstartsrelaterte komponenter. Ekstern attestering vil kreve bedriftssystemer som Intune eller System Center Configuration Manager.

Register- og systemfilplasseringer for SgrmBroker.exe

Relevante register- og systemfilplasseringer for prosessen er:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SgrmBroker %SystemRoot%\system32\SgrmBroker.exe

Ikke bekymre deg, SgrmBroker.exe er trygt

Som vi har diskutert, er SgrmBroker.exe en sikker sikkerhetstjeneste laget av Microsoft for å holde deg og systemet ditt sikkert. Derfor bør du ikke prøve å stoppe eller fjerne tjenesten på noen måte. På et sunt system vil denne prosessen kjøre mesteparten av tiden med lav RAM-bruk.

Hvis det er problemer, kan du bekrefte at filen er signert av Microsoft og kjører fra mappen c:\windows\system32. Det hjelper oss å sikre at det ikke er en kopifil som kjører fra et annet sted.

Har du flere spørsmål om SgrmBroker.exe som jeg ikke svarte på? Vennligst legg inn spørsmålet ditt eller kommenter på vårt gratis diskusjonsforum for Windows 10.