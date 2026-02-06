Microsoft начала постепенно встраивать функциональность Sysmon непосредственно в Windows 11. Нововведение уже тестируют на части компьютеров, подключенных к программе Windows Insider.





О планах нативной интеграции Sysmon в Windows 11 и Windows Server компания впервые сообщила еще в ноябре. Тогда же Microsoft подтвердила, что впоследствии опубликует подробную документацию по этой функции.

Sysmon (System Monitor) — это бесплатный инструмент из набора Microsoft Sysinternals, который работает как системная служба и драйвер Windows. Он отслеживает и блокирует вредоносную или подозрительную активность, записывая все события в журнал событий Windows. По умолчанию Sysmon фиксирует базовые действия, в частности запуск и завершение процессов, но его можно настроить для более глубокого анализа. Среди расширенных возможностей — контроль создания исполняемых файлов, попыток вмешательства в процессы, изменений в буфере обмена Windows и даже автоматическое резервное копирование удаленных файлов.

Sysmon давно стал популярным инструментом для поиска угроз и диагностики сложных проблем в Windows. В то же время раньше его нужно было устанавливать вручную на каждое устройство, что затрудняло развертывание и администрирование в крупных корпоративных средах.





«Windows теперь нативно добавляет функциональность Sysmon. Функциональность Sysmon позволяет фиксировать системные события, которые могут помочь с обнаружением угроз, а также использовать собственные файлы конфигурации для фильтрации событий, которые вы хотите отслеживать. Зафиксированные события записываются в журнал событий Windows, что позволяет использовать их в средствах безопасности и для широкого спектра сценариев», — сообщила команда программы Windows Insider.

Несмотря на нативную поддержку, Sysmon отключен по умолчанию. Пользователям нужно вручную активировать его в настройках или через PowerShell или командную строку. Microsoft отдельно подчеркивает, что перед включением встроенной версии следует удалить Sysmon, установленный ранее с сайта.

Перейдите в Settings > System > Optional features > More Windows features и установите флажок Sysmon, или воспользуйтесь PowerShell или командной строкой, выполнив команду:

Dism /Online /Enable-Feature /FeatureName:Sysmon

Чтобы завершить установку, выполните следующую команду в PowerShell или Command Prompt:

sysmon -i

Новые возможности Sysmon уже начали поступать участникам Windows Insider в каналах Beta и Dev, которые установили Windows 11 Preview Build 26220.7752 (KB5074177) и Windows 11 Preview Build 26300.7733 (KB5074178) соответственно.

Источник: bleepingcomputer