Sysmon diventa nativo su Windows 11: come cambia la sicurezza del sistema

Microsoft ha iniziato il rilascio di una funzionalità attesa da tempo dagli amministratori di sistema e dagli esperti di sicurezza: l'integrazione nativa di Sysmon (System Monitor) all'interno di Windows 11. Lo strumento, storicamente parte della suite Sysinternals e disponibile come download separato, viene ora distribuito come componente integrato del sistema operativo per gli iscritti al programma Windows Insider.

È un'evoluzione rilevante per la gestione della sicurezza informatica negli ambienti Microsoft: Sysmon è un device driver e un servizio di sistema progettato per monitorare e registrare attività sospette o dannose all'interno del Windows Event Log. Le sue capacità vanno oltre il monitoraggio base: è possibile configurarlo per tracciare comportamenti complessi come la creazione di file eseguibili, la manomissione dei processi, le modifiche alla clipboard di Windows e persino il backup automatico dei file eliminati.

Sysmon diventa uno strumento nativo di Windows 11

Fino a oggi, l'utilizzo di questo strumento richiedeva un'installazione manuale su ogni singolo dispositivo, procedura che complicava la gestione e la distribuzione in infrastrutture IT di grandi dimensioni. Con l'aggiornamento attuale, la funzionalità diventa accessibile direttamente tramite il sistema di aggiornamento di Windows, semplificando le operazioni di deployment.

L'annuncio ufficiale conferma però che, sebbene Sysmon sia ora supportato nativamente, risulta disattivato per impostazione predefinita. Gli utenti devono abilitarlo esplicitamente seguendo una procedura specifica, ma è necessario disinstallare qualsiasi versione di Sysmon precedentemente scaricata dal sito web prima di attivare la variante integrata.

L'attivazione può avvenire navigando nelle Impostazioni, alla voce Sistema > Funzionalità facoltative > Altre funzionalità di Windows, selezionando la casella Sysmon. In alternativa, è possibile utilizzare il prompt dei comandi o PowerShell con il comando DISM specifico:

Dism /Online /Enable-Feature /FeatureName:Sysmon

Una volta abilitata la funzionalità, l'installazione si completa eseguendo il comando "sysmon -i", senza virgolette, da terminale.

Le nuove capacità sono attualmente in fase di distribuzione per gli utenti dei canali Beta e Dev che hanno installato rispettivamente la Windows 11 Preview Build 26220.7752 (KB5074177) e la Windows 11 Preview Build 26300.7733 (KB5074178).

Una volta attivo, il modulo consente di catturare eventi di sistema cruciali per il rilevamento delle minacce, offrendo la possibilità di utilizzare file di configurazione personalizzati per filtrare gli eventi da monitorare. I dati raccolti vengono scritti direttamente nel registro eventi di Windows, e quindi diventano immediatamente disponibili per app di sicurezza e analisi forensi, garantendo una visibilità profonda sulle attività del sistema senza la frizione causata da software di terze parti.