Windows 11 ganha Sysmon de origem

A Microsoft está a testar a inclusão do utilitário Sysmon de origem no Windows 11.

A Microsoft começou a disponibilizar o Sysmon de forma integrada no Windows 11, por agora em sistemas inscritos no programa Windows Insider. A integração faz com que a conhecida ferramenta do Sysinternals fique imediatamente disponível no sistema operativo, sem necessidade de instalação manual.

O Sysmon (System Monitor) é frequentemente usado para detectar problemas e actividade suspeita no sistema. Regista eventos como criação de processos, alterações de ficheiros e tentativas de manipulação, escrevendo tudo no Windows Event Log, com possibilidade de configurações avançadas para análise de ameaças - muito apreciadas pelos especialistas de segurança.

Até agora, o Sysmon tinha de ser instalado dispositivo a dispositivo, o que dificultava a gestão em ambientes empresariais de grande escala. Com a integração nativa, o Windows passa a oferecer o Sysmon como funcionalidade directa, facilitando a utilização de configurações personalizadas, e a integração com soluções de segurança existentes.

Ainda assim, há que referir que - pelo menos por agora - a funcionalidade vem desactivada de origem e tem de ser activada manualmente nas definições do sistema (Settings > System > Optional features > More Windows features > checking Sysmon) ou através da linha de comandos (Dism /Online /Enable-Feature /FeatureName:Sysmon seguido de sysmon -i). Como nota adicional, será necessário desinstalar o Sysmon "tradicional" caso esteja instalado.


Na verdade, em vez de andar a adicionar estas ferramentas uma por uma (o Process Explorer, e outros são também de instalação "obrigatória" em todos os Windows), melhor seria se passasse a incluir todo o Sysinternal de origem em todos os Windows. Sempre seria melhor uso do que os muitos gigabytes de coisas desnecessárias que por lá mantêm.