IT-Sicherheit: Microsoft integriert Sysmon erstmals fest in Windows 11
Microsoft integriert nun, wie bereits vor einigen Wochen angekündigt, erstmals den System Monitor (Sysmon) als native Komponente direkt in das Betriebssystem. Mit der neuen Winodws 11-Vorschau im Dev-Kanal kann man mittesten.
Sysmon, ursprünglich Teil der 1996 von Mark Russinovich und Bryce Cogswell gegründeten Sysinternals Suite, gehört seit der Übernahme durch Microsoft im Jahr 2006 zu den wichtigsten Werkzeugen für die Forensik und das "Blue Teaming". Im Gegensatz zum herkömmlichen Windows-Ereignisprotokoll, das oft nur rudimentäre Informationen liefert, bietet Sysmon einen tiefen Einblick in die Prozessaktivitäten.
Für die Automatisierung in größeren Umgebungen empfiehlt sich der Weg über das Deployment Image Servicing and Management (DISM). Administratoren müssen dabei jedoch eine wichtige Einschränkung beachten: Sollte auf dem Zielsystem bereits eine Standalone-Version von Sysmon installiert sein, muss diese zwingend entfernt werden, bevor die integrierte Variante aktiviert wird, um Konflikte bei den Treibern zu vermeiden.
Die native Version unterstützt dabei dieselben Ereignis-IDs (Event IDs) wie die klassische Variante. Zu den wichtigsten Ereignissen, die nun systemseitig überwacht werden, zählen:
Ein besonders hartnäckiger Fehler, der beim Arbeiten mit Dateien auf Cloud-Speichern wie OneDrive oder Dropbox zum Einfrieren von Anwendungen führen konnte, wurde ebenfalls behoben.
Nutzt ihr Sysmon bereits zur Überwachung eurer Systeme oder plant ihr den Einsatz der nativen Version für eure Sicherheitsstrategie? Schreibt uns eure Erfahrungen und Meinungen gerne in die Kommentare!
Download Sysinternals Suite - Windows-Werkzeugsammlung
Siehe auch:
Windows 11 integriert Sysmon nativ
Die native Implementierung erlaubt es Administratoren, die Sysmon-Funktionalität ohne manuelle Downloads bereitzustellen und Updates direkt über den Windows-Update-Mechanismus zu beziehen. Für Kenner der Materie ist dies eine historische Zäsur.Sysmon, ursprünglich Teil der 1996 von Mark Russinovich und Bryce Cogswell gegründeten Sysinternals Suite, gehört seit der Übernahme durch Microsoft im Jahr 2006 zu den wichtigsten Werkzeugen für die Forensik und das "Blue Teaming". Im Gegensatz zum herkömmlichen Windows-Ereignisprotokoll, das oft nur rudimentäre Informationen liefert, bietet Sysmon einen tiefen Einblick in die Prozessaktivitäten.
Aktivierung und Voraussetzungen
Microsoft liefert die Funktion standardmäßig deaktiviert aus, um Ressourcen auf Endgeräten zu schonen, die keine tiefgreifende Überwachung benötigen. Wie das Windows-Insider-Team im aktuellen Blogbeitrag hervorhebt, haben Nutzer die Wahl zwischen einer Aktivierung über die grafische Oberfläche in den Einstellungen unter "Optionale Features" oder über die Kommandozeile.Für die Automatisierung in größeren Umgebungen empfiehlt sich der Weg über das Deployment Image Servicing and Management (DISM). Administratoren müssen dabei jedoch eine wichtige Einschränkung beachten: Sollte auf dem Zielsystem bereits eine Standalone-Version von Sysmon installiert sein, muss diese zwingend entfernt werden, bevor die integrierte Variante aktiviert wird, um Konflikte bei den Treibern zu vermeiden.
Die native Version unterstützt dabei dieselben Ereignis-IDs (Event IDs) wie die klassische Variante. Zu den wichtigsten Ereignissen, die nun systemseitig überwacht werden, zählen:
- Prozesserstellung (Event ID 1): Protokoliert den Start neuer Prozesse inklusive des vollständigen Befehlszeilenarguments und des Prozess-Hashes.
- Netzwerkverbindungen (Event ID 3): Meldet TCP/UDP-Verbindungen, was besonders bei der Identifikation von Command-and-Control-Kommunikation hilfreich ist.
- Prozesszugriff (Event ID 8): Kann Versuche zum Auslesen von Speicherinhalten anderer Prozesse aufdecken, wie sie etwa beim Diebstahl von Anmeldeinformationen (Credential Dumping) vorkommen.
- Dateierstellung (Event ID 11): Überwacht das Anlegen von Dateien und ist nützlich beim Aufspüren von Dropper-Malware oder Skripten in temporären Verzeichnissen.
Neuerungen im Build 26300
Neben der Sicherheitskomponente bringt das Update im Dev Channel weitere Verbesserungen. Der Sprachzugriff (Voice Access) wurde um die Unterstützung für Niederländisch erweitert, was die Barrierefreiheit weiter verbessert. Zudem adressiert Microsoft diverse Fehler im Datei-Explorer, darunter Probleme bei der Tastaturnavigation und beim Umbenennen von Ordnern, die den Arbeitsfluss bisher stören konnten.Ein besonders hartnäckiger Fehler, der beim Arbeiten mit Dateien auf Cloud-Speichern wie OneDrive oder Dropbox zum Einfrieren von Anwendungen führen konnte, wurde ebenfalls behoben.
Nutzt ihr Sysmon bereits zur Überwachung eurer Systeme oder plant ihr den Einsatz der nativen Version für eure Sicherheitsstrategie? Schreibt uns eure Erfahrungen und Meinungen gerne in die Kommentare!
Download Sysinternals Suite - Windows-Werkzeugsammlung
Was bringt das native Sysmon?
Sysmon (System Monitor) ist ein mächtiges Werkzeug zur Erkennung von Bedrohungen, das nun direkt in Windows integriert wird. Es protokolliert detaillierte Systemaktivitäten, die weit über die Standard-Logs hinausgehen, und hilft so bei der forensischen Analyse.
Für IT-Pros bedeutet dies eine tiefere Sichtbarkeit: Sie können Malware, Credential Theft oder verdächtige Netzwerkverbindungen präziser aufspüren. Bisher war Sysmon ein separater Download der Sysinternals-Suite, jetzt wird es fester Bestandteil des Betriebssystems.
Für IT-Pros bedeutet dies eine tiefere Sichtbarkeit: Sie können Malware, Credential Theft oder verdächtige Netzwerkverbindungen präziser aufspüren. Bisher war Sysmon ein separater Download der Sysinternals-Suite, jetzt wird es fester Bestandteil des Betriebssystems.
Wie aktiviere ich das native Sysmon?
Das Feature ist standardmäßig deaktiviert. Sie können es unter "Einstellungen > System > Optionale Features" einschalten. Schneller geht es über die Kommandozeile mit dem Befehl: Dism /Online /Enable-Feature /FeatureName:Sysmon.
Nach der Aktivierung muss die Installation finalisiert werden. Führen Sie dazu in der Eingabeaufforderung oder PowerShell den Befehl sysmon -i aus. Erst durch diesen Schritt wird der Dienst gestartet und der Treiber geladen.
Nach der Aktivierung muss die Installation finalisiert werden. Führen Sie dazu in der Eingabeaufforderung oder PowerShell den Befehl sysmon -i aus. Erst durch diesen Schritt wird der Dienst gestartet und der Treiber geladen.
Muss altes Sysmon deinstalliert werden?
Ja, das ist zwingend erforderlich. Wenn Sie die Standalone-Version der Sysinternals-Suite bereits auf Ihren Systemen nutzen, müssen Sie diese entfernen, bevor Sie die integrierte Windows-Funktion aktivieren.
Microsoft weist explizit darauf hin, dass die parallele Nutzung zu Konflikten führen kann. Die neue native Version übernimmt die Funktionalität nahtlos, wird aber künftig anders verwaltet und aktualisiert.
Microsoft weist explizit darauf hin, dass die parallele Nutzung zu Konflikten führen kann. Die neue native Version übernimmt die Funktionalität nahtlos, wird aber künftig anders verwaltet und aktualisiert.
Wo finde ich die Sysmon-Logs?
Die erfassten Daten landen wie gewohnt in der Windows-Ereignisanzeige. Navigieren Sie zu "Anwendungs- und Dienstprotokolle" > "Microsoft" > "Windows" > "Sysmon" > "Operational".
Diese Logs sind strukturiert und können von SIEM-Systemen (Security Information and Event Management) ausgelesen werden. Das ermöglicht automatisierte Sicherheitsanalysen und Alarme direkt aus den nativen Windows-Datenströmen.
Diese Logs sind strukturiert und können von SIEM-Systemen (Security Information and Event Management) ausgelesen werden. Das ermöglicht automatisierte Sicherheitsanalysen und Alarme direkt aus den nativen Windows-Datenströmen.
Zusammenfassung
- Microsoft integriert System Monitor nativ in Windows 11
- Native Sysmon-Integration spart Downloads und vereinfacht Updates
- Sysmon bietet tiefere Einblicke als Windows-Ereignisprotokoll
- Funktion standardmäßig deaktiviert, über Einstellungen aktivierbar
- Standalone-Version muss vor Aktivierung der integrierten entfernt werden
- Überwachbare Ereignisse: Prozesserstellung und Netzwerkverbindungen
- Update verbessert Voice Access und behebt Explorer-Fehler
Siehe auch:
- "Ritt auf Rasierklinge": Sicherheitsforscher warnen Windows-10-Nutzer
- Windows 11-Chaos: Boot-Volume nach Patch-Day-Updates nicht nutzbar
- Windows OOB: Microsoft liefert Rettungs-Update für kaputtes Outlook
- 3-in-1-Smartphone: NexPhone kommt mit Android, Windows und Linux
- Windows Vista und Windows 7: ISOs mit endgültig allen Updates
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen