Sysmon: Windows 11 bekommt nativen Systemmonitor
Microsoft kündigt in einem neuen Insider-Build ( 23300.7733(öffnet im neuen Fenster) ) die native Integration des Systemmonitors(öffnet im neuen Fenster) , kurz Sysmon, in Windows 11 an. Sysmon ist ein Windows-Dienst, der diverse Dinge überwachen und protokollieren kann. Er ist deshalb gerade für Systemadministratoren und Security-Spezialisten ein wichtiges Tool, um das Verhalten des Betriebssystems nachvollziehen zu können.
Die native Integration in Windows 11 ist eine Maßnahme, um das Betriebssystem vor allem nach dem Prinzip "Secure by Design" sicherer zu machen. Sysmon konnte zwar bereits vorher genutzt werden. Allerdings mussten Admins den Dienst manuell herunterladen und installieren.
Ein natives Sysmon ist bereits ab Werk integriert und muss nur als optionale Systemkomponente in den Einstellungen aktiviert werden. Dazu navigieren User zum Untermenü Mehr Windows-Features innerhalb der optionalen Features. Alternativ nutzen sie dafür den Kommandozeilenbefehl "Dism /Online /Enable-Feature/FeatureName:Sysmon"
Sysmon als wichtiges Security-Tool
Sysmon protokolliert diverse Informationen wie etwa den Verlauf einer Prozesserstellung, IP-Adressen, Hostnamen und Portnummern von Diensten und Clients, Lesezugriffe auf physische Laufwerke und das Laden von Treibern und DLLs auf dem Betriebssystem. Diese Ereignisse können über Scripts einfach abgerufen und analysiert werden.
Dabei kategorisiert Sysmon diverse Verhaltensweisen unter verschiedenen Event-IDs. Event ID 1 weist etwa auf eine verdächtige Erstellung eines Prozesses hin, während Event ID 3 auf unerwartete, nach außen etablierte Netzwerkverbindungen aufmerksam macht. Auch Konfigurationsänderungen und DNS-Abfragen können darüber analysiert werden – neben vielen anderen Aktionen. Microsoft gibt eine Liste von Prozess-IDs und passende Kommandozeilenbefehle in der Dokumentation(öffnet im neuen Fenster) an. Damit können Admins ihre eigenen Scripts für das Windows Terminal oder die Powershell erstellen.