A espera terminou para os administradores de sistemas e entusiastas de segurança. A Microsoft começou a disponibilizar a funcionalidade Sysmon integrada nativamente em alguns sistemas Windows 11 inscritos no programa Insider.
Esta novidade, que tinha sido prometida pela gigante tecnológica em novembro do ano passado, marca uma mudança significativa na forma como a monitorização avançada do sistema é gerida, dispensando a necessidade de instalações manuais complexas que eram habituais até agora.
Uma ferramenta essencial para caçar ameaças
O Sysmon (System Monitor) é uma ferramenta lendária do pacote Sysinternals que funciona como um serviço de sistema e driver de dispositivo. O seu propósito principal é monitorizar e registar atividades suspeitas ou maliciosas diretamente no Registo de Eventos do Windows. Enquanto a monitorização padrão se foca em eventos básicos, o Sysmon vai muito mais longe, permitindo detetar a criação de ficheiros executáveis, manipulação de processos, alterações na área de transferência e até realizar cópias de segurança automáticas de ficheiros eliminados.
Até agora, esta ferramenta necessitava de ser descarregada e instalada manualmente em cada máquina, o que representava um desafio logístico para grandes ambientes de TI. Com a nova integração nativa, a equipa do Windows Insider, no seu anúncio oficial, explica que a funcionalidade permite capturar eventos de sistema cruciais para a deteção de ameaças, utilizando ficheiros de configuração personalizados para filtrar exatamente o que se pretende vigiar.
Esta alteração significa que os eventos capturados são escritos diretamente no log de eventos do Windows, facilitando a sua integração com outras aplicações de segurança e cenários de análise forense.
Como ativar a novidade nas builds Insider
Embora o suporte seja agora nativo, a Microsoft optou por manter o Sysmon desativado por defeito. Para os utilizadores que estão a testar as versões mais recentes — especificamente a Build 26220.7752 (Canal Beta) e a Build 26300.7733 (Canal Dev) — é necessário seguir um procedimento específico para ativar o recurso.
É crucial notar que, antes de ativar a versão nativa, deves desinstalar qualquer versão do Sysmon que tenhas instalado anteriormente através do site da Sysinternals. O processo de ativação pode ser feito através das Definições (em Funcionalidades Opcionais) ou através da linha de comandos.
Para quem prefere a rapidez do Terminal ou PowerShell, o comando para ativar a funcionalidade é: Dism /Online /Enable-Feature /FeatureName:Sysmon
Após a ativação da funcionalidade, a instalação finaliza-se com o comando: sysmon -i
Esta atualização surge pouco tempo depois de a empresa ter também começado a testar novas políticas que permitem aos administradores de TI remover o assistente Copilot de dispositivos geridos, mostrando um esforço contínuo da Microsoft em dar mais controlo e ferramentas de segurança robustas aos profissionais que gerem o ecossistema Windows.
Nenhum comentário
Seja o primeiro!