Dans le cadre des dernières préversions de Windows 11, Microsoft a commencé à déployer une version native de l’outil System Monitor, plus connu sous le nom de Sysmon. Auparavant, cet utilitaire de la suite Sysinternals devait être installé manuellement sur chaque poste.
Quels sont les avantages de l’intégration native ?
L’intégration de Sysmon directement dans le système d’exploitation résout plusieurs problèmes opérationnels. Le principal bénéfice est la fin du déploiement manuel qui pouvait être chronophage pour les administrateurs, et les mises à jour de l’outil seront gérées automatiquement par le biais de Windows Update.
L’approche native assure une meilleure fiabilité et un support client officiel, un point que Mark Russinovich, co-créateur de l’outil, avait identifié comme un manque dans les environnements de production.
L’outil permettra de capturer des événements système pour la détection de menaces et pourra être utilisé avec des fichiers de configuration personnalisés afin de filtrer les informations pertinentes.
Comment activer la nouvelle fonctionnalité ?
Bien que native, la fonctionnalité Sysmon est désactivée par défaut. Après la désinstallation de toute version autonome de Sysmon, l’activation peut se faire via les fonctionnalités facultatives dans les paramètres de Windows, ou plus directement via une ligne de commande.
Les administrateurs devront utiliser la commande Dism pour activer la fonctionnalité Sysmon dans PowerShell ou l’invite de commandes (Dism /Online /Enable-Feature /FeatureName:Sysmon).
Une fois cette étape réalisée, une seconde commande, sysmon -i, est nécessaire pour finaliser l’installation et démarrer le service avec sa configuration de base.
Qui peut en bénéficier actuellement ?
Pour le moment, la nouveauté est réservée aux membres du programme Windows Insider. Elle est déployée sur les canaux Beta et Dev. La phase de test permet à Microsoft de recueillir les premiers retours avant un déploiement à plus grande échelle.
Le groupe de Redmond n’a pas encore communiqué de date précise pour la disponibilité générale de Sysmon natif dans les versions stables de Windows 11 ou Windows Server.