Microsoft ha rilasciato la Build 26300.7733 di Windows 11 nel Dev Channel. L'aggiornamento introduce la funzionalità nativa di Sysmon all'interno del sistema operativo, segnando un cambiamento atteso da tempo dai professionisti dell'informatica. Precedentemente parte dei tool esterni Sysinternals, lo strumento permette ora agli amministratori di monitorare eventi critici senza dover scaricare binari aggiuntivi o gestire pacchetti separati. La disponibilità è stata estesa contestualmente anche al canale Beta nella build 26220.7752.
La novità sarà molto apprezzata dagli amministratori IT, che avranno una complicazione in meno nella loro vita quotidiana; può sembrare solo una piccola cosa, ma chi gestisce decine o anche centinaia di macchine sicuramente ne sarà contento. Fino a oggi, infatti, la distribuzione di Sysmon su migliaia di computer richiedeva processi manuali soggetti a errori o ritardi nella distribuzione delle nuove versioni. Portando il servizio direttamente nei flussi di Windows Update, Microsoft garantisce che le capacità di rilevamento siano sempre allineate e supportate ufficialmente negli ambienti di produzione.
Mark Russinovich, Technical Fellow di Microsoft, ha spiegato che Sysmon aiuta a rilevare il furto di credenziali e i movimenti laterali degli attaccanti. Il software scrive i dati direttamente nel registro eventi di Windows, rendendoli accessibili ad applicazioni di sicurezza terze e sistemi SIEM per analisi in tempo reale. Questa visibilità granulare è considerata fondamentale per le indagini forensi necessarie a ricostruire la dinamica di una violazione informatica.
La funzionalità è disabilitata di default e richiede un'attivazione esplicita da parte dell'utente. Gli amministratori possono abilitarla tramite le funzionalità opzionali nelle impostazioni di sistema o utilizzando PowerShell. Microsoft sottolinea che è obbligatorio disinstallare versioni precedenti di Sysmon ottenute dal web prima di abilitare la versione integrata per evitare conflitti. Una volta attivato, il driver viene installato e il servizio avviato immediatamente con la configurazione predefinita.
Questa mossa si inserisce nel più ampio quadro della sicurezza aziendale dove il monitoraggio continuo è diventato un requisito minimo di sopravvivenza. Sysmon permette di auditare diversi ID evento, come l'Event ID 1 per la creazione di processi o l'Event ID 3 per le connessioni di rete in uscita. Tali segnali sono vitali per identificare attacchi fileless o traffico sospetto verso server di comando e controllo esterni.
Dalla configurazione custom ai pilastri della sicurezza
Gli amministratori possono utilizzare file di configurazione personalizzati per filtrare solo gli eventi necessari, ottimizzando l'uso delle risorse e riducendo il rumore di fondo nei log. Microsoft ha confermato che la documentazione completa sarà resa disponibile quando la funzione raggiungerà la disponibilità generale. L'iniziativa fa parte della Secure Future Initiative (SFI), volta a eliminare i gap di sicurezza causati dalle complessità delle installazioni manuali.
Oltre a Sysmon, la Build 26300.7733 include correzioni per Esplora File, come miglioramenti alla navigazione via tastiera e alla rinomina delle cartelle. È stato risolto un problema che causava il congelamento delle app durante l'interazione con file salvati su servizi cloud come OneDrive o Dropbox. Anche l'assistenza vocale è stata aggiornata, espandendo il supporto alla lingua olandese per gli utenti del canale Dev.
Finalmente Microsoft sembra aver ascoltato le richieste degli amministratori di sistema, mettendo da parte per un momento l'ossessione per l'integrazione dell'intelligenza artificiale in ogni angolo del sistema operativo. L'integrazione di uno strumento come Sysmon nel kernel non è una semplice aggiunta estetica, ma un riconoscimento del fatto che la sicurezza operativa richiede visibilità profonda. Ridurre la dipendenza da tool esterni facilita notevolmente la gestione degli endpoint in contesti enterprise dove la velocità di aggiornamento è critica.
Resta tuttavia da valutare se la necessità di un'attivazione manuale non limiterà l'adozione nelle realtà meno strutturate che non utilizzano script di automazione. Sebbene Sysmon sia ora "nativo", il fatto che rimanga disattivato di default implica che la responsabilità ricada ancora interamente sull'amministratore. In un futuro ideale, tali capacità di monitoraggio dovrebbero essere orchestrate centralmente e attive per impostazione predefinita, rendendo Windows un sistema realmente resiliente fin dal primo avvio.
