Обновлено: 04.02.2026. В инсайдерских сборках Windows 11 на каналах Dev и Beta появилась встроенная поддержка Sysmon — инструмента мониторинга системных событий, ранее доступного отдельно в составе пакета Sysinternals.
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 26220.7752 | 25H2 | Beta | KB5074177 | ISO (UUP) | 2026-02-04 |
| Windows 11 | 26300.7733 | 25H2 | Dev | KB5074178 | ISO (UUP) | 2026-02-04 |
Обновлено: 19.11.2025. Компания Microsoft объявила, что в 2026 году встроит Sysmon (System Monitor) нативно в Windows 11 и Windows Server 2025. Это сделает необязательной установку отдельной версии из пакета Sysinternals.
В ноябре 2025 года Марк Руссинович (Mark Russinovich), создатель Sysinternals, сообщил в официальном блоге Windows IT Pro Blog:
В новом году обновления Windows для Windows 11 и Windows Server 2025 принесут нативную поддержку Sysmon в Windows.
Функциональность Sysmon позволяет использовать собственные конфигурационные файлы для фильтрации регистрируемых событий. Эти события записываются в журнал событий Windows, что открывает широкий спектр сценариев применения, включая работу средств безопасности.
Sysmon (или System Monitor) — это бесплатная утилита Microsoft Sysinternals, которую можно настроить для мониторинга и блокировки вредоносной или подозрительной активности, а также для записи событий в журнал событий Windows.
По умолчанию Sysmon отслеживает базовые события, такие как создание и завершение процессов. Однако можно создавать расширенные конфигурационные файлы, которые позволяют наблюдать и реагировать на более сложное поведение: вмешательство в процессы, DNS-запросы, создание исполняемых файлов, изменения буфера обмена Windows, автоматическое резервное копирование удаленных файлов и многое другое.
Sysmon является очень популярным инструментом для обнаружения угроз и диагностики стойких проблем в Windows, однако обычно его нужно устанавливать вручную на каждое устройство. Это усложняет управление и снижает охват в крупных ИТ-средах.
Благодаря нативной поддержке в Windows пользователи и администраторы смогут устанавливать Sysmon через меню «Дополнительные компоненты» в Windows 11 и получать обновления напрямую через центр обновления Windows, что сделает развертывание и сопровождение намного проще.
Microsoft заявляет, что встроенная версия сохранит весь стандартный набор возможностей Sysmon, включая поддержку пользовательских конфигурационных файлов и продвинутой фильтрации событий.
После установки администраторы смогут включить базовый мониторинг через командную строку, используя следующую команду:
sysmon -i
Для более продвинутого мониторинга с использованием пользовательского конфигурационного файла пользователи могут развернуть его с помощью следующей команды:
sysmon -i <name_of_config_file>
Например, если вы хотите фиксировать создание новых исполняемых файлов в папках C:\ProgramData\ иC:\Users, вы можете использовать следующий конфигурационный файл:
<Sysmon schemaversion="4.90"> <!-- Capture all hashes --> <HashAlgorithms>MD5,SHA256</HashAlgorithms> <EventFiltering> <!-- Log executable file creations --> <FileExecutableDetected onmatch="include"> <TargetFilename condition="begin with">C:\ProgramData\</TargetFilename> <TargetFilename condition="begin with">C:\Users\</TargetFilename> </FileExecutableDetected> </EventFiltering> </Sysmon>
Теперь, когда в одном из этих каталогов создается новый исполняемый файл, Windows записывает это событие в журналы событий.
Список других популярных событий, которые регистрирует Sysmon:
- Event ID 1 — создание процесса: полезно для обнаружения подозрительной активности в командной строке.
- Event ID 3 — сетевое подключение: фиксирует исходящие соединения для выявления аномалий или активности командного сервера (C2).
- Event ID 8 — доступ к процессу: позволяет выявлять попытки получить доступ к LSASS для кражи учетных данных.
- Event ID 11 — создание файла: отслеживает создание скриптовых файлов, часто используемых в начальных стадиях атаки.
- Event ID 25 — вмешательство в процесс: помогает обнаруживать подмену процессов (process hollowing) и другие методы уклонения.
- Event ID 20 и 21 — события WMI: фиксируют устойчивую вредоносную активность через WMI-консьюмеры и фильтры.
Microsoft также подтвердила, что в 2026 году наконец выпустит подробную документацию по использованию Sysmon, а также представит новые функции корпоративного управления и возможности обнаружения угроз на базе ИИ.
Если вы хотите протестировать или развернуть Sysmon в своей среде, вы можете сделать это, установив сборку Windows 11 26220.7752 (Beta) или 26300.7733 (Dev), или используя отдельную версию инструмента на сайте Sysinternals и изучив пример конфигурации Sysmon от SwiftOnSecurity.
Последние статьи #Windows
• NVIDIA связывает проблемы в играх с обновлением Windows 11
• Windows 11 Build 28020.1546 (Canary): Обновление KB5074176 для Windows 11, версия 26H1
• Microsoft интегрирует Sysmon напрямую в Windows 11 и Windows Server 2025
• Microsoft планирует добавить верхнюю панель меню в Windows 11 через PowerToys
• Обновление KB5074177 (Build 26220.7752) для Windows 11, версия 25H2 (Beta)
• Обновление KB5074178 (Build 26300.7733) для Windows 11, версия 25H2 (Dev)