/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/11/sysmon-windows-11-server-2025.jpg "Sysmon ora arriva preinstallato in Windows 11: sicurezza e diagnostica potenziate")
Microsoft ha annunciato che a partire dal prossimo anno il noto software Sysmon (System Monitor) sarà integrato nativamente in Windows 11 e Windows Server 2025, eliminando la necessità di scaricare e gestire il tool autonomamente. La novità è destinata a semplificare enormemente la gestione del sistema operativo, a facilitare la diagnosi e la risoluzione dei problemi, a snellire il lavoro del team IT in ambito aziendale.
Cos’è Sysmon e perché è importante
Sysmon è uno strumento gratuito sviluppato da Microsoft Sysinternals, utilizzato da anni da amministratori IT, security analyst e threat hunter per ottenere visibilità approfondita sul comportamento di Windows. Tra le sue funzionalità principali:
- Monitoraggio dei processi in esecuzione (creazione e arresto).
- Logging delle connessioni di rete e degli accessi ai processi.
- Rilevamento di attività sospette come process tampering, creazione di file eseguibili, modifiche negli appunti di Windows e backup automatico dei file cancellati.
- Integrazione con software di terze parti e pipeline di sicurezza grazie agli eventi scritti nel Windows Event Log (accessibile digitando
Windows+Rquindieventvwr.msc).
A dare la notizia dell’integrazione di Sysmon in Windows 11 e Windows Server 2025 è Mark Russinovich, fondatore di Sysinternals e ideatore di tante altre utilità. Russinovich creò Sysinternals nel 1996: dieci anni dopo, a luglio 2006, la sua azienda fu acquisita da Microsoft con la promessa di proseguire lo sviluppo internamente.
Quella promessa non solo è stata mantenuta ma da oggi Sysmon diventa uno strumento di sistema, con un palese riconoscimento del lavoro svolto da Russinovich in tutti questi anni.
Cosa cambia con l’integrazione nativa
Con l’integrazione diretta in Windows, Sysmon sarà installabile tramite Windows Update o dal pannello “Funzionalità opzionali” di Windows 11. Gli aggiornamenti dell’utilità saranno distribuiti automaticamente insieme al sistema operativo, riducendo il rischio di ritardi e vulnerabilità.
Sarà possibile attivare la funzionalità tramite la finestra del terminale con un semplice comando:
sysmon -i
Per monitorare programmi, processi e driver in Windows 11 e Windows Server 2025 in modo efficace, è possibile seguire le indicazioni riportate a suo tempo nel nostro approfondimento.
Gli amministratori possono definire eventi da monitorare, filtri avanzati e specifiche regole di rilevamento, mantenendo tutta la flessibilità offerta dalle configurazioni Sysmon tradizionali.
Eventi chiave tracciabili
Tra gli eventi più utili per rilevamento di minacce e per l’analisi del comportamento di Windows e delle applicazioni installate troviamo i seguenti:
- Event ID 1 – Process Creation: rileva attività sospette come script PowerShell senza output o nascosti.
- Event ID 3 – Network Connection: monitora connessioni in uscita non autorizzate, ad esempio potenziale traffico verso server command-and-control.
- Event ID 8 – Process Access: identifica tentativi di accesso alla memoria LSASS per furto di credenziali.
- Event ID 11 – File Creation: traccia la creazione di script o eseguibili sospetti.
- Event ID 25 – Process Tampering: rileva tecniche di process hollowing (tecnica usata da malware per nascondere l’esecuzione di codice dannoso all’interno di un processo legittimo) e altre forme di evasione usate dai componenti malware.
- Eventi 20 e 21 – WMI Events: cattura attività persistenti tramite WMI (Windows Management Instrumentation), framework di Windows che permette di monitorare, gestire e automatizzare componenti e risorse del sistema operativo.
Conclusioni e prospettive future
L’integrazione nativa di Sysmon in Windows 11 e Windows Server 2025 rappresenta un significativo passo avanti nella sicurezza enterprise, eliminando molti degli ostacoli operativi legati all’uso del tool standalone.
Le aziende e gli amministratori IT beneficeranno di visibilità immediata sulle minacce, funzionalità avanzate configurabili, aggiornamenti automatici tramite Windows Update e supporto ufficiale Microsoft, garantendo al contempo compatibilità e affidabilità in ambienti complessi.
Guardando al futuro, Microsoft prevede di integrare strumenti di gestione enterprise e rilevamento delle minacce basato su AI, permettendo di identificare rapidamente tentativi di furto delle credenziali o movimenti laterali sospetti direttamente sugli endpoint. Questa combinazione di visibilità granulare e intelligenza artificiale locale promette di ridurre i tempi di risposta e aumentare significativamente la robustezza delle infrastrutture IT.
/https://www.ilsoftware.it/app/uploads/2025/11/windows-11-agent-workspace.jpg "Windows 11 Build 26220.7262: verso un sistema operativo nativamente AI")
/https://www.ilsoftware.it/app/uploads/2025/11/aggiornamento-forzato-windows-11-25H2.jpg "Perché Microsoft aggiorna automaticamente alcuni PC a Windows 11 25H2")
/https://www.ilsoftware.it/app/uploads/2025/11/agentic-os-windows-risposta-microsoft.jpg "Agentic Windows: la risposta di Microsoft che non convince utenti e sviluppatori")
/https://www.ilsoftware.it/app/uploads/2025/09/licenze-software-usate-seconda-mano.jpg "Licenze software usate: i giudici danno torto a Microsoft nella causa contro ValueLicensing")