据PCWorld报道,微软正将系统监视器(Sysmon)——一款来自其Sysinternals套件的强大安全工具——直接集成到Windows 11的Insider Preview版本中。
这款免费工具通过捕获详细的系统事件来检测来自恶意软件和黑客的可疑进程,相比标准的Windows事件日志,它能提供更出色的分析能力。用户可以通过Windows设置或命令行启用原生的Sysmon,但必须首先卸载任何已存在的独立Sysmon安装。
微软显然正在将系统监视器(Sysmon)直接集成到Windows 11中。这款专业级工具能让你检测Windows电脑上由恶意软件或黑客引起的可疑进程。作为广受欢迎的Sysinternals套件的一部分,它可以直接从微软免费下载。
由软件工程师马克·拉西诺维奇(Mark Russinovich)开发的Sysmon是一款久经考验的系统工具,面向有追求的专业用户,允许你分析Windows电脑上运行的所有进程以发现可疑活动。其性能显著优于内置的Windows事件日志。
在近期的Windows Insider博客文章中,微软宣布,从Windows 11 Insider Preview Build 26300.7733(开发频道)和Build 26220.7752(测试频道)开始,Sysmon现已原生集成到操作系统中。微软写道:
“Windows现在将Sysmon功能原生引入系统。Sysmon功能允许你捕获有助于威胁检测的系统事件,并且你可以使用自定义配置文件来筛选想要监控的事件。捕获的事件会写入Windows事件日志,使其能够与安全应用程序配合使用,并适用于广泛的用例。”
如果你的Windows电脑上已经安装了独立版本的Sysmon,则必须在启用原生版本之前将其卸载。
用户可以在Windows设置中启用并开始使用Sysmon,路径为:设置 > 系统 > 可选功能 > 更多Windows功能(在此处,Sysmon默认是禁用的)。
或者,你也可以通过命令提示符或PowerShell使用命令行来启用Sysmon:
Dism /Online /Enable-Feature /FeatureName:Sysmon
之后,输入以下命令:
sysmon -i
这将使用默认配置在你的系统上安装原生Sysmon,开始监控系统活动并记录事件。
