Für IT-Sicherheitsprofis ist Sysmon seit Jahren ein unverzichtbares Werkzeug. Das Tool aus der Microsoft-Sysinternals-Suite protokolliert Systemaktivitäten weit detaillierter als die Standard-Windows-Ereignisprotokolle. Mit dem kumulativen Update vom 10. März 2026 macht Microsoft Sysmon zu einem nativen Bestandteil von Windows 11.
Was kann Sysmon?
Während die Standard-Ereignisprotokolle von Windows Ihnen sagen, dass ein Prozess gestartet wurde, verrät Sysmon woher er kam, was er tat und mit wem er kommunizierte. Es protokolliert unter anderem: Prozesserstellungen mit vollständigem Befehlszeileninhalt, Netzwerkverbindungen, Dateiänderungen, Registry-Zugriffe und das Laden von Treibern. Damit ist es das «Gold Standard»-Tool für Bedrohungserkennung und forensische Analyse.
So installieren Sie Sysmon nativ
- Öffnen Sie Einstellungen → System → Optionale Features → Weitere Windows-Features.
- Suchen Sie nach «Sysmon» und aktivieren Sie es.
- Öffnen Sie eine PowerShell als Administrator und führen Sie
Sysmon -iaus.
Wichtig: Falls Sie die Sysinternals-Version von Sysmon bereits installiert haben, müssen Sie diese zuerst deinstallieren, bevor Sie die native Version aktivieren. Beide Versionen können nicht gleichzeitig laufen.
Für wen lohnt sich Sysmon?
Für Privatanwender ist Sysmon in den meisten Fällen nicht nötig — ein guter Virenschutz wie Windows Defender reicht aus. Aber für KMU und IT-Administratoren ist die native Integration ein grosser Schritt: Kein separater Download mehr, einfachere Bereitstellung über Gruppenrichtlinien, und die Garantie, dass Microsoft das Tool langfristig pflegt. Wer die Sicherheit seines Netzwerks ernst nimmt, sollte sich Sysmon genauer ansehen.
