Questo processo è presente anche su Windows 7 se è stato installato il software antivirus Microsoft Security Essentials. Fa parte anche di altri prodotti anti-malware di Microsoft.
Questo articolo fa parte delle nostre serie in corso che illustrano vari processi trovati in Task Manager, come Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe e molti altri. Non sai quali sono questi servizi? Meglio iniziare a leggere!
Nozioni di base di Windows Defender
Su Windows 10, l'antivirus di Windows Defender di Microsoft è installato per impostazione predefinita. Windows Defender viene eseguito automaticamente in background, eseguendo la scansione dei file alla ricerca di malware prima di aprirli e proteggere il PC da altri tipi di attacchi.
Il processo principale di Windows Defender è denominato "Antimalware Service Executable" e ha il nome del file MsMpEng.exe. Questo processo controlla i file per il malware quando li apri e scansiona il tuo PC in background.
Su Windows 10, puoi interagire con Windows Defender avviando l'applicazione "Windows Defender Security Center" dal menu Start. Puoi anche trovarlo andando in Impostazioni> Aggiornamento e sicurezza> Sicurezza di Windows> Apri Windows Defender Security Center. Su Windows 7, invece, lancia l'applicazione "Microsoft Security Essentials". Questa interfaccia ti consente di scansionare manualmente il malware e configurare il software antivirus.
Cosa fa NisSrv.exe?
Il processo NisSrv.exe è anche noto come "Servizio di ispezione di Windows Defender Antivirus Network". Secondo la descrizione del servizio di Microsoft, "aiuta a prevenire i tentativi di intrusione miranti a individuare vulnerabilità note e scoperte di recente nei protocolli di rete".
In altre parole, questo servizio viene sempre eseguito in background sul PC, monitorando e ispezionando il traffico di rete in tempo reale. Sta cercando comportamenti sospetti che suggeriscono che un utente malintenzionato stia tentando di sfruttare un buco di sicurezza in un protocollo di rete per attaccare il PC. Se viene rilevato un tale attacco, Windows Defender lo spegne immediatamente.
Gli aggiornamenti per il servizio di ispezione di rete che contengono informazioni sulle nuove minacce arrivano tramite gli aggiornamenti delle definizioni per Windows Defender o Microsoft Security Essentials, se si utilizza un PC Windows 7.
Questa funzione è stata originariamente aggiunta ai programmi antivirus Microsoft nel 2012. Un post sul blog di Microsoft lo spiega in modo un po 'più dettagliato, affermando che "è la nostra funzione di protezione dalle vulnerabilità zero-day che può bloccare il traffico di rete che combacia gli exploit noti contro le vulnerabilità prive di patch". Quindi, quando viene rilevato un nuovo buco di sicurezza in Windows o in un'applicazione, Microsoft può rilasciare immediatamente un aggiornamento del servizio di ispezione di rete che lo protegge temporaneamente. Microsoft - o il fornitore dell'applicazione - può quindi lavorare su un aggiornamento della sicurezza che patch in modo permanente il buco di sicurezza, che potrebbe richiedere del tempo.
Mi sta spiando?
Il nome "Servizio di ispezione in tempo reale della rete Microsoft" potrebbe sembrare un po 'inquietante all'inizio, ma in realtà è solo un processo che sta guardando il traffico di rete alla ricerca di eventuali attacchi noti. Se viene rilevato un attacco, si spegne. Funziona esattamente come la scansione di file antivirus standard, che controlla i file aperti e controlla se sono pericolosi. Se provi ad aprire un file pericoloso, il servizio antimalware ti blocca.
Questo particolare servizio non riporta informazioni a Microsoft sulla tua navigazione web e su altre normali attività di rete. Tuttavia, con l'impostazione predefinita "Completa" della telemetria di sistema, le informazioni sugli indirizzi Web visitati in Microsoft Edge e Internet Explorer possono essere inviate a Microsoft.
Windows Defender è configurato per segnalare qualsiasi attacco rilevato a Microsoft. Puoi disabilitare questo, se vuoi. Per fare ciò, aprire l'applicazione Centro sicurezza di Windows Defender, fare clic su "Protezione da virus e minacce" nella barra laterale e quindi fare clic sull'impostazione "Impostazioni di protezione da virus e minacce". Disabilita le opzioni "Protezione fornita dal cloud" e "Invio automatico del campione".
Non è consigliabile disabilitare questa funzione, in quanto le informazioni sugli attacchi inviati a Microsoft possono aiutare a proteggere gli altri. La funzione di protezione fornita dal cloud può aiutare il tuo PC a ricevere nuove definizioni molto più rapidamente, il che può aiutarti a proteggerti dagli attacchi zero-day.
Posso disabilitarlo?
Questo servizio è una parte cruciale del software antimalware di Microsoft e non è possibile disabilitarlo facilmente su Windows 10. È possibile disabilitare temporaneamente la protezione in tempo reale in Windows Defender Security Center, ma si riattiverà automaticamente.
Tuttavia, se si installa un altro programma antivirus, Windows Defender si disabilita automaticamente. Ciò disabiliterà anche il servizio di ispezione in tempo reale della rete Microsoft. Quell'altra app antivirus ha probabilmente il proprio componente di protezione della rete.
In altre parole: non è possibile disattivare questa funzione e non si dovrebbe.Aiuta a proteggere il tuo PC. Se installi un altro strumento antivirus, sarà disabilitato, ma solo perché quell'altro strumento antivirus sta facendo lo stesso lavoro e Windows Defender non vuole intromettersi.
È un virus?
Questo software non è un virus. Fa parte del sistema operativo Windows 10 ed è installato su Windows 7 se sul tuo sistema è installato Microsoft Security Essentials. Può anche essere installato come parte di altri strumenti anti-malware di Microsoft, come Microsoft System Center Endpoint Protection.
Virus e altri malware spesso tentano di travestirsi da processi legittimi, ma non abbiamo rilevato alcun report di malware che impersona il processo NisSrv.exe. Ecco come controllare che i file siano legittimi se sei preoccupato comunque.
In Windows 10, fare clic con il pulsante destro del mouse sul processo "Servizio di ispezione in tempo reale della rete Microsoft" nel Task Manager e selezionare "Apri posizione file".