Microsoft Network Realtime Inspection Service (NisSrv.exe) là gì và tại sao nó lại chạy trên máy tính?

Windows 10 có Windows Defender bảo vệ máy tính của bạn khỏi những con virus và các mối đe dọa khác. Tiến trình Microsoft Network Realtime Inspection Service hay còn được biết đến là NisSrv.exe, là một phần của phần mềm diệt virus của Microsoft.

Tiến trình này cũng có trong Windows 7 nếu bạn đã cài đặt phần mềm diệt virus Microsoft Security Essentials. Đây là một phần khác của sản phẩm anti-malware của Microsoft.

• Hướng dẫn cài đặt và cấu hình Microsoft Security Essentials

Điều cơ bản về Windows Defender

Trên Windows 10, chương trình diệt virus Windows Defender của Microsoft được cài đặt theo mặc định. Windows Defender tự động chạy trong nền, quét các tập tin phần mềm độc hại trước khi bạn mở chúng và bảo vệ máy tính khỏi các loại tấn công khác.

Tiến trình Windows Defender chính được đặt tên là Antimalware Service Executable và có tên file là MsMpEng.exe. Tiến trình này kiểm tra các tập tin phần mềm độc hại khi bạn mở chúng và quét máy tính trong nền.

Trên Windows 10, bạn có thể sử dụng Windows Defender bằng cách khởi chạy ứng dụng Windows Defender Security Center từ menu Start. Bạn cũng có thể tìm thấy nó bằng cách vào Settings > Update & Security > Windows Security > Mở Windows Defender Security Center. Trên Windows 7, khởi chạy ứng dụng Microsoft Security Essentials. Giao diện này cho phép bạn quét phần mềm độc hại theo cách thủ công và định cấu hình phần mềm diệt virus.

NisSrv.exe thực hiện nhiệm vụ gì?

Tiến trình NisSrv.exe còn được gọi là “Windows Defender Antivirus Network Inspection Service”. Theo mô tả của Microsoft về dịch vụ, nó “giúp bảo vệ chống lại các nỗ lực xâm nhập nhắm vào các lỗ hổng đã biết và mới phát hiện trong các giao thức mạng”.

Nói cách khác, dịch vụ này luôn chạy trong nền trong máy tính, theo dõi và kiểm tra lưu lượng mạng trong thời gian thực. Nó đang tìm kiếm hành vi đáng ngờ cho thấy kẻ tấn công đang cố gắng khai thác lỗ hổng bảo mật trong giao thức mạng để tấn công máy tính của bạn. Nếu phát hiện một cuộc tấn công như vậy, Windows Defender sẽ tắt nó ngay lập tức.

Bản cập nhật cho dịch vụ kiểm tra mạng có chứa thông tin về các mối đe dọa mới thông qua các cập nhật định nghĩa (definition update) cho Windows Defender hoặc Microsoft Security Essentials, nếu bạn đang sử dụng máy tính Windows 7.

Tính năng này đầu tiên được thêm vào chương trình diệt virus của Microsoft năm 2012. Một bài viết trên blog của Microsoft giải thích chi tiết hơn một chút: “Đây là tính năng bảo vệ chống lại lỗ hổng zero-day, chặn lưu lượng mạng trùng khớp với các khai thác đã biết”. Do vậy, khi tìm thấy một lỗ hổng bảo mật mới trong Windows hoặc ứng dụng, Microsoft có thể ngay lập tức phát hành bản cập nhật dịch vụ kiểm tra mạng tạm thời bảo vệ nó. Sau đó, Microsoft hoặc nhà cung cấp ứng dụng có thể làm việc trên bản cập nhật bảo mật vá lỗ hổng bảo mật vĩnh viễn.

Tiến trình này có giám sát người dùng không?

Cái tên "Microsoft Network Realtime Inspection Service" lúc đầu có vẻ hơi rùng rợn, nhưng nó thực sự chỉ là một tiến trình kiểm tra lưu lượng mạng của bạn để xem có bất kỳ cuộc tấn công nào đã biết hay không. Nếu phát hiện một cuộc tấn công, nó sẽ tắt. Tính năng này hoạt động giống như quét file diệt virus chuẩn, kiểm tra các file bạn mở và xem chúng có nguy hiểm hay không. Nếu bạn đang mở một file nguy hiểm, dịch vụ anti-malware sẽ ngăn bạn lại.

Dịch vụ đặc biệt này không báo cáo thông tin về duyệt web và các hoạt động mạng thông thường của bạn cho Microsoft. Tuy nhiên, với cài đặt từ xa toàn hệ thống “Full” mặc định, thông tin về địa chỉ web bạn truy cập trong Microsoft Edge và Internet Explorer sẽ được gửi tới Microsoft.

Windows Defender được cấu hình để báo cáo các cuộc tấn công nó phát hiện cho Microsoft. Bạn có thể vô hiệu hóa tùy chọn này nếu muốn bằng cách mở ứng dụng Windows Defender Security Center, click vào Virus & Threat Protection ở thanh bên và sau đó click vào cài đặt Virus & Threat Protection Settings, vô hiệu hóa tùy chọn Cloud-delivered protection và Automatic sample submission.

Tuy nhiên bạn không nên tắt tính năng này vì thông tin các cuộc tấn công gửi cho Microsoft có thể bảo vệ người dùng khác. Tính năng Cloud-delivered protection có thể giúp máy tính của bạn nhận định nghĩa mới nhanh hơn và bảo vệ bạn chống lại các cuộc tấn công zero-day.

Có thể vô hiệu hóa tiến trình này không?

Dịch vụ này là một phần quan trọng trong phần mềm anti-malware của Microsoft, và bạn không thể dễ dàng vô hiệu hóa nó trên Windows 10. Bạn có thể tạm thời vô hiệu hóa bảo vệ thời gian thực trong Windows Defender Security Center, nhưng nó sẽ tự kích hoạt lại.

Tuy nhiên, nếu cài đặt một chương trình diệt virus khác, Windows Defender sẽ tự động vô hiệu hóa chính nó. Việc làm này cũng vô hiệu hóa Microsoft Network Realtime Inspection Service. Ứng dụng diệt virus khác có thể có thành phần bảo vệ mạng riêng của nó.

Nói cách khác, bạn không thể tắt tính năng này và cũng không nên làm như vậy, vì nó giúp bảo vệ máy tính của bạn. Nếu bạn cài đặt một công cụ diệt virus khác, tính năng này sẽ bị vô hiệu hóa, nhưng chỉ vì công cụ diệt virus khác đang làm cùng một công việc và Windows Defender không muốn cản trở nó.

• Tắt Windows Defender trên Windows 10

Nó có phải là một loại virus?

Phần mềm này không phải là virus, nó là một phần của hệ điều hành Windows 10 và được cài đặt trên Windows 7 nếu bạn có Microsoft Security Essentials trên hệ thống. Nó cũng có thể được cài đặt như một phần của các công cụ chống phần mềm độc hại khác của Microsoft, chẳng hạn như Microsoft System Center Endpoint Protection.

Virus và phần mềm độc hại khác thường cố gắng che giấu mình thành các tiến trình hợp pháp, nhưng chưa có bất kỳ báo cáo nào về phần mềm độc hại mạo danh tiến trình NisSrv.exe. Đây là cách để kiểm tra các tập tin là hợp pháp nếu bạn đang quan tâm.

Trên Windows 10, click chuột phải vào tiến trình “Microsoft Network Realtime Inspection Service” trong Task Manager và chọn “Open File Location”.

Trên các phiên bản mới nhất của Windows 10, bạn sẽ thấy tiến trình trong một thư mục như C:\ProgramData\Microsoft\Windows Defender\Platform\4.16.17656.18052-0, mặc dù số lượng thư mục có thể sẽ khác nhau.

Trên Windows 7, file NisSrv.exe sẽ xuất hiện trong C:\Program Files\Microsoft Security Client.

Nếu file NisSrv.exe nằm ở một vị trí khác hoặc nếu bạn còn nghi ngờ hãy quét máy tính với phần mềm diệt virus yêu thích của mình.

Xem thêm:

• Tìm hiểu tiến trình Windows Modules Installer Worker
• Client Server Runtime Process hay csrss.exe là gì và tại sao nó lại chạy trên máy tính?
• Host Process for Windows Tasks là gì và tại sao nó lại chạy nhiều trên máy tính?