Windows 10 bao gồm Bộ bảo vệ Windows, bảo vệ PC của bạn khỏi vi-rút và các mối đe dọa khác. Quy trình “Dịch vụ kiểm tra thời gian thực của mạng Microsoft”, còn được gọi là NisSrv.exe, là một phần của phần mềm chống vi-rút của Microsoft.

Quá trình này cũng có trên Windows 7 nếu bạn đã cài đặt phần mềm chống vi-rút Microsoft Security Essentials. Nó cũng là một phần của các sản phẩm chống phần mềm độc hại khác của Microsoft.

Bài viết này là một phần của loạt bài đang diễn ra của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe và nhiều quy trình khác. Không biết những dịch vụ đó là gì? Tốt hơn hãy bắt đầu đọc!

Kiến thức cơ bản về Bộ bảo vệ Windows

Trên Windows 10, chương trình chống vi-rút Windows Defender của Microsoft được cài đặt theo mặc định. Windows Defender tự động chạy trong nền, quét các tệp để tìm phần mềm độc hại trước khi bạn mở chúng và bảo vệ PC của bạn trước các kiểu tấn công khác.

Quy trình chính của Bộ bảo vệ Windows được đặt tên là “Antimalware Service Executable” và có tên tệp là MsMpEng.exe. Quá trình này kiểm tra các tệp để tìm phần mềm độc hại khi bạn mở chúng và quét PC của bạn ở chế độ nền.

Trên Windows 10, bạn có thể tương tác với Bộ bảo vệ Windows bằng cách khởi chạy ứng dụng “Trung tâm bảo mật của Bộ bảo vệ Windows” từ menu Bắt đầu của bạn. Bạn cũng có thể tìm thấy nó bằng cách đi tới Cài đặt> Cập nhật & Bảo mật> Bảo mật Windows> Mở Trung tâm Bảo mật của Bộ bảo vệ Windows. Trên Windows 7, hãy khởi chạy ứng dụng “Microsoft Security Essentials”. Giao diện này cho phép bạn quét phần mềm độc hại theo cách thủ công và định cấu hình phần mềm chống vi-rút.

LIÊN QUAN: Phần mềm chống vi-rút tốt nhất cho Windows 10 là gì? (Bộ bảo vệ Windows có đủ tốt không?)

NisSrv.exe Làm gì?

Quá trình NisSrv.exe còn được gọi là “Dịch vụ kiểm tra mạng chống vi-rút của Bộ bảo vệ Windows”. Theo mô tả của Microsoft về dịch vụ, nó “giúp bảo vệ chống lại các nỗ lực xâm nhập nhắm vào các lỗ hổng đã biết và mới được phát hiện trong các giao thức mạng”.

Nói cách khác, dịch vụ này luôn chạy ở chế độ nền trong PC của bạn, giám sát và kiểm tra lưu lượng mạng trong thời gian thực. Nó đang tìm kiếm hành vi đáng ngờ cho thấy kẻ tấn công đang cố gắng khai thác lỗ hổng bảo mật trong giao thức mạng để tấn công PC của bạn. Nếu một cuộc tấn công như vậy được phát hiện, Windows Defender sẽ tắt nó ngay lập tức.

Các bản cập nhật cho dịch vụ kiểm tra mạng chứa thông tin về các mối đe dọa mới đến thông qua các bản cập nhật định nghĩa cho Windows Defender — hoặc Microsoft Security Essentials, nếu bạn đang sử dụng PC chạy Windows 7.

Tính năng này ban đầu đã được thêm vào các chương trình chống vi-rút của Microsoft vào năm 2012. Một bài đăng trên blog của Microsoft giải thích chi tiết hơn một chút, nói rằng đây “là tính năng che chắn lỗ hổng zero-day của chúng tôi có thể chặn lưu lượng mạng khớp với các cách khai thác đã biết chống lại các lỗ hổng chưa được vá. Vì vậy, khi một lỗ hổng bảo mật mới được tìm thấy trong Windows hoặc một ứng dụng, Microsoft có thể ngay lập tức phát hành bản cập nhật dịch vụ kiểm tra mạng tạm thời bảo vệ nó. Microsoft — hoặc nhà cung cấp ứng dụng — sau đó có thể làm việc trên một bản cập nhật bảo mật vá vĩnh viễn lỗ hổng bảo mật, quá trình này có thể mất một lúc.

Nó đang theo dõi tôi?

Cái tên “Dịch vụ kiểm tra thời gian thực của mạng Microsoft” thoạt nghe có vẻ hơi kinh dị, nhưng nó thực sự chỉ là một quá trình theo dõi lưu lượng mạng của bạn để tìm bằng chứng về bất kỳ cuộc tấn công nào đã biết. Nếu một cuộc tấn công được phát hiện, nó sẽ bị tắt. Điều này hoạt động giống như quét tệp chống vi-rút tiêu chuẩn, theo dõi các tệp bạn mở và kiểm tra xem chúng có nguy hiểm hay không. Nếu bạn cố gắng mở một tệp nguy hiểm, dịch vụ chống phần mềm độc hại sẽ ngăn bạn lại.

Dịch vụ cụ thể này không báo cáo thông tin về duyệt web và hoạt động mạng bình thường khác của bạn cho Microsoft. Tuy nhiên, với cài đặt đo từ xa toàn hệ thống “Đầy đủ” mặc định, thông tin về địa chỉ web bạn truy cập trong Microsoft Edge và Internet Explorer có thể được gửi tới Microsoft.

Windows Defender được định cấu hình để báo cáo bất kỳ cuộc tấn công nào mà nó phát hiện được cho Microsoft. Bạn có thể tắt tính năng này nếu muốn. Để làm như vậy, hãy mở ứng dụng Trung tâm bảo mật của Bộ bảo vệ Windows, nhấp vào “Bảo vệ chống lại mối đe dọa và vi-rút” trong thanh bên, sau đó nhấp vào cài đặt “Cài đặt bảo vệ chống vi-rút & mối đe dọa”. Tắt các tùy chọn “Bảo vệ do đám mây phân phối” và “Gửi mẫu tự động”.

Chúng tôi khuyên bạn không nên tắt tính năng này vì thông tin về các cuộc tấn công được gửi đến Microsoft có thể giúp bảo vệ những người khác. Tính năng bảo vệ do đám mây phân phối cũng có thể giúp PC của bạn nhận được các định nghĩa mới nhanh hơn nhiều, có thể giúp bảo vệ bạn trước các cuộc tấn công zero-day.

Tôi có thể vô hiệu hóa nó không?

Dịch vụ này là một phần quan trọng của phần mềm chống phần mềm độc hại của Microsoft và bạn không thể dễ dàng vô hiệu hóa nó trên Windows 10. Bạn có thể tạm thời tắt tính năng bảo vệ theo thời gian thực trong Trung tâm Bảo mật của Bộ bảo vệ Windows, nhưng nó sẽ tự kích hoạt lại.

Tuy nhiên, nếu bạn cài đặt một chương trình chống vi-rút khác, Bộ bảo vệ Windows sẽ tự động vô hiệu hóa chính nó. Thao tác này cũng sẽ vô hiệu hóa Dịch vụ Kiểm tra Thời gian thực của Mạng Microsoft. Ứng dụng chống vi-rút khác có thể có thành phần bảo vệ mạng riêng của nó.

Nói cách khác: Bạn không thể tắt tính năng này và cũng không nên. Nó giúp bảo vệ PC của bạn. Nếu bạn cài đặt một công cụ chống vi-rút khác, nó sẽ bị vô hiệu hóa, nhưng chỉ vì công cụ chống vi-rút khác đó đang thực hiện công việc tương tự và Bộ bảo vệ Windows không muốn cản trở nó.

Nó có phải là virus không?

Phần mềm này không phải là vi rút. Đây là một phần của hệ điều hành Windows 10 và được cài đặt trên Windows 7 nếu bạn có Microsoft Security Essentials trên hệ thống của mình. Nó cũng có thể được cài đặt như một phần của các công cụ chống phần mềm độc hại khác của Microsoft, chẳng hạn như Bảo vệ Điểm cuối Trung tâm Hệ thống của Microsoft.

Vi rút và các phần mềm độc hại khác thường cố gắng ngụy trang thành các quy trình hợp pháp, nhưng chúng tôi chưa thấy bất kỳ báo cáo nào về phần mềm độc hại mạo danh quy trình NisSrv.exe. Đây là cách kiểm tra xem các tệp có hợp lệ không nếu bạn vẫn lo lắng.

Trên Windows 10, nhấp chuột phải vào quy trình “Dịch vụ kiểm tra thời gian thực của mạng Microsoft” trong Trình quản lý tác vụ và chọn “Mở vị trí tệp”.

Trên các phiên bản Windows 10 mới nhất, bạn sẽ thấy quy trình trong một thư mục như C: ProgramData Microsoft Windows Defender Platform 4.16.17656.18052-0, mặc dù số lượng thư mục có thể sẽ khác nhau.

Trên Windows 7, tệp NisSrv.exe sẽ xuất hiện trong C: Program Files Microsoft Security Client.

Nếu tệp NisSrv.exe ở một vị trí khác — hoặc nếu bạn chỉ nghi ngờ và muốn kiểm tra lại PC — chúng tôi khuyên bạn nên quét PC bằng chương trình chống vi-rút mà bạn chọn.

Tham khảo (HowToGeek)