Guia de tecnologias

Microsoft Network Realtime Inspection Service (NisSrv.exe): validar, segurança e desativação

6 min read Segurança Windows Atualizado 10 Oct 2025
NisSrv.exe: validar e gerir o serviço de inspeção de rede
NisSrv.exe: validar e gerir o serviço de inspeção de rede

Captura do Gestor de Tarefas mostrando o processo NisSrv.exe

O que é o Microsoft Network Realtime Inspection Service (NisSrv.exe)

NisSrv.exe é um módulo do Microsoft Defender que inspeciona tráfego de rede em tempo real para detectar tentativas de intrusão que explorem vulnerabilidades conhecidas ou recém-descobertas em protocolos de rede. Em linhas simples: é um componente de proteção do sistema que analisa comunicações de rede.

Glossário rápido:

  • NisSrv.exe: executável do serviço de inspeção de rede do Windows Defender.

Como validar se NisSrv.exe é legítimo

Siga estes passos rápidos para verificar se o processo é legítimo e não um malware a tentar imitar o nome:

  1. Abra o Gestor de Tarefas (Ctrl+Shift+Esc).
  2. Localize o processo NisSrv.exe na lista de processos.
  3. Clique com o botão direito e escolha “Abrir localização do ficheiro”.

A localização correta em versões modernas do Windows é normalmente:

C:\Program Files\Windows Defender\NisSrv.exe

Em versões mais antigas (por exemplo, Windows 7) pode estar em:

C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe

Verifique também:

  • O ficheiro tem assinatura digital Microsoft (propriedades → Assinaturas Digitais).
  • O nome do serviço no Services Manager corresponde ao esperado (WdNisSvc).

Verificação adicional via Serviços do Windows

  1. Pressione a tecla Windows, escreva services.msc e pressione Enter.
  2. Encontre “Windows Defender Antivirus Network Inspection Service” na lista.
  3. Faça duplo clique para abrir as Propriedades.

As informações esperadas incluem:

Service Name: WdNisSvc Display Name: Windows Defender Antivirus Network Inspection Service Path to executable: C:\Program Files\Windows Defender\NisSrv.exe Description: Helps guard against intrusion attempts targeting known and newly discovered vulnerabilities in network protocols.

Se algum destes campos estiver diferente (p.ex. um caminho fora da pasta do Windows ou sem assinatura digital), investigue mais a fundo.

Métodos adicionais de validação

  • Upload para VirusTotal: envie o ficheiro apenas se não contiver dados sensíveis; o serviço agregará vários motores de AV.
  • Ferramentas Sysinternals: use Sigcheck para confirmar a assinatura digital e o carimbo de tempo.
  • Verificação de integridade do sistema: execute sfc /scannow e DISM para reparar ficheiros do sistema, caso suspeite de corrupção.

Mini-metodologia (passos consolidados):

  1. Localizar ficheiro via Gestor de Tarefas.
  2. Confirmar caminho e assinante (Assinatura Digital).
  3. Verificar serviço em services.msc.
  4. Escanear ficheiro com VirusTotal ou solução interna em sandbox.
  5. Aplicar SFC/DISM se necessário.

É seguro desativar o serviço?

O serviço está ligado à proteção em tempo real do Windows Defender. Não existe uma opção direta para desativar permanentemente o Microsoft Network Realtime Inspection Service nas definições padrão do Defender — a proteção em tempo real controla esse módulo e, mesmo que seja desligada manualmente, costuma reativar-se automaticamente.

Recomendações:

  • Não desative permanentemente, a menos que haja uma razão operacional forte e esteja sob controlo de uma política de segurança.
  • Para testes temporários, desligue a Proteção em Tempo Real nas definições do Windows Security, sabendo que o serviço pode voltar a ativar-se sozinho.

Alternativas e abordagens para diagnósticos

  • Ferramentas EDR/AV de terceiros: se a sua organização usa um EDR, integre as verificações do processo e bloqueios a nível de política.
  • Sandbox interna: analisar o ficheiro em ambiente isolado para observar comportamento de rede.
  • Comparar hash: peça ao fornecedor ou consulte uma instalação limpa para comparar SHA256 do ficheiro.

Quando a validação pode falhar (casos e sinais)

  • Nome correto, caminho errado: um malware pode usar o mesmo nome mas estar noutro diretório, p.ex. C:\Windows\Temp\NisSrv.exe.
  • Falta de assinatura ou assinatura inválida: indica que o ficheiro não foi assinado pela Microsoft.
  • Mensagens de erro após desativar proteção: desativar componentes de segurança pode expor o sistema ou causar falhas de compatibilidade.

Importante: se houver suspeita forte de infeção, isole o equipamento da rede e acione a equipa de segurança (SOC).

Listas de verificação por função

Administrador de Sistema:

  • Confirmar caminho do ficheiro e assinatura digital.
  • Executar Sigcheck / Sysinternals e comparar hash.
  • Verificar eventos no Event Viewer relacionados com WdNisSvc.
  • Aplicar atualizações e polícias de grupo (GPO) para Defender.

Utilizador final:

  • Não termine processos nomeados NisSrv.exe sem instruções da TI.
  • Se o sistema apresentar comportamento estranho, contacte o suporte.

Analista SOC:

  • Recolher amostra, hash e timeline de execução.
  • Verificar tráfego de rede associado ao processo em logs de rede.
  • Submeter a amostra a uma sandbox corporativa.

Segurança e hardening relacionado

  • Mantenha o Windows e o Defender atualizados (updates automáticos habilitados).
  • Use políticas de aplicação (AppLocker/WDAC) para permitir execuções apenas de ficheiros assinados.
  • Configure alertas no SIEM para eventos relacionados com WdNisSvc e assinaturas inválidas.
  • Empregue segmentação de rede para limitar impacto em caso de exploração.

Privacidade e notas sobre uploads (VirusTotal e sandboxes)

Ao enviar ficheiros para serviços públicos como o VirusTotal, evite incluir ficheiros que contenham dados pessoais identificáveis (PII) ou informações confidenciais da empresa. Prefira uma sandbox interna quando tratar de ficheiros sensíveis.

Aceitação rápida / Checklist para validar NisSrv.exe

  • Processo visível no Gestor de Tarefas
  • Caminho: C:\Program Files\Windows Defender\NisSrv.exe (ou caminho conhecido para a versão do SO)
  • Assinatura digital Microsoft válida
  • Serviço WdNisSvc presente em services.msc
  • Hash comparado com instalação limpa ou repositório confiável

Perguntas frequentes

Q: Posso simplesmente eliminar o ficheiro NisSrv.exe se suspeitar que é malware? A: Não. Eliminar um ficheiro do sistema pode quebrar o Windows Defender e o sistema; isole o equipamento e siga procedimentos de resposta a incidentes.

Q: O que faço se o ficheiro estiver no caminho errado? A: Isole o dispositivo, recolha evidências (hash, logs) e analise em ambiente seguro; depois siga o playbook de resposta a incidentes.

Q: Desligar a proteção em tempo real resolve falsos positivos? A: Pode aliviar temporariamente um falso positivo, mas não é solução; atualize definições e reporte o falso positivo ao fornecedor.

Resumo

NisSrv.exe é um componente legítimo do Microsoft Defender quando está na pasta correta e devidamente assinado. A validação passa por localizar o ficheiro, confirmar o caminho e a assinatura, e, se necessário, analisar a amostra em sandbox. Evite desativar permanentemente a proteção em tempo real.

Importante: em caso de suspeita forte de infeção, isole a máquina e envolva a equipa de segurança.

RELATED STORIES TO CHECK OUT:

  • 5 melhores simuladores de rede para imitar uma rede de computadores no PC
  • Microsoft lança atualização KB4032188 para Windows 10 versão 1703
Compartilhar: X/Twitter Facebook LinkedIn Telegram
Autor
Edição

Materiais semelhantes

Impedir adição a grupos do WhatsApp
Tutoriais

Impedir adição a grupos do WhatsApp

Como baixar filmes e séries da Netflix
Streaming

Como baixar filmes e séries da Netflix

Clock no Windows 11 — Guia de Alarmes e Focus
Tutoriais

Clock no Windows 11 — Guia de Alarmes e Focus

NisSrv.exe: validar e gerir o serviço de inspeção de rede
Segurança Windows

NisSrv.exe: validar e gerir o serviço de inspeção de rede

Corrigir Snipping Tool quebrado no Windows 11
Tutoriais

Corrigir Snipping Tool quebrado no Windows 11

Apagar fotos do iPhone sem remover do iCloud
Tutoriais

Apagar fotos do iPhone sem remover do iCloud