Проверка NisSrv.exe — Windows Defender

Скриншот значка процесса NisSrv.exe в Диспетчере задач Windows

Что это за процесс

Microsoft Network Realtime Inspection Service (NisSrv.exe) — компонент Microsoft Defender (ранее Windows Defender), который анализирует сетевой трафик и пытается обнаруживать попытки эксплуатации уязвимостей сетевых протоколов. Процесс легитимен на современных системах Windows, если находится в корректном каталоге и подписан Microsoft.

Краткое определение: модуль сетевой инспекции в составе антивируса, предназначенный для обнаружения сетевых атак.

Как быстро проверить подлинность NisSrv.exe

Откройте Диспетчер задач (Ctrl+Shift+Esc).
Найдите NisSrv.exe или элемент Windows Defender Network Inspection Service.
Правый клик → Открыть расположение файла.

Ожидаемые пути:

Windows 10 и новее: C:\Program Files\Windows Defender\NisSrv.exe
Старые версии (например, Windows 7 с Microsoft Security Client): C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe

Если файл находится в другом каталоге или имена изменены, это повод для дальнейшей проверки.

Дополнительные методы проверки

Загрузите файл на VirusTotal для сканирования коллекцией антивирусов. Это даёт дополнительное мнение, но не является окончательным доказательством.
Через диспетчер служб Windows:
1. Нажмите Win, введите services.msc и нажмите Enter.
2. Найдите Windows Defender Antivirus Network Inspection Service.
3. Дважды кликните, откройте Свойства и проверьте:
  - Service name: WdNisSvc
  - Display name: Windows Defender Antivirus Network Inspection Service
  - Path to executable: C:\Program Files\Windows Defender\NisSrv.exe
  - Описание: помогает защищать от попыток вторжений, нацеленных на уязвимости сетевых протоколов.
Через PowerShell и командную строку:

Get-Service WdNisSvc
sc qc WdNisSvc
(Get-Item "C:\Program Files\Windows Defender\NisSrv.exe").VersionInfo | Format-List

Проверка цифровой подписи: в Проводнике нажмите правой кнопкой на файле → Свойства → Цифровые подписи. Подпись Microsoft — сильный индикатор подлинности.
Сравнить размер и дату файла с другим рабочим компьютером с тем же выпуском Windows.

Как временно отключить модуль

NisSrv.exe связан с реальным временем защиты Windows Defender. Самостоятельного переключателя для отдельной службы обычно нет в стандартных настройках. Чтобы временно отключить поведение:

Откройте Параметры → Обновление и безопасность → Безопасность Windows → Защита от вирусов и угроз.
Откройте Параметры защиты от вирусов и угроз.
Отключите Real-time protection (Защита в реальном времени).

Важно: это временно. Windows автоматически включит защиту позже. Отключение снижает уровень безопасности и не рекомендуется как постоянное решение.

Когда файл может быть вредоносным — признаки компрометации

Файл расположен за пределами стандартных каталогов Windows.
Отсутствует цифровая подпись Microsoft или подпись повреждена.
Неожиданный высокий сетевой трафик или CPU-активность от процесса.
Система сообщает о конфликтах, всплывают предупреждения стороннего антивируса.
Имя файла имитирует NisSrv.exe, но отличается регистром или символьными подстановками (например, N1sSrv.exe).

Если заметили такие признаки, переходите к плану действий ниже.

План действий при подозрении на вредоносный NisSrv.exe

Изолируйте машину от сети (по возможности).
Сделайте контрольную копию важной информации.
Запустите полное сканирование Windows Defender и/или сторонним антивирусом с обновленными сигнатурами.
Выгрузите подозрительный файл и загрузите на VirusTotal.
Проверьте автозагрузку и планировщик задач на наличие посторонних записей.
При подтверждённой инфекции — следуйте процедурам очистки: удаление/карантин, восстановление из резервной копии, смена паролей.
Логируйте действия и уведомите безопасность/ИТ‑отдел.

Критерии завершения инцидента: файл находится в официальном каталоге и подписан, или подтверждённо удалён/изолирован и система проверена.

Руководство администратора и чеклист

Перед проверкой:

Убедиться в наличии обновлённой антивирусной базы.
Подготовить доступ к инструментам: services.msc, PowerShell, VirusTotal.

Чеклист для модели быстрого аудита:

Проверить путь файла через Диспетчер задач.
Проверить свойства службы (WdNisSvc).
Проверить цифровую подпись файла.
Запустить сканирование на вирусы.
Сравнить с эталонной машиной.

Сценарии и альтернативные подходы

Альтернатива для проверки подписи: утилита signtool (из Windows SDK) или Sysinternals sigcheck.
Для массовой проверки на парке компьютеров — PowerShell-скрипт, который собирает путь, подпись и версию NisSrv.exe и отправляет результаты в централизованный лог.

Пример команды для массовой проверки:

Get-ChildItem -Path "C:\Program Files\Windows Defender\NisSrv.exe" -ErrorAction SilentlyContinue | Select-Object FullName, @{Name='Signed';Expression={$_.VersionInfo.FileVersion}}, @{Name='Signature';Expression={(Get-AuthenticodeSignature $_.FullName).Status}}

Ментальные модели и рекомендации

Модель доверия: файлы в системных каталогах и с цифровой подписью Microsoft — обычно безопасны.
Модель риска: любое отклонение от стандарта (путь, подпись, поведение) повышает риск и требует расследования.

Критерии приёмки

NisSrv.exe должен находиться в C:\Program Files\Windows Defender\ и иметь цифровую подпись Microsoft.
Служба WdNisSvc должна иметь корректный Display name и описание.
После проверки не должно оставаться следов посторонней активности в автозагрузке и планировщике задач.

Что делать нельзя

Не удаляйте файл вручную без подтверждения: возможны побочные эффекты и нестабильность защитных механизмов.
Не оставляйте отключённую защиту навсегда.

Глоссарий в одну строку

NisSrv.exe — модуль сетевой инспекции Microsoft Defender.
WdNisSvc — имя службы в Windows, соответствующее NisSrv.exe.

Заключение

NisSrv.exe — обычная часть Windows Defender. Самый быстрый способ проверить подлинность — открыть расположение файла и проверить цифровую подпись. Если сомневаетесь, следуйте чеклисту администратора и используйте внешние сканеры. Отключение защиты в реальном времени допустимо только кратковременно и с пониманием рисков.

Microsoft Network Realtime Inspection Service (NisSrv.exe) — что это и как проверить