Windows 10 inclut Windows Defender, qui protège votre PC contre les virus et autres menaces. Le processus «Microsoft Network Realtime Inspection Service», également appelé NisSrv.exe, fait partie du logiciel antivirus de Microsoft.
Ce processus est également présent sur Windows 7 si vous avez installé le Microsoft Security Essentials Logiciel antivirus. Il fait également partie d’autres produits anti-malware Microsoft.
Cet article fait partie de notre série en cours expliquant divers processus trouvés dans le Gestionnaire des tâches, comme Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe et bien d’autres. Vous ne savez pas quels sont ces services? Mieux vaut commencer à lire!
Principes de base de Windows Defender
Sur Windows 10, l’antivirus Windows Defender de Microsoft est installé par défaut. Windows Defender s’exécute automatiquement en arrière-plan, analysant les fichiers à la recherche de logiciels malveillants avant de les ouvrir et protégeant votre PC contre d’autres types d’attaques.
Le processus principal de Windows Defender est nommé «Antimalware Service Executable» et porte le nom de fichier MsMpEng.exe. Ce processus vérifie les fichiers à la recherche de logiciels malveillants lorsque vous les ouvrez et analyse votre PC en arrière-plan.
Sous Windows 10, vous pouvez interagir avec Windows Defender en lançant l’application «Windows Defender Security Center» à partir de votre menu Démarrer. Vous pouvez également le trouver en vous rendant dans Paramètres> Mise à jour et sécurité> Sécurité Windows> Ouvrir le Centre de sécurité Windows Defender. Sous Windows 7, lancez plutôt l’application «Microsoft Security Essentials». Cette interface vous permet de rechercher manuellement les logiciels malveillants et de configurer le logiciel antivirus.
Que fait NisSrv.exe?
Le processus NisSrv.exe est également connu sous le nom de «Service d’inspection du réseau Windows Defender Antivirus». Selon la description de Microsoft du service, il «aide à se prémunir contre les tentatives d’intrusion ciblant les vulnérabilités connues et nouvellement découvertes dans les protocoles réseau».
En d’autres termes, ce service fonctionne toujours en arrière-plan sur votre PC, surveillant et inspectant le trafic réseau en temps réel. Il recherche un comportement suspect qui suggère qu’un attaquant tente d’exploiter une faille de sécurité dans un protocole réseau pour attaquer votre PC. Si une telle attaque est détectée, Windows Defender l’arrête immédiatement.
Les mises à jour du service d’inspection réseau qui contiennent des informations sur les nouvelles menaces arrivent via les mises à jour de définition pour Windows Defender ou Microsoft Security Essentials, si vous utilisez un PC Windows 7.
Cette fonctionnalité a été initialement ajoutée aux programmes antivirus de Microsoft en 2012. A Microsoft article de blog l’explique un peu plus en détail, en disant qu’il s’agit de «notre fonction de protection contre les vulnérabilités zero-day qui peut bloquer le trafic réseau correspondant aux exploits connus contre des vulnérabilités non corrigées.» Ainsi, lorsqu’une nouvelle faille de sécurité est trouvée dans Windows ou dans une application, Microsoft peut immédiatement publier une mise à jour du service d’inspection du réseau qui le protège temporairement. Microsoft – ou le fournisseur de l’application – peut alors travailler sur une mise à jour de sécurité qui corrige définitivement la faille de sécurité, ce qui peut prendre un certain temps.
Est-ce qu’il m’espionne?
Le nom «Service d’inspection en temps réel du réseau Microsoft» peut sembler un peu effrayant au début, mais il s’agit en réalité d’un processus qui surveille le trafic de votre réseau à la recherche de preuves d’attaques connues. Si une attaque est détectée, elle s’arrête. Cela fonctionne comme l’analyse antivirus standard des fichiers, qui surveille les fichiers que vous ouvrez et vérifie s’ils sont dangereux. Si vous essayez d’ouvrir un fichier dangereux, le service anti-programme malveillant vous arrête.
Ce service particulier ne rapporte pas à Microsoft des informations sur votre navigation sur le Web et toute autre activité normale du réseau. Cependant, avec le paramètre de télémétrie par défaut «Complet» à l’échelle du système, des informations sur les adresses Web que vous visitez dans Microsoft Edge et Internet Explorer peuvent être envoyées à Microsoft.
Windows Defender est configuré pour signaler à Microsoft toute attaque détectée. Vous pouvez désactiver cela, si vous le souhaitez. Pour ce faire, ouvrez l’application Windows Defender Security Center, cliquez sur «Protection contre les virus et les menaces» dans la barre latérale, puis cliquez sur le paramètre «Paramètres de protection contre les virus et les menaces». Désactivez les options «Protection fournie par le cloud» et «Soumission automatique des échantillons».
Nous ne vous recommandons pas de désactiver cette fonctionnalité, car les informations sur les attaques envoyées à Microsoft peuvent aider à protéger les autres. La fonction de protection fournie par le cloud peut également aider votre PC à recevoir de nouvelles définitions beaucoup plus rapidement, ce qui peut vous protéger contre les attaques zero-day.
Puis-je le désactiver?
Ce service est un élément crucial du logiciel anti-programme malveillant de Microsoft et vous ne pouvez pas le désactiver facilement sous Windows 10. Vous pouvez désactiver temporairement la protection en temps réel dans le centre de sécurité Windows Defender, mais il se réactivera.
Cependant, si vous installez un autre programme antivirus, Windows Defender se désactivera automatiquement. Cela désactivera également le service d’inspection en temps réel du réseau Microsoft. Cette autre application antivirus a probablement son propre composant de protection réseau.
En d’autres termes: vous ne pouvez pas désactiver cette fonctionnalité, et vous ne devriez pas. Cela aide à protéger votre PC. Si vous installez un autre outil antivirus, il sera désactivé, mais uniquement parce que cet autre outil antivirus fait le même travail et que Windows Defender ne veut pas se mettre en travers de son chemin.
Est-ce un virus?
Ce logiciel n’est pas un virus. Il fait partie du système d’exploitation Windows 10 et il est installé sur Windows 7 si vous avez Microsoft Security Essentials sur votre système. Il peut également être installé dans le cadre d’autres outils anti-malware Microsoft, tels que Microsoft System Center Endpoint Protection.
Les virus et autres logiciels malveillants tentent souvent de se déguiser en processus légitimes, mais nous n’avons vu aucun rapport de malware usurpant l’identité du processus NisSrv.exe. Voici comment vérifier que les fichiers sont légitimes si vous êtes inquiet de toute façon.
Sous Windows 10, cliquez avec le bouton droit de la souris sur le processus «Service d’inspection en temps réel du réseau Microsoft» dans le Gestionnaire des tâches et sélectionnez «Ouvrir l’emplacement du fichier».
Sur les dernières versions de Windows 10, vous devriez voir le processus dans un dossier tel que C: ProgramData Microsoft Windows Defender Platform 4.16.17656.18052-0, bien que le numéro du dossier soit probablement différent.
Sous Windows 7, le fichier NisSrv.exe apparaîtra sous C: Program Files Microsoft Security Client.
Si le fichier NisSrv.exe se trouve à un emplacement différent, ou si vous êtes simplement suspect et que vous souhaitez vérifier votre PC une fois de plus, nous vous recommandons d’analyser votre PC avec le programme antivirus de votre choix.
