En standard Windows-operativsysteminstallasjon har et antall porter som er åpne rett etter installasjonen. Noen av portene er nødvendige for at systemet skal fungere ordentlig, mens andre kan brukes av spesifikke programmer eller funksjoner som bare noen brukere kan kreve.
Disse portene kan utgjøre en sikkerhetsrisiko da hver åpen port på et system kan brukes som et inngangspunkt av angripere. Hvis den porten ikke er nødvendig for funksjonalitet, anbefales det å lukke den for å blokkere angrep som er rettet mot den.
En port tillater kommunikasjon til eller fra enheten i utgangspunktet. Kjennetegn på det er et portnummer, en IP-adresse og en protokolltype.
Denne artikkelen vil gi deg verktøyene for hånden til å identifisere og evaluere de åpne portene på Windows-systemet ditt for å ta beslutninger til slutt om du vil holde dem åpne eller lukke dem for godt.
Programvare og verktøy som vi vil bruke:
- CurrPorts: Tilgjengelig for 32-biters og 64-bitersutgaver av Windows. Det er en portmonitor som viser alle åpne porter på et datasystem. Vi vil bruke den til å identifisere portene og programmene som bruker dem.
- Windows Task Manager: Brukes også til å identifisere programmene og koble noen porter til programmer.
- Søkemotor: Det er nødvendig å søke etter portinformasjon for noen porter som ikke kan identifiseres så enkelt.
Det ville være en umulig oppgave å gå gjennom alle portene som er åpne, vi vil derfor bruke noen få eksempler slik at du forstår hvordan du kan sjekke for åpne porter og finne ut om de er påkrevd eller ikke.
Fire av CurrPorts og se på det befolkede hovedområdet.
Programmet viser prosessnavn og ID, lokal port, protokoll og lokalt portnavn blant andre.
De enkleste portene å identifisere er de med et prosessnavn som tilsvarer et kjørende program som RSSOwl.exe med prosess-ID 3216 i eksemplet ovenfor. Prosessen er oppført på de lokale portene 50847 og 52016. Disse portene er vanligvis stengt når programmet stenger. Du kan bekrefte det ved å avslutte et program og oppdatere listen over åpne porter i CurrPorts.
De viktigere portene er de som ikke kan kobles til et program med en gang, som systemportene som vises på skjermdumpen.
Det er noen måter å identifisere tjenester og programmer knyttet til disse portene. Det er andre indikatorer som vi kan bruke til å oppdage tjenester og applikasjoner i tillegg til prosessnavnet.
Den viktigste informasjonen er portnummeret, det lokale portnavnet og prosess-IDen.
Med prosess-ID kan vi ta en titt i Windows Task Manager for å prøve å koble den til en prosess som kjører på systemet. For å gjøre det må du starte oppgavebehandleren (trykk Ctrl Shift Esc).
Klikk på Vis, velg kolonner og aktiver PID (prosessidentifikator) som skal vises. Det er prosess-IDen som også vises i CurrPorts.
Merk : Hvis du bruker Windows 10, bytter du til kategorien Detaljer for å vise informasjonen med en gang.
Nå kan vi koble prosess-ID-er i Currports til å kjøre prosesser i Windows Task Manager.
La oss se på noen eksempler:
ICSLAP, TCP Port 2869
Her har vi en port som vi ikke kan identifisere umiddelbart. Det lokale portnavnet er icslap, portnummeret er 2869, det bruker TCP-protokollen, det har prosess-ID 4 og prosessnavnet "system".
Det er vanligvis en god idé å søke etter det lokale portnavnet først hvis det ikke kan identifiseres med en gang. Fire av Google og søk etter icslap port 2869 eller noe lignende.
Ofte er det flere forslag eller muligheter. For Icslap er de Internett-tilkoblingsdeling, Windows-brannmur eller lokal nettverksdeling. Det tok litt research for å finne ut at det i dette tilfellet ble brukt av Windows Media Player Network Sharing Service.
Et godt alternativ for å finne ut om dette virkelig er tilfelle, er å stoppe tjenesten hvis den kjører og oppdatere portlisten for å se om porten ikke vises lenger. I dette tilfellet ble det stengt etter å ha stoppet Windows Media Player Network Sharing Service.
epmap, TCP-port 135
Forskning viser at den er koblet til prosessen for dcom-serveren. Forskning viser også at det ikke er lurt å deaktivere tjenesten. Det er imidlertid mulig å blokkere porten i brannmuren i stedet for å stenge den helt.
llmnr, UDP-port 5355
Hvis du ser i Currports, blir du lagt merke til at det lokale portnavnet llmnr bruker UDP-port 5355. PC-biblioteket har informasjon om tjenesten. Det viser til Link Local Multicast Name Resolution-protokollen som er relatert til DNS-tjenesten. Windows-brukere som ikke trenger DNS-tjenesten, kan deaktivere den i Services Manager. Dette stenger portene fra å være åpne på datasystemet.
oppsummering
Du starter prosessen med å kjøre det gratis bærbare programmet CurrPorts. Den fremhever alle åpne porter på systemet. En god praksis er å lukke alle programmer som er åpne før du kjører CurrPorts for å begrense antallet åpne porter til Windows-prosesser og bakgrunnsapplikasjoner.
Du kan koble noen porter til prosesser med en gang, men trenger å slå opp prosess-IDen som vises av CurrPorts i Windows Task Manager eller et tredjepartsprogram som Process Explorer ellers for å identifisere det.
Når du er ferdig, kan du undersøke prosessnavnet for å finne ut om du trenger det, og om det er mulig å lukke det hvis du ikke trenger det.
Konklusjon
Det er ikke alltid like lett å identifisere porter og tjenester eller applikasjoner de er lenket til. Forskning på søkemotorer gir vanligvis nok informasjon til å finne ut hvilken tjeneste som er ansvarlig for måter å deaktivere den hvis den ikke trengs.
En god første tilnærming før du begynner å jakte på havner, ville være å se nærmere på alle startet tjenester i Services Manager og stoppe og deaktivere de som er nødvendige for systemet. Et godt utgangspunkt for å evaluere disse er tjenestekonfigurasjonssiden på BlackViper-nettstedet.
