En standard Windows-installasjon av operativsystemet har en rekke porter åpne rett etter installasjon. Noen av portene er nødvendig for at systemet skal fungere på riktig måte, mens andre kan brukes av bestemte programmer eller funksjoner som bare noen brukere kan kreve.
Disse portene kan utgjøre en sikkerhetsrisiko som hver en åpen port på et system som kan brukes som en inngangsport av angripere. Hvis porten er ikke behov for funksjonalitet, det er anbefalt å lukke den for å blokkere eventuelle angrep mot det.
En port som lar kommunikasjon til eller fra enheten i utgangspunktet. Egenskaper det er et portnummer, en IP-adresse og en protokoll.
Denne artikkelen vil gi deg verktøyene for hånden til å identifisere og evaluere åpne porter på Windows-systemet til å ta avgjørelser i slutten om å holde dem åpne eller lukke dem for godt.
Programmer og verktøy som vi vil bruke:
- CurrPorts: Tilgjengelig for 32-biters og 64-biters versjoner av Windows. Det er en port monitor som viser alle åpne porter på en datamaskin system. Vi vil bruke den til å identifisere porter og programmer som bruker dem.
- Windows Task Manager: Også brukes til å identifisere programmer og knytte noen porter til programmer.
- Søkemotor: Søker etter port informasjon som er nødvendig for noen porter som ikke kan identifiseres som enkelt.
Det ville være en umulig oppgave å gå gjennom alle porter som er åpne, vil vi derfor bruke et par eksempler, slik at du forstår hvordan du skal se etter åpne porter og finne ut om de er obligatoriske eller ikke.
Brann opp CurrPorts og ta en titt på befolket viktigste området.
Programmet viser prosessen navn og ID, lokal port, protokoll og lokal port navn blant andre.
Den enkleste porter for å identifisere er de med en prosess navn som tilsvarer et program som kjører som RSSOwl.exe med prosess-ID 3216 i eksemplet ovenfor. Prosessen er notering på den lokale porter 50847 og 52016. Disse portene er vanligvis lukket når programmet avsluttes. Kan du bekrefte det ved å avslutte et program og forfriskende listen over åpne porter i CurrPorts.
De viktigste havnene er de som ikke kan knyttes til et program med en gang at Systemet portene som vist på skjermbildet.
Det er et par måter å identifisere de tjenester og programmer knyttet til disse portene. Det er andre indikatorer som vi kan bruke til å finne tjenester og programmer i tillegg til prosessen navn.
Den viktigste informasjonen er portnummeret, det lokale navnet på porten og prosess-ID.
Med prosess-ID-en, kan vi ta en titt i Windows oppgavebehandling til å prøve og koble den til en prosess som kjører på systemet. Å gjøre det du trenger for å starte oppgavebehandling (trykk Ctrl-Shift-Esc).
Klikk på Visningen, velger du Velg Kolonner og aktivere PID (Process Id) vises. Det er prosess-ID-en som også er vist i CurrPorts.
Merk: Hvis du bruker Windows 10, bytt til kategorien Detaljer for å vise informasjon med en gang.
Nå kan vi lenke prosess-Id-er i Currports til prosesser som kjører i Windows Task Manager.
La oss ta en titt på noen eksempler:
ICSLAP, TCP-Port 2869
Her har vi en port som vi ikke kan identifisere umiddelbart. Det lokale navnet på porten er icslap, portnummeret er 2869, det bruker TCP-protokollen, det har prosess-ID-4 og prosessen navnet “systemet”.
Det er vanligvis en god idé å søke etter det lokale navnet på porten først, hvis det ikke kan identifiseres med en gang. Brann opp på Google og søk etter icslap port 2869 eller noe lignende.
Ofte er det flere forslag eller muligheter. For Icslap de er Deling av Internett-Tilkobling, Windows-Brannmur eller et Lokalt Nettverk for Deling. Det tok litt research for å finne ut at i dette tilfellet var det som brukes av Windows Media Player Network Sharing Tjenesten.
Et godt alternativ for å finne ut om dette faktisk er tilfelle, er å stoppe tjenesten hvis det er løping og oppdatere port liste for å se om porten ikke vises lenger. I dette tilfellet var det stengt etter avsluttet Windows Media Player Network Sharing Tjenesten.
epmap, TCP-port 135
Forskning viser at det er knyttet til dcom-server prosessen launcher. Forskning viser også at det er ikke en god idé å deaktivere tjenesten. Det er imidlertid mulig å blokkere port i brannmuren i stedet for å lukke det helt.
llmnr, UDP-port 5355
Hvis du ser i Currports din beskjed om at det lokale navnet på porten llmnr bruker UDP-port 5355. PC-Biblioteket har informasjon om tjenesten. Det er med henvisning til Link-Local Multicast Name Resolution-protokollen som er knyttet til DNS-tjenesten. Windows-brukere som ikke trenger DNS-tjenesten kan deaktivere det i Services Manager. Dette stenger portene fra å være åpen på datamaskinen system.
Oppsummering
Du starter prosessen ved å kjøre gratis bærbar program CurrPorts. Det fremhever alle åpne porter i systemet. En god praksis er å lukke alle programmer som er åpne før du kjører CurrPorts å begrense antall åpne porter til Windows prosesser og applikasjoner bakgrunn.
Du kan linke noen porter til prosesser med en gang, men må se opp prosess-ID vises ved CurrPorts i Windows Task Manager eller en tredjeparts programmer som Process Explorer annen måte å identifisere den.
Når dette er gjort, kan du forskning prosessen navn for å finne ut om du trenger det, og om det er mulig å lukke det hvis du ikke trenger det.
Konklusjon
Det er ikke alltid lett å identifisere porter og tjenester eller programmer som de er knyttet til. Forskning på søkemotorer vanligvis gir nok informasjon til å finne ut hvilken service som er ansvarlig med måter å deaktivere den hvis den ikke er nødvendig.
En god første tilnærming før du starter å jakte på porter ville være å ta en nærmere titt på hele startet tjenester Services Manager og stoppe og deaktivere de som er nødvendige for systemet. Et godt utgangspunkt for å vurdere de er tjenester konfigurasjonssiden på BlackViper nettstedet.