En standard installasjon av operativsystemet Windows har en rekke porter åpne rett etter installasjon. Noen av portene er nødvendig for at systemet skal fungere skikkelig, mens andre kan brukes av bestemte programmer eller funksjoner som kun enkelte brukere kan kreve.
Disse portene kan utgjøre en sikkerhetsrisiko som hver åpen port på et system kan brukes som en inngangsport av angripere.
En port tillater kommunikasjon til eller fra enheten i utgangspunktet. Kjennetegn på det er et portnummer, en IP-adresse og en protokolltype.
Denne artikkelen vil gi deg verktøy for hånden for å identifisere og vurdere de åpne porter på Windows-systemet til å fatte vedtak i slutten om du vil holde dem åpne eller lukke dem for god
Programvare og verktøy som vi vil bruke.
CurrPorts: Tilgjengelig for 32-bits og 64-bits versjoner av Windows. Det er en port monitor som viser alle åpne porter på et datasystem. Vi vil bruke den til å identifisere portene og programmene som bruker dem
Windows Oppgavebehandling. Brukes også til å identifisere programmene og knytte noen porter til programmer
Search Engine. Søke etter port informasjon er nødvendig for noen porter som ikke kan identifiseres som lett.
Det ville være en umulig oppgave å gå gjennom alle portene som er åpne, vil vi derfor bruke noen eksempler slik at alle forstår hvordan å se etter åpne porter og finne ut om de er nødvendige eller ikke.
Fyr opp CurrPorts og ta en titt på den befolket hovedområdet.
Programmet viser prosessen navn og ID, lokal port, protokoll og lokal portnavn blant andre.
Den enkleste porter for å identifisere er de med en prosess navn som tilsvarer et kjørende program som RSSOwl.exe med prosessen ID 3216 i eksempelet ovenfor som er notert på de lokale portene 50847 og 52016. Disse portene er vanligvis lukket når programmet avsluttes.
De viktigste havnene er de som ikke kan knyttes til et program med en gang som System porter vist i skjermbildet over.
Det finnes noen måter å identifisere de tjenester og programmer knyttet til disse portene. Det er andre indikatorer som vi kan bruke til å oppdage de tjenester og applikasjoner i tillegg til prosessen navn.
Den viktigste informasjonen er portnummeret, det lokale navnet på porten og prosess-ID.
Med prosessen ID vi kan ta en titt i Windows Task Manager for å prøve og koble det til en prosess som kjører på systemet. For å gjøre det du trenger for å starte Oppgavebehandling (trykk Ctrl Shift Esc).
Klikk på View, Select Columns og aktivere PID (Process Identifier) skal vises. Det er den prosessen ID som også er vist i CurrPorts.
Nå kan vi knytte prosess IDer i CurrPorts til å kjøre prosesser i Windows Oppgavebehandling.
La oss ta en se på noen eksempler:
ICSLAP, TCP Port 2 869
Her har vi en port som vi ikke kan identifisere umiddelbart. Den lokale portnavnet er icslap, portnummeret er 2869, det bruker TCP-protokollen, har den prosessen ID 4 og prosessen navnet "system".
Det er vanligvis en god idé å søke etter den lokale portnavnet først hvis det ikke kan identifiseres med en gang. Fyr opp Google og søke etter icslap port 2 869 eller noe lignende.
Ofte er det flere forslag eller muligheter. For Icslap de er Internet Connection Sharing, Windows brannmur eller Local Network Sharing. Det tok noen undersøkelser for å finne ut at i dette tilfellet ble det brukt av Windows Media Player Network Sharing Service.
Et godt alternativ for å finne ut om dette virkelig er tilfelle, er å stoppe tjenesten hvis det er å kjøre og oppdatere port liste for å se om porten ikke vises lenger. I dette tilfellet var det stengt etter å stoppe Windows Media Player Network Sharing Service.
epmap, TCP port 135
Forskning viser at det er knyttet til DCOM server prosess launcher. Forskning viser også at det ikke er en god idé å deaktivere tjenesten. Det er imidlertid mulig å blokkere port i brannmuren stedet for å lukke den helt.
LLMNR, UDP port 5355
Hvis du ser i CurrPorts ditt merke til at den lokale portnavnet LLMNR bruker UDP port 5355. PC Biblioteket har informasjon om tjenesten. Det henviser til Link Local Multicast Name Resolution-protokollen som er relatert til DNS-tjenesten. Windows-brukere som ikke trenger DNS-tjenesten kan deaktivere den i Services Manager. Dette lukker portene fra å være åpen på datasystemet
Konklusjon:.
Det er ikke alltid lett å identifisere porter og tjenester eller programmer de er knyttet til. Forskning på søkemotorer vanligvis gir nok informasjon til å finne ut hvilken tjeneste er ansvarlig med måter å deaktivere det hvis det ikke er nødvendig.
En god første tilnærming før du begynner å jakte ned portene ville være å ta en nærmere titt på alle startet tjenester i Services Manager og stoppe og deaktivere de som er nødvendige for systemet. Et godt utgangspunkt for å vurdere de er tjenester konfigurasjonsside BlackViper.
SummaryArticle NameImprove Windows Security ved å lukke åpne PortsAuthorMartin BrinkmannDescriptionHow å sjekke et Windows-system for åpne porter, finne ut hvorfor de er åpne, og hvis du kan lukke portene eller ikke å øke sikkerheten.