Стандартната инсталация на операционна система Windows има отворен брой портове веднага след инсталирането. Някои от портовете са необходими, за да може системата да работи правилно, докато други могат да се използват от специфични програми или функции, които само някои потребители могат да изискват.
Тези портове могат да представляват риск за сигурността, тъй като всеки отворен порт в системата може да бъде използван като входна точка от атакуващите. Ако този порт не е необходим за функционалност, се препоръчва да го затворите, за да блокирате всички атаки, насочени към него.
Портът позволява комуникация до или от устройството основно. Характеристиките му са номер на порт, IP адрес и тип протокол.
Тази статия ще ви даде инструментите, с които можете да идентифицирате и оцените отворените портове на вашата Windows система, за да вземате решения в крайна сметка дали да ги държите отворени или да ги затворите завинаги.
Софтуерни програми и инструменти, които ще използваме:
- CurrPorts: Предлага се за 32-битови и 64-битови издания на Windows. Това е пристанищен монитор, който показва всички отворени портове в компютърна система. Ще го използваме за идентифициране на портовете и програмите, които ги използват.
- Windows Task Manager: Използва се също за идентифициране на програмите и свързване на някои портове към програмите.
- Търсачка: Търсене на информация за порта е необходимо за някои портове, които не могат да бъдат идентифицирани толкова лесно.
Би било невъзможна задача да преминете през всички отворени портове, следователно ще използваме няколко примера, така че да разберете как да проверите за отворени портове и да разберете дали те се изискват или не.
Запалете CurrPorts и разгледайте основната населена част.
Програмата показва името и идентификационния номер на процеса, локалния порт, протокола и името на местния порт наред с други.
Най-лесните портове за идентифициране са тези с име на процес, което съответства на работеща програма като RSSOwl.exe с идентификатора на процес 3216 в горния пример. Процесът е списък на локалните портове 50847 и 52016. Тези портове обикновено се затварят, когато програмата се затвори. Можете да потвърдите това, като прекратите програма и освежите списъка на отворените портове в CurrPorts.
По-важните портове са тези, които не могат да бъдат свързани с програма веднага като системните портове, показани на екрана.
Има няколко начина за идентифициране на услугите и програмите, свързани с тези портове. Има и други индикатори, които можем да използваме, за да открием услугите и приложенията, освен името на процеса.
Най-важната информация е номера на порта, името на локалния порт и идентификационния номер на процеса.
С идентификатора на процеса можем да разгледаме мениджъра на задачи на Windows, за да се опитаме да го свържем с процес, работещ в системата. За целта трябва да стартирате мениджъра на задачите (натиснете Ctrl Shift Esc).
Кликнете върху Изглед, Изберете колони и разрешете да се показва PID (Идентификатор на процеса). Това е идентификационният номер на процеса, който също е показан в CurrPorts.
Забележка : Ако използвате Windows 10, преминете към раздела Подробности, за да изведете информацията веднага.
Сега можем да свържем идентификатори на процеси в Currports с изпълняващи се процеси в Windows Task Manager.
Нека да разгледаме някои примери:
ICSLAP, TCP порт 2869
Тук имаме порт, който не можем да идентифицираме веднага. Името на локалния порт е icslap, номерът на порта е 2869, той използва протокола TCP, той има ID на процеса 4 и името на процеса "система".
Обикновено е добре да потърсите първо името на местния порт, ако не може да бъде идентифицирано веднага. Запалете Google и потърсете icslap порт 2869 или нещо подобно.
Често има няколко предложения или възможности. За Icslap това са споделяне на интернет връзка, защитна стена на Windows или споделяне на локална мрежа. Необходими бяха някои проучвания, за да се разбере, че в този случай тя е използвана от услугата за споделяне на мрежи на Windows Media Player.
Добър вариант да разберете дали това наистина е така, е да спрете услугата, ако тя работи и да опресните списъка с портове, за да видите дали портът не се показва повече. В този случай той беше затворен след спиране на услугата за споделяне на мрежата на Windows Media Player.
epmap, TCP порт 135
Изследванията показват, че той е свързан с стартовия процесор на dcom сървър. Изследванията показват също, че не е добра идея да деактивирате услугата. Възможно е обаче да блокирате порта в защитната стена, вместо да го затворите напълно.
llmnr, UDP порт 5355
Ако погледнете в Currports, забележите, че името на локалния порт llmnr използва UDP порта 5355. PC Library има информация за услугата. Той се отнася до протокола за разрешаване на локално многоадресно име за връзка, който е свързан с DNS услугата. Потребителите на Windows, които не се нуждаят от услугата DNS, могат да я деактивират в Services Manager. Това затваря портовете от отворени в компютърната система.
рекапитулация
Стартирате процеса, като стартирате безплатната преносима програма CurrPorts. Той подчертава всички отворени портове в системата. Добра практика е да затворите всички програми, които са отворени, преди да стартирате CurrPorts, за да ограничите броя на отворените портове до процесите в Windows и фоновите приложения.
Можете да свържете някои портове към процеси веднага, но трябва да потърсите идентификатора на процеса, показан от CurrPorts в диспечера на задачите на Windows или в приложение на трета страна, като Process Explorer в противен случай, за да го идентифицирате.
След като направите това, можете да проучите името на процеса, за да разберете дали имате нужда от него и дали е възможно да го затворите, ако не го изисквате.
заключение
Не винаги е лесно да се идентифицират пристанищата и услугите или приложенията, към които са свързани. Изследванията на търсачките обикновено предоставят достатъчно информация, за да разберете коя услуга отговаря с начини да я деактивирате, ако не е необходима.
Добър първи подход преди започване на търсене на пристанищата би бил да разгледате внимателно всички стартирани услуги в диспечера на услугите и да спрете и деактивирате тези, които са необходими за системата. Добра отправна точка за оценяването им е страницата за конфигуриране на услуги на уебсайта на BlackViper.
