Popraw bezpieczeństwo systemu Windows, zamykając otwarte porty

Standardowa instalacja systemu operacyjnego Windows ma kilka portów otwartych zaraz po instalacji. Niektóre porty są potrzebne do prawidłowego funkcjonowania systemu, a inne mogą być używane przez określone programy lub funkcje, które mogą wymagać tylko niektórzy użytkownicy.

Porty te mogą stanowić zagrożenie dla bezpieczeństwa, ponieważ każdy otwarty port w systemie może być wykorzystywany przez atakujących jako punkt wejścia. Jeśli ten port nie jest potrzebny do działania, zaleca się zamknięcie go, aby zablokować wszelkie ataki na niego ukierunkowane.

Port zasadniczo umożliwia komunikację do lub z urządzenia. Jego cechą charakterystyczną jest numer portu, adres IP i typ protokołu.

W tym artykule dowiesz się, jakie narzędzia masz pod ręką, aby zidentyfikować i ocenić otwarte porty w systemie Windows, aby ostatecznie podjąć decyzję, czy pozostawić je otwarte, czy zamknąć na dobre.

Programy i narzędzia, których będziemy używać:

  • CurrPorts: dostępny dla 32-bitowych i 64-bitowych wersji systemu Windows. Jest to monitor portów, który wyświetla wszystkie otwarte porty w systemie komputerowym. Użyjemy go do zidentyfikowania portów i programów, które ich używają.
  • Menedżer zadań Windows: służy również do identyfikacji programów i łączenia niektórych portów z programami.
  • Wyszukiwarka: Wyszukiwanie informacji o portach jest konieczne w przypadku niektórych portów, których nie można łatwo zidentyfikować.

Przejście przez wszystkie otwarte porty byłoby niemożliwe, dlatego wykorzystamy kilka przykładów, abyś zrozumiał, jak sprawdzić otwarte porty i dowiedzieć się, czy są one wymagane, czy nie.

Odpal CurrPorts i spójrz na zaludniony główny obszar.

Program wyświetla między innymi nazwę i identyfikator procesu, port lokalny, protokół i nazwę portu lokalnego.

Najłatwiejsze do zidentyfikowania porty to te, których nazwa procesu odpowiada działającemu programowi, np. RSSOwl.exe, o identyfikatorze procesu 3216 w powyższym przykładzie. Proces jest wyświetlany na lokalnych portach 50847 i 52016. Porty te są zwykle zamykane po zamknięciu programu. Możesz to sprawdzić, kończąc program i odświeżając listę otwartych portów w CurrPorts.

Ważniejsze porty to te, których nie można od razu połączyć z programem, jak porty systemowe pokazane na zrzucie ekranu.

Istnieje kilka sposobów identyfikacji usług i programów powiązanych z tymi portami. Istnieją inne wskaźniki, które możemy wykorzystać do wykrycia usług i aplikacji oprócz nazwy procesu.

Najważniejsze informacje to numer portu, nazwa portu lokalnego i identyfikator procesu.

Dzięki identyfikatorowi procesu możemy spojrzeć w Menedżerze zadań Windows, aby spróbować połączyć go z procesem uruchomionym w systemie. Aby to zrobić, musisz uruchomić menedżera zadań (naciśnij Ctrl Shift Esc).

Kliknij Widok, Wybierz kolumny i włącz wyświetlanie PID (Identyfikator procesu). Jest to identyfikator procesu, który jest również wyświetlany w CurrPorts.

Uwaga : Jeśli korzystasz z systemu Windows 10, przejdź do karty Szczegóły, aby od razu wyświetlić informacje.

Teraz możemy połączyć identyfikatory procesów w Currports z uruchomionymi procesami w Menedżerze zadań Windows.

Rzućmy okiem na kilka przykładów:

ICSLAP, port TCP 2869

Tutaj mamy port, którego nie możemy natychmiast zidentyfikować. Nazwa lokalnego portu to icslap, numer portu to 2869, używa protokołu TCP, ma identyfikator procesu 4 i nazwę procesu „system”.

Zazwyczaj dobrym pomysłem jest wyszukanie najpierw nazwy lokalnego portu, jeśli nie można go od razu zidentyfikować. Uruchom Google i wyszukaj icslap port 2869 lub coś podobnego.

Często istnieje kilka sugestii lub możliwości. W przypadku Icslap są to Udostępnianie połączenia internetowego, Zapora systemu Windows lub Udostępnianie sieci lokalnej. Kilka badań wymagało ustalenia, czy w tym przypadku była używana przez usługę udostępniania sieci Windows Media Player.

Dobrym rozwiązaniem, aby dowiedzieć się, czy rzeczywiście tak jest, jest zatrzymanie usługi, jeśli jest uruchomiona, i odświeżenie listy portów, aby sprawdzić, czy port już się nie pojawia. W takim przypadku został zamknięty po zatrzymaniu usługi udostępniania sieci Windows Media Player.

epmap, port TCP 135

Badania pokazują, że jest on powiązany z programem uruchamiającym proces serwera dcom. Badania pokazują również, że wyłączenie usługi nie jest dobrym pomysłem. Możliwe jest jednak zablokowanie portu w zaporze ogniowej zamiast całkowitego jego zamknięcia.

llmnr, port UDP 5355

Jeśli spojrzysz na Currports, zauważysz, że nazwa lokalnego portu llmnr używa portu UDP 5355. Biblioteka PC zawiera informacje o usłudze. Odnosi się to do protokołu rozpoznawania nazw lokalnych łączy multiemisji, który jest powiązany z usługą DNS. Użytkownicy systemu Windows, którzy nie potrzebują usługi DNS, mogą ją wyłączyć w Menedżerze usług. To zamyka porty przed otwarciem w systemie komputerowym.

Podsumować

Proces rozpoczyna się od uruchomienia bezpłatnego przenośnego programu CurrPorts. Podświetla wszystkie otwarte porty w systemie. Dobrą praktyką jest zamknięcie wszystkich programów, które są otwarte przed uruchomieniem CurrPorts, aby ograniczyć liczbę otwartych portów do procesów Windows i aplikacji działających w tle.

Możesz od razu połączyć niektóre porty z procesami, ale w celu ich zidentyfikowania musisz sprawdzić identyfikator procesu wyświetlany przez CurrPorts w Menedżerze zadań Windows lub aplikacji innej firmy, takiej jak Process Explorer.

Po zakończeniu możesz sprawdzić nazwę procesu, aby dowiedzieć się, czy go potrzebujesz, i czy można go zamknąć, jeśli go nie potrzebujesz.

Wniosek

Nie zawsze łatwo jest zidentyfikować porty oraz usługi lub aplikacje, z którymi są połączone. Badania nad wyszukiwarkami zwykle dostarczają wystarczających informacji, aby dowiedzieć się, która usługa jest odpowiedzialna, oraz sposoby jej wyłączenia, jeśli nie są potrzebne.

Dobrym pierwszym podejściem przed rozpoczęciem poszukiwania portów byłoby przyjrzenie się wszystkim uruchomionym usługom w Menedżerze usług oraz zatrzymanie i wyłączenie tych, które są niezbędne dla systemu. Dobrym punktem wyjścia do ich oceny jest strona konfiguracji usług na stronie BlackViper.