Tavallisessa Windows-käyttöjärjestelmän asennuksessa on useita portteja auki heti asennuksen jälkeen. Joitakin portteja tarvitaan järjestelmän moitteettomaan toimintaan, kun taas toisia voidaan käyttää erityisillä ohjelmilla tai ominaisuuksilla, joita vain jotkut käyttäjät voivat tarvita.
Nämä portit voivat aiheuttaa turvallisuusriskin, koska hyökkääjät voivat käyttää järjestelmän kaikkia avoimia portteja tulopaikana. Jos tätä porttia ei tarvita toiminnallisuuteen, on suositeltavaa sulkea se estääksesi kaikki siihen kohdistuvat hyökkäykset.
Portti mahdollistaa tiedonsiirron laitteeseen tai laitteesta periaatteessa. Sille on ominaista porttinumero, IP-osoite ja protokollatyyppi.
Tämä artikkeli antaa sinulle käsillä olevat työkalut Windows-järjestelmän avoimien porttien tunnistamiseksi ja arvioimiseksi, jotta päätetään lopulta pitääkö ne auki vai suljetaanko ne hyväksi.
Ohjelmaohjelmat ja työkalut, joita käytämme:
- CurrPorts: Saatavana Windowsin 32- ja 64-bittisiin versioihin. Se on porttinäyttö, joka näyttää kaikki avoimet portit tietokonejärjestelmässä. Käytämme sitä tunnistaaksesi portit ja niitä käyttävät ohjelmat.
- Windows Task Manager: Käytetään myös ohjelmien tunnistamiseen ja joidenkin porttien linkittämiseen ohjelmiin.
- Hakukone: Porttien tietojen etsiminen on välttämätöntä joillekin porteille, joita ei voida tunnistaa niin helposti.
Olisi mahdotonta suorittaa käynti kaikista avoimista satamista. Käytämme siksi muutamia esimerkkejä, jotta ymmärrät kuinka tarkistaa avoimet satamat ja selvittää tarvitaanko niitä.
Käynnistä CurrPorts ja katsele asuttua pääaluetta.
Ohjelma näyttää muun muassa prosessin nimen ja tunnuksen, paikallisen portin, protokollan ja paikallisen portin nimen.
Helpoimmat tunnistettavat portit ovat ne, joiden prosessinimi vastaa käynnissä olevaa ohjelmaa, kuten RSSOwl.exe, prosessitunnuksella 3216 yllä olevassa esimerkissä. Prosessi on listaus paikallisissa porteissa 50847 ja 52016. Nämä portit suljetaan yleensä ohjelman sulkeutuessa. Voit tarkistaa sen lopettamalla ohjelman ja päivittämällä CurrPorts-sovelluksen avointen porttien luettelon.
Tärkeämpiä portteja ovat ne, joita ei voida linkittää ohjelmaan heti, kuten kuvakaappauksessa näkyvät järjestelmäportit.
Näihin satamiin linkitetyt palvelut ja ohjelmat voidaan tunnistaa muutamalla tapaa. Prosessinimen lisäksi on muita indikaattoreita, joiden avulla voimme löytää palveluita ja sovelluksia.
Tärkeimmät tiedot ovat portin numero, paikallisen portin nimi ja prosessin tunnus.
Prosessitunnuksella voimme katsoa Windowsin Tehtävienhallintaa yrittääksesi linkittää sen järjestelmässä käynnissä olevaan prosessiin. Sinun on käynnistettävä tehtävähallinta (paina Ctrl Shift Esc).
Napsauta Näytä, Valitse sarakkeet ja ota PID (Process Identifier) näkyviin. Se on prosessitunnus, joka näkyy myös CurrPorts-ohjelmassa.
Huomaa : Jos käytät Windows 10: tä, siirry Tiedot-välilehteen näyttääksesi tiedot heti.
Nyt voimme linkittää Currportsin prosessitunnukset käynnissä oleviin prosesseihin Windowsin Tehtävienhallinnassa.
Katsotaanpa joitain esimerkkejä:
ICSLAP, TCP-portti 2869
Täällä meillä on satama, jota emme voi tunnistaa välittömästi. Paikallisen portin nimi on icslap, portin numero on 2869, se käyttää TCP-protokollaa, sillä on prosessin tunnus 4 ja prosessinimi "järjestelmä".
On yleensä hyvä idea etsiä ensin paikallinen porttinimi, jos sitä ei voida tunnistaa heti. Aktivoi Google ja etsi icslap-portti 2869 tai jotain vastaavaa.
Usein on useita ehdotuksia tai mahdollisuuksia. Icslapille ne ovat Internet-yhteyden jakaminen, Windowsin palomuuri tai paikallisverkon jakaminen. Kesti jonkin verran tutkimusta selvittääkseen, että tässä tapauksessa Windows Media Player Network Sharing Service käytti sitä.
Hyvä vaihtoehto selvittää, onko näin todella, on lopettaa palvelu, jos se on käynnissä, ja päivittää porttiluettelo nähdäksesi, näkyykö portti enää. Tässä tapauksessa se suljettiin Windows Media Player -verkon jakamispalvelun lopettamisen jälkeen.
epmap, TCP-portti 135
Tutkimukset osoittavat, että se on linkitetty dcom-palvelinprosessin käynnistysohjelmaan. Tutkimukset osoittavat myös, että palvelun poistaminen käytöstä ei ole hyvä idea. Palomuurissa oleva portti on kuitenkin mahdollista estää sen sulkemisen sijaan.
lmnr, UDP-portti 5355
Jos tarkastelet Currports-tietokantaa, huomaa, että paikallisen portin nimi llmnr käyttää UDP-porttia 5355. PC-kirjastossa on tietoja palvelusta. Se viittaa Link Local Multicast Name Resolution -protokollaan, joka liittyy DNS-palveluun. Windows-käyttäjät, jotka eivät tarvitse DNS-palvelua, voivat poistaa sen käytöstä Palveluhallinnassa. Tämä sulkee portit olematta avoinna tietokonejärjestelmässä.
Kertaus
Voit aloittaa prosessin suorittamalla ilmaisen kannettavan CurrPorts -ohjelman. Se tuo esiin kaikki järjestelmän avoimet portit. Hyvä käytäntö on sulkea kaikki avoimet ohjelmat ennen kuin suoritat CurrPorts-ohjelmaa rajoittaaksesi Windows-prosessien ja taustasovellusten avointen porttien määrää.
Voit linkittää joitain portteja prosesseihin heti, mutta sinun on etsittävä prosessitunnus, jonka CurrPorts näyttää Windowsin Task Manager -sovelluksessa tai muun valmistajan sovelluksessa, kuten Process Explorer, muuten tunnistaaksesi sen.
Kun olet valmis, voit tutkia prosessin nimeä saadaksesi selville, tarvitsetko sitä ja onko mahdollista sulkea se, jos et tarvitse sitä.
johtopäätös
Satamien ja palvelujen tai sovellusten, joihin ne on linkitetty, tunnistaminen ei ole aina helppoa. Hakukoneiden tutkimus tarjoaa yleensä tarpeeksi tietoa selvittääkseen mikä palvelu on vastuussa keinoista poistaa se käytöstä, jos sitä ei tarvita.
Hyvä ensimmäinen lähestymistapa ennen porttien metsästyksen aloittamista olisi tarkastella tarkkaan kaikkia palveluhallinnassa käynnistettyjä palveluita ja pysäyttää ja poistaa käytöstä järjestelmään tarvittavat palvelut. Hyvä lähtökohta näiden arvioimiseksi on BlackViper-verkkosivuston palveluasetussivu.
