Підвищити безпеку Windows, закривши відкриті порти
- Категорія: Windows
Стандартна установка операційної системи Windows має ряд портів, відкритих відразу після встановлення. Деякі порти потрібні для належної роботи системи, а інші можуть використовуватися певними програмами або функціями, які можуть вимагати лише деякі користувачі.
Ці порти можуть становити загрозу безпеці, оскільки зловмисники можуть використовувати кожен відкритий порт у системі як вхідний пункт. Якщо цей порт не потрібен для функціональності, рекомендується закрити його, щоб заблокувати будь-які атаки, націлені на нього.
Порт дозволяє в основному спілкуватися з пристроєм або з нього. Характеристики цього номера - номер порту, IP-адреса та тип протоколу.
Ця стаття надасть вам підручні інструменти для визначення та оцінки відкритих портів у вашій системі Windows для прийняття рішення, врешті-решт, чи залишати їх відкритими або закривати їх назавжди.
Програмні програми та інструменти, якими ми будемо користуватися:
- CurrPorts : Доступно для 32-бітних та 64-бітних версій Windows. Це монітор порту, який відображає всі відкриті порти комп'ютерної системи. Ми будемо використовувати його для ідентифікації портів та програм, які їх використовують.
- Менеджер завдань Windows: також використовується для ідентифікації програм та підключення деяких портів до програм.
- Пошукова система: пошук інформації про порт потрібен для деяких портів, які неможливо легко ідентифікувати.
Неможливо було б пройти всі відкриті порти, тому ми використаємо кілька прикладів, щоб ви зрозуміли, як перевірити наявність відкритих портів і з’ясувати, потрібні вони чи ні.
Запустіть CurrPorts і подивіться на населений пункт.
Програма відображає назву та ідентифікатор процесу, локальний порт, протокол та ім'я локального порту серед інших.
Найпростіші порти для ідентифікації - це такі, які мають ім'я процесу, яке відповідає запущеній програмі на зразок RSSOwl.exe з ідентифікатором процесу 3216 у наведеному вище прикладі. Процес реєструється на локальних портах 50847 та 52016. Ці порти зазвичай закриваються, коли програма закривається. Ви можете переконатись у цьому, припинивши програму та оновивши список відкритих портів у CurrPorts.
Більш важливі порти - це ті, які неможливо відразу пов'язати з програмою, як системні порти, показані на скріншоті.
Існує кілька способів визначити послуги та програми, пов'язані з цими портами. Є й інші показники, які ми можемо використовувати для пошуку служб та додатків, окрім назви процесу.
Найважливіша інформація - номер порту, ім’я локального порту та ідентифікатор процесу.
Ідентифікатор процесу може заглянути в диспетчер завдань Windows, щоб спробувати пов’язати його з процесом, що працює в системі. Для цього вам потрібно запустити диспетчер завдань (натисніть Ctrl Shift Esc).
Клацніть на Перегляд, Виберіть стовпці та увімкніть показ PID (ідентифікатор процесу). Це ідентифікатор процесу, який також показаний у CurrPorts.
Примітка : Якщо ви використовуєте Windows 10, перейдіть на вкладку 'Деталі', щоб відразу відобразити інформацію.
Тепер ми можемо пов’язати ідентифікатори процесів у Currports з запущеними процесами в Менеджері завдань Windows.
Давайте розглянемо кілька прикладів:
ICSLAP, порт TCP 2869
Тут у нас є порт, який ми не можемо виявити негайно. Ім'я локального порту - icslap, номер порту - 2869, він використовує протокол TCP, має ідентифікатор процесу 4 та ім'я процесу 'system'.
Зазвичай корисно спершу шукати ім'я локального порту, якщо його не вдається ідентифікувати відразу. Запустіть Google та знайдіть порт icslap 2869 чи щось подібне.
Часто є кілька пропозицій чи можливостей. Для Icslap це спільний доступ до Інтернету, брандмауер Windows або обмін локальною мережею. Знадобилося кілька досліджень, щоб з’ясувати, що в даному випадку його використовувала служба обміну мережевими програвачами Windows Media.
Хороший варіант дізнатися, чи справді це так, це зупинити послугу, якщо вона запущена, і оновити список портів, щоб побачити, чи порт більше не з’являється. У цьому випадку він був закритий після припинення служби Медіа-плеєр Windows Media Player.
epmap, порт TCP 135
Дослідження показує що він пов'язаний із запуском процесора сервера dcom. Дослідження також показує що не дуже корисно відключити послугу. Однак можливо заблокувати порт у брандмауері, а не закривати його повністю.
llmnr, порт UDP 5355
Якщо ви заглянете в Currports, ви помітите, що ім'я локального порту llmnr використовує порт UDP 5355. Бібліотека ПК має інформацію про послугу. Він посилається на протокол роздільної здатності локальних багатоадресних ліній зв'язку, який пов'язаний із службою DNS. Користувачі Windows, яким не потрібна служба DNS, можуть відключити її в диспетчері сервісів. Це закриває порти від відкритості в комп'ютерній системі.
Резюме
Ви запускаєте процес, запустивши безкоштовну портативну програму CurrPorts. Він виділяє всі відкриті порти системи. Доброю практикою є закриття всіх відкритих програм перед запуском CurrPorts для обмеження кількості відкритих портів для процесів Windows та фонових програм.
Ви можете зв’язати деякі порти з процесами відразу, але потрібно знайти ідентифікатор процесу, відображений CurrPorts в Менеджері завдань Windows, або сторонній додаток, як Process Explorer, інакше для його ідентифікації.
Закінчивши, ви можете дослідити ім'я процесу, щоб дізнатися, чи потрібен він, і чи можна його закрити, якщо цього не потребуєте.
Висновок
Ідентифікувати порти та служби чи програми, до яких вони пов’язані, не завжди легко. Дослідження пошукових систем зазвичай надають достатньо інформації, щоб з’ясувати, яка служба відповідає за способи її відключення, якщо вона не потрібна.
Хорошим першим підходом до початку пошуку портів було б уважно ознайомитись із усіма запущеними службами в диспетчері сервісів і зупинити та відключити ті, які необхідні системі. Гарною відправною точкою для їх оцінки є сторінка конфігурації послуг на сторінці BlackViper веб-сайт.