A szabványos Windows operációs rendszer telepítésekor számos port nyitva van a telepítés után. Néhány port szükséges a rendszer megfelelő működéséhez, míg másokat speciális programok vagy funkciók használhatják, amelyeket csak néhány felhasználó igényelhet.
Ezek a portok biztonsági kockázatot jelentenek, mivel a támadók a rendszer minden nyitott portját belépési pontként használhatják. Ha erre a portra nincs szükség a funkcionalitáshoz, akkor javasoljuk, hogy zárja be a megcélozó támadások blokkolására.
A port alapvetõen lehetõvé teszi a kommunikációt a készülékkel vagy a készülékkel. Jellemzői: portszám, IP cím és protokoll típusa.
Ez a cikk a rendelkezésre álló eszközöket kínálja a Windows rendszer nyitott portjainak azonosításához és értékeléséhez, hogy végül döntést hozzon arról, hogy nyitva tartja-e őket, vagy jó értelemben bezárja-e őket.
Szoftverprogramok és eszközök, amelyeket használunk:
- CurrPorts: A Windows 32 és 64 bites kiadásaihoz elérhető. Ez egy portmonitor, amely megjeleníti a számítógépes rendszer összes nyitott portját. A portok és az azokat használó programok azonosítására használjuk.
- Windows Feladatkezelő: A programok azonosítására és egyes portok összekapcsolására is használható.
- Keresőmotor: A portinformációk keresése szükséges egyes olyan portok esetében, amelyeket nem könnyű azonosítani.
Lehetetlen feladat lenne átmenni az összes nyitott porton, ezért használunk néhány példát, hogy megértsük, hogyan kell ellenőrizni a nyitott portokat, és megtudhatjuk, szükség van-e ezekre.
Indítsuk el a CurrPorts programot, és vessünk egy pillantást a lakott fő területre.
A program többek között megjeleníti a folyamat nevét és azonosítóját, a helyi portot, a protokollt és a helyi port nevét.
A legegyszerűbben azonosítható portok olyan processzornévvel rendelkeznek, amely egy futó programnak felel meg, mint például az RSSOwl.exe, a fenti példában szereplő 3216 folyamat azonosítóval. A folyamat felsorolásra kerül az 50847 és az 52016 helyi portokon. Ezeket a portokat rendszerint bezárják a program bezárásakor. Ezt ellenőrizheti egy program leállításával és a CurrPorts nyitott portjainak frissítésével.
A fontosabb portok azok, amelyeket nem lehet azonnal összekapcsolni egy programmal, mint például a képernyőképen látható rendszerportok.
Az említett portokhoz kapcsolódó szolgáltatások és programok azonosítására van néhány módszer. Vannak más mutatók is, amelyek segítségével fel tudjuk fedezni a szolgáltatásokat és alkalmazásokat a folyamat neve mellett.
A legfontosabb információk a port száma, a helyi port neve és a folyamat azonosítója.
A folyamat azonosítójával átnézhetjük a Windows Feladatkezelőt, hogy megpróbáljuk összekapcsolni a rendszeren futó folyamattal. Ehhez el kell indítania a feladatkezelőt (nyomja meg a Ctrl Shift Esc billentyűt).
Kattintson a Nézet elemre, válassza az Oszlopok elemet, és engedélyezze a PID (Process Identifier) megjelenítését. Ez a folyamat-azonosító, amely a CurrPorts-ban is megjelenik.
Megjegyzés : Ha Windows 10 rendszert használ, váltson a Részletek fülre, hogy azonnal megjelenítse az információkat.
Most összekapcsolhatjuk a Currports folyamatazonosítóit a Windows Feladatkezelőben futó folyamatokkal.
Vessen egy pillantást néhány példára:
ICSLAP, TCP 2869-es port
Itt van egy kikötőnk, amelyet nem tudunk azonnal azonosítani. A helyi port neve icslap, a portszáma 2869, TCP protokollt használ, 4. folyamatazonosítóval és „rendszer” folyamatnévvel rendelkezik.
Általában jó ötlet először a helyi portnevet keresni, ha azt nem lehet azonnal azonosítani. Tűzje fel a Google-t, és keressen az icslap 2869-es portra vagy valami hasonlóra.
Gyakran számos javaslat vagy lehetőség van. Az Icslap esetében ezek Internetkapcsolat megosztása, Windows tűzfal vagy Helyi hálózat megosztása. Néhány kutatást igényelt annak kiderítése, hogy ebben az esetben a Windows Media Player hálózati megosztási szolgáltatása használja.
Jó lehetőség annak kiderítésére, hogy valóban ez a helyzet - leállítani a szolgáltatást, ha fut, és frissíteni a portok listáját, hogy megtudja, nem jelenik meg a port. Ebben az esetben a Windows Media Player hálózati megosztási szolgáltatás leállítása után bezárták.
epmap, TCP port 135
A kutatások azt mutatják, hogy kapcsolódik a dcom szerver folyamatindítójához. A kutatások azt is mutatják, hogy nem jó ötlet letiltani a szolgáltatást. Lehetséges azonban a tűzfalban lévő port blokkolása a teljes bezárás helyett.
llmnr, UDP port 5355
Ha a Currports programot nézi, akkor észreveszi, hogy az llmnr helyi port neve az UDP 5355 portot használja. A PC-könyvtár információkat tartalmaz a szolgáltatásról. Ez hivatkozik a Link Local Multicast Name Resolution protokollra, amely a DNS-szolgáltatáshoz kapcsolódik. A Windows-felhasználók, akiknek nincs szükségük a DNS-szolgáltatásra, letilthatják azt a Szolgáltatások kezelőben. Ez bezárja a portok nyitottságát a számítógépes rendszeren.
Újrafutóz
A folyamatot az ingyenes hordozható CurrPorts program futtatásával indíthatja el. Kiemelte a rendszer összes nyitott portját. Jó gyakorlat az, hogy bezárja az összes nyitott programot, mielőtt futtatná a CurrPorts programot, hogy korlátozza a nyitott portok számát a Windows folyamatokhoz és a háttér alkalmazásokhoz.
Egyes portokat azonnal összekapcsolhat a folyamatokkal, de meg kell keresnie a CurrPorts által a Windows Feladatkezelőben vagy egy harmadik féltől származó alkalmazás, például a Process Explorer által megjelenített folyamat-azonosítót annak azonosításához.
Ha elkészült, megvizsgálhatja a folyamat nevét, hogy megtudja, szükség van rá, és lehetséges-e bezárni, ha nincs rá szüksége.
Következtetés
A portokat és a hozzájuk kapcsolódó szolgáltatásokat vagy alkalmazásokat nem mindig könnyű azonosítani. A keresőmotorokon végzett kutatások általában elegendő információval szolgálnak annak megállapításához, hogy melyik szolgáltatás felelős annak letiltásával, ha nincs rá szükség.
A portok vadászatának megkezdése előtt az első jó megközelítés az, ha alaposan megvizsgálja az összes elindított szolgáltatást a Szolgáltatáskezelőben, és állítsa le és tiltja le azokat, amelyek a rendszerhez szükségesek. Jó kiindulási pont ezek értékeléséhez a BlackViper webhely szolgáltatáskonfigurációs oldala.
