Стандартна установка операційної системи Windows має ряд портів, відкритих відразу після встановлення. Деякі порти потрібні для належної роботи системи, а інші можуть використовуватися певними програмами або функціями, які можуть вимагати лише деякі користувачі.
Ці порти можуть становити загрозу безпеці, оскільки зловмисники можуть використовувати кожен відкритий порт у системі як вхідний пункт. Якщо цей порт не потрібен для функціональності, рекомендується закрити його, щоб заблокувати будь-які атаки, націлені на нього.
Порт дозволяє в основному спілкуватися з пристроєм або з нього. Характеристики цього номера - номер порту, IP-адреса та тип протоколу.
Ця стаття надасть вам підручні інструменти для визначення та оцінки відкритих портів у вашій системі Windows для прийняття рішення, врешті-решт, чи залишати їх відкритими або закривати їх назавжди.
Програмні програми та інструменти, якими ми будемо користуватися:
- CurrPorts: доступний для 32-бітних та 64-бітних версій Windows. Це монітор портів, який відображає всі відкриті порти комп'ютерної системи. Ми будемо використовувати його для ідентифікації портів та програм, які їх використовують.
- Менеджер завдань Windows: також використовується для ідентифікації програм та підключення деяких портів до програм.
- Пошукова система: пошук інформації про порт потрібен для деяких портів, які неможливо легко ідентифікувати.
Буде неможливим завданням пройти через усі відкриті порти, тому ми використаємо кілька прикладів, щоб ви зрозуміли, як перевірити наявність відкритих портів і з’ясувати, потрібні вони чи ні.
Запустіть CurrPorts і подивіться на населений пункт.
Програма відображає назву та ідентифікатор процесу, локальний порт, протокол та ім'я локального порту серед інших.
Найпростіші порти для ідентифікації - це такі, які мають ім'я процесу, яке відповідає запущеній програмі типу RSSOwl.exe з ідентифікатором процесу 3216 у наведеному вище прикладі. Процес реєструється на локальних портах 50847 та 52016. Ці порти зазвичай закриваються, коли програма закривається. Ви можете переконатись у цьому, припинивши програму та оновивши список відкритих портів у CurrPorts.
Більш важливі порти - це ті, які неможливо відразу зв’язати з програмою, як системні порти, показані на скріншоті.
Існує кілька способів визначити послуги та програми, пов'язані з цими портами. Є й інші показники, які ми можемо використовувати для пошуку служб та додатків, окрім назви процесу.
Найважливіша інформація - номер порту, ім’я локального порту та ідентифікатор процесу.
Ідентифікуючи процес, ми можемо заглянути в диспетчер завдань Windows, щоб спробувати пов’язати його з процесом, що працює в системі. Для цього вам потрібно запустити диспетчер завдань (натисніть Ctrl Shift Esc).
Клацніть на Перегляд, Виберіть стовпці та увімкніть показ PID (ідентифікатор процесу). Це ідентифікатор процесу, який також показаний у CurrPorts.
Примітка . Якщо ви використовуєте Windows 10, перейдіть на вкладку "Деталі", щоб відразу відобразити інформацію.
Тепер ми можемо пов’язати ідентифікатори процесів у Currports з запущеними процесами в Менеджері завдань Windows.
Давайте розглянемо кілька прикладів:
ICSLAP, порт TCP 2869
Тут у нас є порт, який ми не можемо виявити негайно. Ім'я локального порту - icslap, номер порту - 2869, він використовує протокол TCP, має ідентифікатор процесу 4 та ім'я процесу "система".
Зазвичай корисно спершу шукати ім'я локального порту, якщо його не вдається ідентифікувати відразу. Запустіть Google і знайдіть порт icslap 2869 чи щось подібне.
Часто є кілька пропозицій чи можливостей. Для Icslap це спільний доступ до Інтернету, брандмауер Windows або обмін локальною мережею. Знадобилося кілька досліджень, щоб з’ясувати, що в даному випадку його використовувала служба обміну мережевими програвачами Windows Media.
Хороший варіант дізнатися, чи справді це так - зупинити послугу, якщо вона запущена, і оновити список портів, щоб побачити, чи не з’являється порт більше. У цьому випадку він був закритий після припинення служби Медіа-плеєр Windows Media Player.
epmap, порт TCP 135
Дослідження показують, що він пов'язаний із запуском процесів на сервері dcom. Дослідження також показують, що відключити послугу не годиться. Однак можливо заблокувати порт у брандмауері, а не закривати його повністю.
llmnr, порт UDP 5355
Якщо ви заглянете в Currports, ви помітите, що ім'я локального порту llmnr використовує порт UDP 5355. Бібліотека ПК містить інформацію про сервіс. Він посилається на протокол роздільної здатності локального імені багатоадресної зв'язку, який пов'язаний із службою DNS. Користувачі Windows, яким не потрібна послуга DNS, можуть відключити її в диспетчері сервісів. Це закриває порти від відкритості в комп'ютерній системі.
Резюме
Ви запускаєте процес, запустивши безкоштовну портативну програму CurrPorts. Він виділяє всі відкриті порти системи. Доброю практикою є закриття всіх відкритих програм перед запуском CurrPorts для обмеження кількості відкритих портів для процесів Windows та фонових програм.
Ви можете зв’язати деякі порти з процесами відразу, але потрібно знайти ідентифікатор процесу, відображений CurrPorts в Менеджері завдань Windows, або сторонній додаток, як Process Explorer, інакше для його ідентифікації.
Закінчивши, ви можете дослідити ім'я процесу, щоб дізнатись, чи потрібно воно вам, і чи можна його закрити, якщо цього не потрібно.
Висновок
Ідентифікувати порти та служби чи програми, до яких вони пов’язані, не завжди легко. Дослідження пошукових систем зазвичай надають достатньо інформації, щоб з’ясувати, яка служба відповідає за способи її відключення, якщо вона не потрібна.
Хорошим першим підходом до початку пошуку портів було б уважно ознайомитись із усіма запущеними службами в диспетчері сервісів і зупинити та відключити ті, які необхідні системі. Гарною відправною точкою для їх оцінки є сторінка конфігурації послуг на веб-сайті BlackViper.
