En standard Windows-operativsysteminstallation har et antal porte åbne lige efter installationen. Nogle af portene er nødvendige for at systemet skal fungere korrekt, mens andre kan bruges af specifikke programmer eller funktioner, som kun nogle brugere muligvis har brug for.
Disse porte kan udgøre en sikkerhedsrisiko, da hver åben port på et system kan bruges som et indgangspunkt af angribere. Hvis den port ikke er nødvendig for funktionalitet, anbefales det at lukke den for at blokere eventuelle angreb, der er målrettet mod den.
En port tillader grundlæggende kommunikation til eller fra enheden. Karakteristika ved det er et portnummer, en IP-adresse og en protokolletype.
Denne artikel giver dig de værktøjer, der er til rådighed til at identificere og evaluere de åbne porte på dit Windows-system for at træffe beslutninger til sidst, om du vil holde dem åbne eller lukke dem for godt.
Softwareprogrammer og værktøjer, som vi vil bruge:
- CurrPorts: Tilgængelig til 32-bit og 64-bit udgaver af Windows. Det er en portmonitor, der viser alle åbne porte på et computersystem. Vi vil bruge det til at identificere porte og programmer, der bruger dem.
- Windows Task Manager: bruges også til at identificere programmerne og knytte nogle porte til programmer.
- Søgemaskine: Det er nødvendigt at søge efter havneoplysninger for nogle porte, der ikke let kan identificeres.
Det ville være en umulig opgave at gå igennem alle de porte, der er åbne, vi vil derfor bruge et par eksempler, så du forstår, hvordan du kontrollerer for åbne porte og finder ud af, om de er påkrævet eller ej.
Afbryd CurrPorts og kig på det befolkede hovedområde.
Programmet viser procesnavn og ID, lokal port, protokol og lokalt portnavn blandt andre.
De nemmeste porte til at identificere er dem med et procesnavn, der svarer til et kørende program som RSSOwl.exe med proces-ID 3216 i ovenstående eksempel. Processen vises på de lokale havne 50847 og 52016. Disse porte lukkes normalt, når programmet lukker. Du kan bekræfte det ved at afslutte et program og opdatere listen over åbne porte i CurrPorts.
De vigtigere porte er dem, der ikke kan knyttes til et program med det samme som System-porte vist på skærmbilledet.
Der er nogle få måder at identificere de tjenester og programmer, der er knyttet til disse havne. Der er andre indikatorer, som vi kan bruge til at finde tjenester og applikationer udover procesnavnet.
Den vigtigste information er portnummeret, det lokale portnavn og proces-id'et.
Med proces-id kan vi kigge i Windows Task Manager for at forsøge at linke det til en proces, der kører på systemet. For at gøre det skal du starte task manager (tryk på Ctrl Shift Esc).
Klik på Vis, vælg kolonner og aktiver PID (Process Identifier), der skal vises. Det er den proces-id, der også vises i CurrPorts.
Bemærk : Hvis du bruger Windows 10, skal du skifte til fanen Detaljer for at få vist oplysningerne med det samme.
Nu kan vi linke proces-id'er i Currports til kørende processer i Windows Task Manager.
Lad os se på nogle eksempler:
ICSLAP, TCP Port 2869
Her har vi en port, som vi ikke umiddelbart kan identificere. Det lokale portnavn er icslap, portnummeret er 2869, det bruger TCP-protokollen, det har proces-ID 4 og procesnavnet "system".
Det er normalt en god ide at søge efter det lokale portnavn først, hvis det ikke med det samme kan identificeres. Afbryd Google og søg efter icslap-port 2869 eller noget lignende.
Der er ofte flere forslag eller muligheder. For Icslap er de deling af internetforbindelse, Windows Firewall eller lokal netværksdeling. Det tog nogle undersøgelser for at finde ud af, at det i dette tilfælde blev brugt af Windows Media Player Network Sharing Service.
En god mulighed for at finde ud af, om dette virkelig er tilfældet, er at stoppe tjenesten, hvis den kører, og opdatere portlisten for at se, om porten ikke vises mere. I dette tilfælde blev det lukket efter at have stoppet Windows Media Player Network Sharing Service.
epmap, TCP-port 135
Undersøgelser viser, at det er knyttet til dcom-serverprocesstarteren. Forskning viser også, at det ikke er en god ide at deaktivere tjenesten. Det er dog muligt at blokere porten i firewall i stedet for at lukke den helt.
llmnr, UDP-port 5355
Hvis du ser i Currports, er din meddelelse om, at det lokale havnnavn llmnr bruger UDP-port 5355. PC-bibliotek har oplysninger om tjenesten. Det henviser til Link Local Multicast Name Resolution-protokollen, der er relateret til DNS-tjenesten. Windows-brugere, der ikke har brug for DNS-tjenesten, kan deaktivere den i Services Manager. Dette lukker portene fra at være åbne på computersystemet.
Sæt hætten
Du starter processen ved at køre det gratis bærbare program CurrPorts. Det fremhæver alle åbne porte på systemet. En god praksis er at lukke alle programmer, der er åbne, før du kører CurrPorts for at begrænse antallet af åbne porte til Windows-processer og baggrundsprogrammer.
Du kan linke nogle porte til processer med det samme, men du er nødt til at slå op på det proces-id, der vises af CurrPorts i Windows Task Manager eller et tredjepartsprogram, f.eks. Process Explorer, for at identificere det.
Når det er gjort, kan du undersøge procesnavnet for at finde ud af, om du har brug for det, og om det er muligt at lukke det, hvis du ikke har brug for det.
Konklusion
Det er ikke altid nemt at identificere porte og de tjenester eller applikationer, de er knyttet til. Forskning i søgemaskiner giver normalt tilstrækkelig information til at finde ud af, hvilken service der er ansvarlig med måder til at deaktivere den, hvis den ikke er nødvendig.
En god første tilgang, før du begynder at jage havne, ville være at se nærmere på alle startede tjenester i Services Manager og stoppe og deaktivere dem, der er nødvendige for systemet. Et godt udgangspunkt for at evaluere disse er tjenestekonfigurationssiden på BlackViper-webstedet.
