Стандартная установка операционной системы Windows имеет ряд портов, открытых сразу после установки. Некоторые из портов необходимы для правильной работы системы, в то время как другие могут использоваться конкретными программами или функциями, которые могут потребоваться только некоторым пользователям.
Эти порты могут представлять угрозу безопасности, поскольку каждый открытый порт в системе может использоваться злоумышленниками в качестве точки входа. Если этот порт не нужен для работы, рекомендуется закрыть его, чтобы заблокировать любые атаки, направленные на него.
Порт позволяет в основном общаться с устройством или с него. Его характеристиками являются номер порта, IP-адрес и тип протокола.
Эта статья предоставит вам инструменты для определения и оценки открытых портов в вашей системе Windows, чтобы в конце концов принять решение, оставить ли их открытыми или закрыть их навсегда.
Программы и инструменты, которые мы будем использовать:
- CurrPorts: доступно для 32-разрядных и 64-разрядных версий Windows. Это монитор портов, который отображает все открытые порты в компьютерной системе. Мы будем использовать его для определения портов и программ, которые их используют.
- Диспетчер задач Windows: также используется для идентификации программ и привязки некоторых портов к программам.
- Поисковая система. Поиск информации о портах необходим для некоторых портов, которые не могут быть легко идентифицированы.
Было бы невозможно выполнить все открытые порты, поэтому мы будем использовать несколько примеров, чтобы вы понимали, как проверять наличие открытых портов и выяснять, требуются ли они или нет.
Запустите CurrPorts и посмотрите на населенный пункт.
Программа отображает имя и идентификатор процесса, локальный порт, протокол и имя локального порта среди других.
Проще всего определить порты с именем процесса, которое соответствует работающей программе, такой как RSSOwl.exe, с идентификатором процесса 3216 в приведенном выше примере. Процесс перечисления на локальных портах 50847 и 52016. Эти порты обычно закрываются, когда программа закрывается. Вы можете убедиться в этом, завершив работу программы и обновив список открытых портов в CurrPorts.
Более важные порты - это те, которые не могут быть сразу связаны с программой, как системные порты, показанные на скриншоте.
Есть несколько способов определить службы и программы, связанные с этими портами. Есть и другие индикаторы, которые мы можем использовать для обнаружения сервисов и приложений, кроме имени процесса.
Наиболее важной информацией является номер порта, имя локального порта и идентификатор процесса.
С помощью идентификатора процесса мы можем заглянуть в диспетчер задач Windows, чтобы попытаться связать его с процессом, запущенным в системе. Для этого вам нужно запустить диспетчер задач (нажмите Ctrl Shift Esc).
Нажмите View, Select Columns и включите PID (Идентификатор процесса), который будет показан. Это идентификатор процесса, который также отображается в CurrPorts.
Примечание . Если вы используете Windows 10, сразу перейдите на вкладку «Сведения».
Теперь мы можем связать идентификаторы процессов в Currports с запущенными процессами в диспетчере задач Windows.
Давайте посмотрим на некоторые примеры:
ICSLAP, TCP-порт 2869
Здесь у нас есть порт, который мы не можем определить сразу. Имя локального порта icslap, номер порта 2869, он использует протокол TCP, имеет идентификатор процесса 4 и имя процесса «system».
Обычно рекомендуется сначала найти имя локального порта, если оно не может быть идентифицировано сразу. Запустите Google и найдите порт icslap 2869 или что-то подобное.
Часто есть несколько предложений или возможностей. Для Icslap это общий доступ к подключению к Интернету, брандмауэр Windows или общий доступ к локальной сети. Потребовалось некоторое исследование, чтобы выяснить, что в этом случае он использовался службой общего доступа к проигрывателю Windows Media.
Хороший вариант, чтобы выяснить, действительно ли это так, состоит в том, чтобы остановить службу, если она работает, и обновить список портов, чтобы убедиться, что порт больше не отображается. В этом случае он был закрыт после остановки службы общего доступа к проигрывателю Windows Media.
epmap, TCP-порт 135
Исследования показывают, что он связан с модулем запуска процессов сервера dcom. Исследования также показывают, что отключать службу не очень хорошая идея. Однако можно заблокировать порт в брандмауэре вместо его полного закрытия.
llmnr, UDP-порт 5355
Если вы посмотрите в Currports ваше уведомление, что имя локального порта llmnr использует UDP-порт 5355. В библиотеке ПК есть информация об услуге. Он ссылается на протокол разрешения локальных многоадресных имен каналов, который связан со службой DNS. Пользователи Windows, которым не нужна служба DNS, могут отключить ее в диспетчере служб. Это закрывает порты от открытия в компьютерной системе.
резюмировать
Вы запускаете процесс, запустив бесплатную переносную программу CurrPorts. Он выделяет все открытые порты в системе. Рекомендуется закрыть все программы, которые открыты перед запуском CurrPorts, чтобы ограничить количество открытых портов для процессов Windows и фоновых приложений.
Вы можете сразу связать некоторые порты с процессами, но для их идентификации необходимо найти идентификатор процесса, отображаемый CurrPorts в диспетчере задач Windows или стороннем приложении, например Process Explorer.
После этого вы можете изучить имя процесса, чтобы выяснить, нужно ли вам это, и можно ли его закрыть, если оно вам не нужно.
Заключение
Не всегда легко определить порты и службы или приложения, с которыми они связаны. Исследования поисковых систем обычно предоставляют достаточно информации, чтобы выяснить, какая служба отвечает, и отключить ее, если она не нужна.
Хорошим первым подходом перед началом поиска портов было бы внимательно изучить все запущенные службы в диспетчере служб, а также остановить и отключить те из них, которые необходимы для системы. Хорошей отправной точкой для их оценки является страница конфигурации служб на веб-сайте BlackViper.
