Стандардна инсталација оперативног система Виндовс има велики број портова отворених одмах након инсталације. Неки су портови потребни да би систем правилно функционисао, док би други могли да се користе одређени програми или функције које могу захтијевати само неки корисници.
Ови портови могу представљати безбедносни ризик јер нападачи могу сваки отворени порт у систему користити као улазну тачку. Ако тај порт није потребан за функционалност, препоручује се да га затворите како би блокирали нападе који га циљају.
Лука у основи омогућава комуникацију са или са уређаја. Карактеристике су број порта, ИП адреса и врста протокола.
Овај чланак ће вам пружити алатке за препознавање и процену отворених портова на вашем Виндовс систему како бисте на крају донели одлуке да ли ћете их држати отворенима или их затворити заувек.
Софтверски програми и алати које ћемо користити:
- ЦуррПортс: Доступно за 32-битна и 64-битна издања оперативног система Виндовс. Ради се о монитору портова који приказује све отворене портове на рачунарском систему. Користићемо га за идентификацију портова и програма који их користе.
- Виндовс Таск Манагер: Користи се и за идентификацију програма и повезивање неких портова са програмима.
- Сеарцх енгине: Тражење података о портовима је неопходно за неке портове који се не могу тако лако препознати.
Био би немогућ задатак проћи кроз све отворене портове, зато ћемо користити неколико примера тако да разумете како да проверите да ли постоје отворени портови и да ли су потребни или не.
Запалите ЦуррПортс и погледајте главни насељени крај.
Програм приказује назив и ИД процеса, локални порт, протокол и име локалног порта.
Најлакши портови за идентификацију су они који имају назив процеса који одговара текућем програму као што је РССОвл.еке са ИД-ом процеса 3216 у горњем примеру. Процес је наведен у локалним портовима 50847 и 52016. Ти се портови обично затварају када се програм затвори. То можете да потврдите прекидом програма и освежавањем листе отворених портова у ЦуррПортсу.
Важнији портови су они који се не могу одмах повезати с програмом, попут системских портова приказаних на екрану.
Постоји неколико начина за препознавање услуга и програма повезаних са тим портовима. Постоје и други индикатори које можемо користити за откривање услуга и апликација поред назива процеса.
Најважније информације су број порта, назив локалног порта и ИД процеса.
Помоћу ИД-а процеса потражимо Виндовс управитеља задатака да бисмо га покушали повезати са процесом који ради у систему. Да бисте то учинили, морате да покренете управитељ задатака (притисните Цтрл Схифт Есц).
Кликните на Прикажи, Изаберите ступце и омогућите да се прикаже ПИД (процесни идентификатор). То је ИД процеса који је такође приказан у ЦуррПортс.
Напомена : Ако користите Виндовс 10, пребаците се на картицу Детаљи да бисте одмах приказали информације.
Сада можемо да повежемо ИД-ове процеса у Цуррпортс-у са покретањем процеса у Виндовс Таск Манагер-у.
Погледајмо неколико примера:
ИЦСЛАП, ТЦП Порт 2869
Овде имамо порт који не можемо одмах да идентификујемо. Назив локалног порта је ицслап, број порта је 2869, користи ТЦП протокол, има ИД процеса 4 и назив процеса "систем".
Обично је добра идеја да прво потражите име локалног порта ако га не можете одмах идентификовати. Упалите Гоогле и потражите ицслап порт 2869 или нешто слично.
Често постоји неколико предлога или могућности. За Ицслап су дељење Интернет везе, заштитни зид Виндовс или дељење локалне мреже. Било је потребно неко истраживање да би се утврдило да га је у овом случају користила услуга Виндовс Медиа Плаиер Нетворк Схаринг.
Добра опција да сазнате да ли је то заиста случај је да зауставите услугу ако се покреће и освежите листу улаза да бисте видели да ли се порт више не појављује. У овом случају је затворен након што је зауставио Виндовс Медиа Плаиер Нетворк Схаринг Сервице.
епмап, ТЦП порт 135
Истраживања показују да је он повезан са покретачем процеса за дцом сервер. Истраживање такође показује да није добра идеја да се услуга онемогући. Међутим, могуће је блокирати порт у фиревалл-у уместо да га потпуно затворите.
ллмнр, УДП порт 5355
Ако погледате у Цуррпортс, приметите да назив локалног порта ллмнр користи УДП порт 5355. ПЦ књижница има информације о услузи. Он се односи на линк Лоцал Лоцал Мултицаст Ресолутион Протоцол који је повезан са ДНС услугом. Корисници Виндовса којима не треба ДНС услуга могу да га онемогуће у Сервицес Манагер-у. Ово затвара портове који нису отворени на рачунарском систему.
Рекап
Почињете процес покретањем бесплатног преносивог програма ЦуррПортс. Означава све отворене портове у систему. Добра пракса је да затворите све отворене програме пре него што покренете ЦуррПортс како бисте ограничили број отворених портова на Виндовс процесе и позадинске апликације.
Неке портове можете повезати са процесима одмах, али требате потражити ИД процеса који је ЦуррПортс приказао у Виндовс Таск Манагер-у или у апликацији треће стране као што је Процесс Екплорер у супротном да бисте је идентификовали.
Када завршите, можете истражити назив процеса да бисте сазнали да ли вам треба и да ли је могуће да га затворите ако га не тражите.
Закључак
Није увијек лако идентифицирати портове и услуге или апликације с којима су повезани. Истраживање на претраживачима обично пружа довољно информација да откријете који је сервис одговоран са начинима да се онемогући ако му нису потребне.
Добар први приступ пре почетка претраживања портова био би помно сагледати све започете услуге у Управитељу услуга и зауставити и онемогућити оне који су неопходни за систем. Добра полазишна тачка за њихово оцењивање је страница о конфигурацији услуга на веб локацији БлацкВипер.
