Poboljšajte sigurnost sustava Windows zatvaranjem otvorenih portova

Standardna instalacija operacijskog sustava Windows otvorila je broj portova odmah nakon instalacije. Neki su portovi potrebni za ispravno funkcioniranje sustava, dok se drugi mogu koristiti određenim programima ili značajkama koje mogu zahtijevati samo neki korisnici.

Ti portovi mogu predstavljati sigurnosni rizik jer napadači mogu svaki otvoreni port u sustavu koristiti kao ulaznu točku. Ako taj priključak nije potreban za funkcionalnost, preporučuje se zatvoriti ga kako bi blokirali napade koji ga ciljaju.

Priključak u osnovi omogućuje komunikaciju s uređaja ili s njega. Karakteristike su broj porta, IP adresa i vrsta protokola.

Ovaj će vam članak pružiti alat za prepoznavanje i procjenu otvorenih portova na vašem Windows sustavu za donošenje odluka na kraju hoćete li ih držati otvorenima ili ih zatvoriti zauvijek.

Softverski programi i alati koje ćemo koristiti:

  • CurrPorts: Dostupno za 32-bitna i 64-bitna izdanja sustava Windows. To je monitor luka koji prikazuje sve otvorene portove na računalnom sustavu. Koristit ćemo ga za prepoznavanje portova i programa koji ih koriste.
  • Windows Task Manager: Koristi se i za prepoznavanje programa i povezivanje nekih portova s ​​programima.
  • Tražilica: Traženje podataka o lukama potrebno je za neke portove koji se ne mogu lako prepoznati.

Bio bi nemoguć zadatak proći kroz sve otvorene portove, stoga ćemo upotrijebiti nekoliko primjera tako da razumijete kako provjeriti postoje li otvoreni portovi i traže li ih ili ne.

Zapalite CurrPorts i pogledajte glavni naseljeni kraj.

Program prikazuje naziv i ID procesa, lokalni port, protokol i naziv lokalnog ulaza između ostalog.

Najlakše su portove za identificiranje oni s nazivom procesa koji odgovara pokretanom programu poput RSSOwl.exe s ID-om procesa 3216 u gornjem primjeru. Proces se navodi na lokalne portove 50847 i 52016. Ti se portovi obično zatvaraju kada se program zatvori. To možete provjeriti zaustavljanjem programa i osvježavanjem popisa otvorenih portova u CurrPortsu.

Važniji su oni portovi koji se ne mogu odmah povezati s programom, poput priključaka sustava koji su prikazani na snimci zaslona.

Postoji nekoliko načina prepoznavanja usluga i programa povezanih s tim priključcima. Postoje i drugi pokazatelji koje možemo koristiti za otkrivanje usluga i aplikacija osim naziva procesa.

Najvažnije informacije su broj porta, naziv lokalnog ulaza i ID procesa.

Pomoću ID-a procesa potražimo Windows upravitelja zadataka da bismo ga pokušali povezati s procesom koji se izvodi u sustavu. Da biste to učinili, morate pokrenuti upravitelj zadataka (pritisnite Ctrl Shift Esc).

Kliknite na Prikaži, odaberite stupce i omogućite da se prikaže PID (identifikator procesa). To je ID procesa koji je također prikazan u CurrPorts.

Napomena : Ako koristite Windows 10, prebacite se na karticu Detalji da biste odmah prikazali podatke.

Sada možemo povezati ID-ove procesa u Currportsima s pokrenutim procesima u upravitelju zadataka sustava Windows.

Pogledajmo nekoliko primjera:

ICSLAP, TCP priključak 2869

Ovdje imamo luku koju ne možemo odmah identificirati. Naziv lokalnog porta je icslap, broj porta je 2869, koristi TCP protokol, ima ID procesa 4 i naziv procesa "sustav".

Obično je dobra ideja prvo potražiti naziv lokalnog ulaza ako ga odmah ne možete prepoznati. Upalite Google i potražite icslap port 2869 ili nešto slično.

Često postoji nekoliko prijedloga ili mogućnosti. Za Icslap to su dijeljenje internetske veze, vatrozid Windows ili dijeljenje lokalne mreže. Bilo je potrebno neko istraživanje kako bi se utvrdilo da ga je u ovom slučaju koristila usluga Windows Media Player Network Sharing.

Dobra opcija da saznate je li to doista slučaj je zaustaviti uslugu ako je pokrenuta i osvježiti popis ulaza da biste vidjeli da li se port više ne pojavljuje. U ovom slučaju zatvoren je nakon zaustavljanja usluge dijeljenja mreže Windows Media Player.

epmap, TCP priključak 135

Istraživanja pokazuju da je on povezan s pokretačem procesa za dcom server. Istraživanje također pokazuje da nije dobra ideja onemogućiti uslugu. No moguće je blokirati ulaz u vatrozidu umjesto da ga potpuno zatvorite.

llmnr, UDP port 5355

Ako pogledate u Currports, primjetite da naziv lokalnog ulaza llmnr koristi UDP port 5355. PC knjižnica ima podatke o usluzi. Odnosi se na protokol za razlučivanje imena lokalnog multicast veze koji je povezan s DNS uslugom. Korisnici Windowsa koji ne trebaju DNS uslugu mogu je onemogućiti u Upravitelju usluga. Ovo zatvara portove koji nisu otvoreni na računalnom sustavu.

Rekapitulacija

Započinjete postupak pokretanjem besplatnog prijenosnog programa CurrPorts. Označava sve otvorene portove u sustavu. Dobra praksa je da zatvorite sve otvorene programe prije pokretanja CurrPorts-a da biste ograničili broj otvorenih portova na Windows procese i pozadinske aplikacije.

Neke portove možete povezati s procesima odmah, ali trebate potražiti ID procesa koji je CurrPorts prikazao u upravitelju zadataka sustava Windows ili u aplikaciji treće strane kao što je Process Explorer kako biste ga identificirali.

Nakon što učinite, možete istražiti naziv postupka da biste saznali treba li vam i postoji li mogućnost da ga zatvorite ako ga ne trebate.

Zaključak

Nije uvijek lako prepoznati portove i usluge ili aplikacije s kojima su povezani. Istraživanje na tražilicama obično pruža dovoljno informacija da otkrijemo koja je služba odgovorna s načinima da se onemogući ako joj nije potrebna.

Dobar prvi pristup prije početka pretraživanja portova bio bi pomno pogledati sve započete usluge u Upravitelju usluga i zaustaviti i onemogućiti one koji su potrebni sustavu. Dobra polazišna točka za njihovo ocjenjivanje je stranica s konfiguracijom usluga na web lokaciji BlackViper.