Običajna namestitev operacijskega sistema Windows ima številna vrata odprta takoj po namestitvi. Nekatera vrata so potrebna za pravilno delovanje sistema, druga pa lahko uporabljajo določeni programi ali funkcije, ki jih morda potrebujejo le nekateri uporabniki.
Ta vrata lahko predstavljajo varnostno nevarnost, saj lahko napadalci vsako odprto vrata v sistemu uporabljajo kot vstopno točko. Če to pristanišče ni potrebno za funkcionalnost, priporočamo, da ga zaprete, da preprečite napade, na katere ciljate.
Vrata omogočajo komunikacijo v napravi ali iz nje. Karakteristike zanj so številka vrat, IP naslov in vrsta protokola.
Ta članek vam bo ponudil orodja, s katerimi lahko prepoznate in ocenite odprta vrata v sistemu Windows, da boste na koncu sprejeli odločitve, ali jih boste za vedno odprli ali zaprli.
Programska oprema in orodja, ki jih bomo uporabili:
- CurrPorts: Na voljo za 32-bitne in 64-bitne izdaje sistema Windows. Gre za monitor vrat, ki prikazuje vsa odprta vrata v računalniškem sistemu. Uporabili ga bomo za identifikacijo pristanišč in programov, ki jih uporabljajo.
- Upravitelj opravil Windows: Uporablja se tudi za prepoznavanje programov in povezovanje nekaterih vrat s programi.
- Iskalnik: Iskanje nekaterih vrat je potrebno za nekatera vrata, ki jih ni mogoče enostavno prepoznati.
Nemogoča naloga bi bila skozi vsa odprta vrata, zato bomo uporabili nekaj primerov, tako da boste razumeli, kako preveriti, ali so odprta vrata odprta.
Požarite CurrPorts in si oglejte glavno naseljeno območje.
Program med drugim prikaže ime in ID procesa, lokalno pristanišče, protokol in lokalno ime vrat.
Najlažja vrata za prepoznavanje so tista z imenom procesa, ki ustreza delujočemu programu, kot je RSSOwl.exe, z zgornjim primerom ID 3216 procesa. Postopek je na seznamu lokalnih vrat 50847 in 52016. Ta vrata so običajno zaprta, ko se program zapre. To lahko preverite tako, da končate program in osvežite seznam odprtih vrat v CurrPorts.
Pomembnejša vrata so tista, ki jih ni mogoče takoj povezati s programom, kot so sistemska vrata, prikazana na posnetku zaslona.
Obstaja nekaj načinov za prepoznavanje storitev in programov, povezanih s temi pristanišči. Obstajajo tudi drugi kazalci, s katerimi lahko poleg imena postopka odkrijemo storitve in aplikacije.
Najpomembnejše informacije so številka vrat, ime lokalnega vrat in ID procesa.
Z ID-jem procesa si lahko ogledamo Windows upravitelja opravil, da ga poskusimo povezati s postopkom, ki teče v sistemu. Če želite to narediti, morate zagnati upravitelja opravil (pritisnite Ctrl Shift Esc).
Kliknite Pogled, Izberite stolpce in omogočite prikaz PID (Identifikator procesa). To je ID procesa, ki je prikazan tudi v CurrPorts.
Opomba : Če uporabljate Windows 10, preklopite na zavihek Podrobnosti, da takoj prikažete informacije.
Zdaj lahko ID-jev procesov v Currports povežemo z izvajanjem procesov v upravitelju opravil Windows.
Oglejmo si nekaj primerov:
ICSLAP, TCP vrata 2869
Tu imamo vrata, ki jih ne moremo takoj prepoznati. Ime lokalnega pristanišča je icslap, številka vrat je 2869, uporablja protokol TCP, ima ID procesa 4 in ime procesa "sistem".
Običajno je dobro najprej poiskati ime lokalnega pristanišča, če ga ni mogoče takoj prepoznati. Zaženite Google in poiščite icslap vrata 2869 ali kaj podobnega.
Pogosto obstaja več predlogov ali možnosti. Za Icslap so skupna raba internetne povezave, požarni zid Windows ali skupna raba lokalnega omrežja. Potrebnih je bilo nekaj raziskav, da smo ugotovili, da jo je v tem primeru uporabljala storitev Windows Media Player Network Sharing.
Dobra možnost, da ugotovite, ali je res tako, je ustaviti storitev, če se izvaja, in osvežiti seznam seznamov, da preverite, ali se vrata ne prikazujejo več. V tem primeru je bil zaprt po ustavitvi storitve Windows Media Player Network Sharing.
epmap, vrata TCP 135
Raziskave kažejo, da je povezan z zaganjalnikom procesov strežnika dcom. Raziskave tudi kažejo, da ni dobra ideja onemogočiti storitev. Kljub temu je mogoče vrata v požarnem zidu blokirati, namesto da bi jih popolnoma zaprli.
llmnr, UDP vrata 5355
Če pogledate v Currports, opazite, da ime lokalnega porta llmnr uporablja vrata UDP 5355. Knjižnica PC ima informacije o storitvi. Nanaša se na protokol ločljivosti lokalnega krajevnega imena za povezavo, ki je povezan s storitvijo DNS. Uporabniki sistema Windows, ki ne potrebujejo storitve DNS, jo lahko onemogočijo v upravitelju storitev. S tem se vrata odprejo pred odprtjem v računalniškem sistemu.
Rekap
Postopek začnete z izvajanjem brezplačnega prenosnega programa CurrPorts. Poudarja vsa odprta vrata v sistemu. Dobra praksa je, da zaprete vse programe, ki so odprti, preden zaženete CurrPorts, da bi število odprtih vrat omejili na procese Windows in ozadje.
Nekatera vrata lahko takoj povežete s procesi, vendar morate za iskanje identificirati ID procesa, ki ga CurrPorts prikaže v upravitelju opravil Windows ali v aplikaciji drugih proizvajalcev, kot je Process Explorer.
Ko končate, lahko raziskate ime procesa in ugotovite, ali ga potrebujete, in ali ga je mogoče zapreti, če ga ne potrebujete.
Zaključek
Ni vedno enostavno prepoznati pristanišč in storitev ali aplikacij, s katerimi so povezani. Raziskave na iskalnikih običajno nudijo dovolj informacij, da ugotovimo, katera služba je odgovorna z načini, kako jo onemogočiti, če je ne potrebuje.
Dober prvi pristop pred začetkom iskanja vrat je natančen pregled vseh zagnanih storitev v upravitelju storitev ter ustavitev in onemogočanje tistih, ki so potrebni za sistem. Dobro izhodišče za njihovo oceno je stran s konfiguracijo storitev na spletnem mestu BlackViper.
