En standardinstallation av Windows-operativsystem har ett antal portar öppna direkt efter installationen. Vissa av portarna behövs för att systemet ska fungera korrekt, medan andra kan användas av specifika program eller funktioner som bara vissa användare kan behöva.
Dessa portar kan utgöra en säkerhetsrisk eftersom varje öppen port i ett system kan användas som en inträdesplats av angripare. Om den porten inte behövs för funktionalitet, rekommenderas det att stänga den för att blockera eventuella attacker som är inriktade på den.
En port tillåter i princip kommunikation till eller från enheten. Egenskaper för det är ett portnummer, en IP-adress och en protokolltyp.
Den här artikeln ger dig verktygen för att identifiera och utvärdera de öppna portarna i ditt Windows-system för att fatta beslut i slutändan om du vill hålla dem öppna eller stänga dem för gott.
Programvaror och verktyg som vi kommer att använda:
- CurrPorts: Finns för 32-bitars och 64-bitarsutgåvor av Windows. Det är en portmonitor som visar alla öppna portar på ett datorsystem. Vi kommer att använda den för att identifiera portarna och programmen som använder dem.
- Windows Task Manager: Används också för att identifiera programmen och koppla vissa portar till program.
- Sökmotor: Det är nödvändigt att söka efter portinformation för vissa portar som inte lätt kan identifieras.
Det skulle vara en omöjlig uppgift att gå igenom alla portar som är öppna, vi kommer därför att använda några exempel så att du förstår hur du ska kontrollera för öppna portar och ta reda på om de krävs eller inte.
Avbryt CurrPorts och titta på det befolkade huvudområdet.
Programmet visar bland annat processens namn och ID, lokal port, protokoll och lokalt portnamn.
De enklaste portarna att identifiera är de med ett processnamn som motsvarar ett löpande program som RSSOwl.exe med process-ID 3216 i exemplet ovan. Processen är listad på de lokala portarna 50847 och 52016. Dessa portar är vanligtvis stängda när programmet stängs. Du kan verifiera det genom att avsluta ett program och uppdatera listan över öppna portar i CurrPorts.
De viktigare portarna är de som inte kan kopplas till ett program direkt som systemportarna som visas på skärmdumpen.
Det finns några sätt att identifiera de tjänster och program som är kopplade till dessa portar. Det finns andra indikatorer som vi kan använda för att upptäcka tjänster och applikationer förutom processnamnet.
Den viktigaste informationen är portnumret, det lokala portnamnet och process-ID.
Med process-ID kan vi ta en titt i Windows Task Manager för att försöka länka det till en process som körs på systemet. För att göra det måste du starta uppgiftshanteraren (tryck Ctrl Shift Esc).
Klicka på Visa, välj kolumner och aktivera PID (Process Identifier) som ska visas. Det är process-ID som också visas i CurrPorts.
Obs! Om du använder Windows 10 växlar du till fliken Detaljer för att visa informationen direkt.
Nu kan vi länka process-ID: er i Currports till köra processer i Windows Task Manager.
Låt oss ta en titt på några exempel:
ICSLAP, TCP-port 2869
Här har vi en port som vi inte kan identifiera omedelbart. Det lokala portnamnet är icslap, portnumret är 2869, det använder TCP-protokollet, det har process-ID 4 och processnamnet "system".
Det är vanligtvis en bra idé att söka efter det lokala portnamnet först om det inte kan identifieras direkt. Avbryt Google och sök efter icslap-port 2869 eller något liknande.
Ofta finns det flera förslag eller möjligheter. För Icslap är de Internet-anslutningsdelning, Windows-brandvägg eller lokalt nätverksdelning. Det krävdes en del undersökningar för att ta reda på att det i det här fallet användes av Windows Media Player Network Sharing Service.
Ett bra alternativ att ta reda på om detta verkligen är fallet är att stoppa tjänsten om den körs och uppdatera portlistan för att se om porten inte visas längre. I det här fallet stängdes det efter att ha stoppat Windows Media Player Network Sharing Service.
epmap, TCP-port 135
Forskning visar att det är kopplat till processorn för dcom-servern. Forskning visar också att det inte är en bra idé att inaktivera tjänsten. Det är dock möjligt att blockera porten i brandväggen istället för att stänga den helt.
llmnr, UDP-port 5355
Om du tittar på Currports så märker du att det lokala portnamnet llmnr använder UDP-port 5355. PC Library har information om tjänsten. Det hänvisar till Link Local Multicast Name Resolution protocol som är relaterat till DNS-tjänsten. Windows-användare som inte behöver DNS-tjänsten kan inaktivera den i Services Manager. Detta stänger portarna från att vara öppna i datorsystemet.
Recap
Du startar processen genom att köra det gratis portabla programmet CurrPorts. Den belyser alla öppna portar på systemet. En bra praxis är att stänga alla program som är öppna innan du kör CurrPorts för att begränsa antalet öppna portar till Windows-processer och bakgrundsapplikationer.
Du kan länka vissa portar till processer direkt, men måste leta upp process-ID som visas av CurrPorts i Windows Task Manager eller ett tredjepartsprogram som Process Explorer annars för att identifiera det.
När du är klar kan du undersöka processnamnet för att ta reda på om du behöver det och om det är möjligt att stänga det om du inte behöver det.
Slutsats
Det är inte alltid lätt att identifiera portar och tjänster eller applikationer som de är länkade till. Forskning om sökmotorer ger vanligtvis tillräckligt med information för att ta reda på vilken tjänst som är ansvarig med sätt att inaktivera den om den inte behövs.
Ett bra första tillvägagångssätt innan du börjar jaga hamnar skulle vara att titta närmare på alla startade tjänster i Services Manager och stoppa och inaktivera de som är nödvändiga för systemet. En bra utgångspunkt för att utvärdera dessa är servicekonfigurationssidan på BlackViper-webbplatsen.
