Zlepšení zabezpečení systému Windows uzavřením otevřených portů

Standardní instalace operačního systému Windows má hned po instalaci několik portů. Některé porty jsou nezbytné pro správnou funkci systému, zatímco jiné mohou být použity specifickými programy nebo funkcemi, které mohou vyžadovat pouze někteří uživatelé.

Tyto porty mohou představovat bezpečnostní riziko, protože každý otevřený port v systému může útočník použít jako vstupní bod. Pokud tento port není z důvodu funkčnosti zapotřebí, doporučuje se jej uzavřít, aby se blokovaly všechny útoky, které na něj cílí.

Port umožňuje v zásadě komunikaci do nebo ze zařízení. Jeho charakteristikou je číslo portu, IP adresa a typ protokolu.

Tento článek vám poskytne nástroje k identifikaci a vyhodnocení otevřených portů v systému Windows, abyste se mohli nakonec rozhodnout, zda je nechat otevřené nebo zavřené navždy.

Softwarové programy a nástroje, které budeme používat:

  • CurrPorts: K dispozici pro 32bitové a 64bitové edice systému Windows. Jedná se o monitor portů, který zobrazuje všechny otevřené porty v počítačovém systému. Použijeme jej k identifikaci portů a programů, které je používají.
  • Správce úloh systému Windows: Používá se také k identifikaci programů a propojení některých portů s programy.
  • Vyhledávací stroj: Pro některé porty, které nelze snadno identifikovat, je nutné vyhledat informace o portu.

Bylo by nemožné projít všechny otevřené porty, proto použijeme několik příkladů, abyste pochopili, jak zkontrolovat otevřené porty a zjistit, zda jsou vyžadovány nebo ne.

Zapálte CurrPorts a podívejte se na obydlenou hlavní oblast.

Program zobrazí mimo jiné název procesu a ID, místní port, protokol a název lokálního portu.

Nejjednodušší je identifikovat porty s názvem procesu, které odpovídá spuštěnému programu, jako je RSSOwl.exe, s ID procesu 3216 ve výše uvedeném příkladu. Proces je vypsán na místních portech 50847 a 52016. Tyto porty jsou obvykle zavřené, když se program ukončí. Můžete to ověřit ukončením programu a obnovením seznamu otevřených portů v CurrPorts.

Důležitější porty jsou ty, které nelze propojit s programem hned jako systémové porty zobrazené na snímku obrazovky.

Existuje několik způsobů, jak identifikovat služby a programy spojené s těmito porty. Existují další ukazatele, které můžeme použít k objevování služeb a aplikací kromě názvu procesu.

Nejdůležitější informace jsou číslo portu, název místního portu a ID procesu.

Pomocí ID procesu se můžeme podívat do Správce úloh systému Windows a pokusit se jej propojit s procesem spuštěným v systému. Chcete-li to provést, musíte spustit správce úloh (stiskněte klávesu Ctrl Shift Esc).

Klikněte na View, Select Columns a umožněte zobrazení PID (Process Identifier). Toto je ID procesu, které je také zobrazeno v CurrPorts.

Poznámka : Používáte-li systém Windows 10, přejděte na kartu Podrobnosti a okamžitě zobrazte informace.

Nyní můžeme propojit ID procesů v aplikaci Currports se spuštěnými procesy ve Správci úloh systému Windows.

Podívejme se na několik příkladů:

ICSLAP, port TCP 2869

Zde máme port, který nemůžeme okamžitě identifikovat. Název lokálního portu je icslap, číslo portu je 2869, používá protokol TCP, má ID procesu 4 a název procesu „system“.

Obvykle je vhodné nejprve vyhledat název místního portu, pokud jej nelze ihned identifikovat. Spusťte Google a vyhledejte icslap port 2869 nebo něco podobného.

Často existuje několik návrhů nebo možností. Pro Icslap se jedná o sdílení internetového připojení, bránu Windows Firewall nebo sdílení lokální sítě. Zjistilo se, že v tomto případě byl použit službou Windows Media Player Network Sharing Service.

Dobrou možností, jak zjistit, zda tomu tak skutečně je, je zastavit službu, pokud je spuštěna, a aktualizovat výpis portů a zjistit, zda se port již neobjevuje. V takovém případě byl po ukončení služby Windows Media Player Network Sharing Service uzavřen.

epmap, TCP port 135

Výzkum ukazuje, že je propojen se spouštěčem procesu serveru dcom. Výzkum také ukazuje, že není dobré zakázat službu. Je však možné zablokovat port ve firewallu místo jeho úplného uzavření.

llmnr, port UDP 5355

Pokud se podíváte do aplikace Currports, zjistíte, že název místního portu llmnr používá port UDP 5355. Knihovna PC obsahuje informace o službě. Odkazuje na protokol Link Local Multicast Name Resolution, který souvisí se službou DNS. Uživatelé Windows, kteří službu DNS nepotřebují, ji mohou zakázat ve Správci služeb. Tím dojde k uzavření portů před otevřením v počítačovém systému.

Shrnout

Proces zahájíte spuštěním bezplatného přenosného programu CurrPorts. Zdůrazňuje všechny otevřené porty v systému. Dobrou praxí je zavřít všechny programy, které jsou otevřené před spuštěním CurrPorts, aby se omezil počet otevřených portů na procesy a aplikace na pozadí Windows.

Některé porty můžete propojit s procesy okamžitě, ale je třeba vyhledat ID procesu zobrazené programem CurrPorts ve Správci úloh systému Windows nebo v aplikaci třetí strany, jako je Process Explorer, jinak jej identifikovat.

Jakmile to uděláte, můžete prozkoumat název procesu a zjistit, zda jej potřebujete, a zda je možné jej zavřít, pokud jej nevyžadujete.

Závěr

Není vždy snadné identifikovat porty a služby nebo aplikace, ke kterým jsou připojeny. Výzkum ve vyhledávačích obvykle poskytuje dostatek informací, aby bylo možné zjistit, která služba je odpovědná, a způsoby, jak ji zakázat, pokud to není nutné.

Dobrým prvním přístupem, než začnete lovit porty, by bylo podrobně prozkoumat všechny spuštěné služby ve Správci služeb a zastavit a deaktivovat ty, které jsou pro systém nezbytné. Dobrým výchozím bodem k jejich vyhodnocení je stránka konfigurace služeb na webu BlackViper.