Підвищення безпеки Windows закриванням відкритих портів |
Стандартні операційні системи мають ряд портів, відкритих після установки. Деякі з цих портів, необхідні для нормально функціонування системи, а інші зайві. Ці порти можуть становити загрозу безпеці, так як кожен відкритий порт системи може бути відправною точкою для зловмисника. Порт в основному дозволяє зв'язок з пристроєм. Характеристиками порту є його номер, IP адреса і тип протоколу. Ця стаття дасть Вам інструменти для виявлення та оцінки відкритих портів в системі Windows для прийняття кінцевого рішення, чи можуть вони залишатися відкритим, чи повинні бути закриті. Програмне забезпечення та інструменти, які ми будемо використовувати: CurrPorts: доступно для 32-бітних і 64-розрядних версій Windows. Це монітор порту, який відображає всі відкриті порти на комп'ютері. Ми будемо використовувати його, щоб визначити порти та програми, які їх використовують. Windows Task Manager: також використовується для визначення програм і зв’язаних з ними портів. Пошукова система: пошук інформації про порт необхідний для деяких портів, які не можуть бути відразу ідентифіковані. Було б непосильним завданням пройти через усі порти, які відкриті, тому ми розглянемо лише декілька прикладів, щоб зрозуміти процес. Запустіть CurrPorts і подивіться на основні області: Програма показує ім'я процесу та його ідентифікатор (ID), локальний порт, протокол і місцезнаходження локального порту та інше. Найпростіше ідентифікувати порти, які зв’язані з процесом, імена яких відповідають запущеним програмам, як в наведеному вище прикладі RSSOwl.exe з процесом ID 3216, що використовує локальні порти 50847 і 52016. Ці порти, як правило, закриваються після завершення роботи програми. Більш важливими є ті порти, які не можуть бути відразу пов'язані з програмою, як система портів, показаних на скріншоті вище. Існує кілька способів визначити служби і програми, пов'язані з цими портами. Окрім імені процесу є інші параметри, якими можемо скористатися для виявлення служб і програм. Найбільш важливі з них: номер порту, ім'я локального порту та ідентифікатор процесу. ID процесу можна подивитися в диспетчері завдань Windows, щоб спробувати пов'язати його з процесами, що працюють в системі. Для цього Вам треба запустити диспетчер завдань (натисніть одночасно Ctrl + Shift + Esc). Виберіть у вікні з меню Вигляд пункт Вибрати стовпці і поставте “галочку”напроти Ідентиф. процесу (PID), щоб він відобразився, як показано нижче. Цей ідентифікатор процесу також показується в CurrPorts. Тепер ми можемо зв’язати ідентифікатори процесів у CurrPorts із запущеними процесами в диспетчері завдань Windows. Давайте поглянемо на деякі приклади: ICSLAP, TCP Port 2869 Тут ми маємо порт, який не можемо визначити відразу. Назва локального порту ICSLAP, порт 2869, він використовує протокол TCP, має ідентифікатор процесу 4, який є системним процесом. Як правило, хороша ідея спробувати знайти в Інтернеті ім'я локального порту, якщо він не може бути визначений відразу. Запустіть Google і пошукайте ICSLAP, порт 2869 або щось подібне. Найчастіше є кілька пропозицій або варіантів. Для ICSLAP це: підключення для доступу в Інтернет, брандмауер Windows або обмін в локальній мережі. Виконаємо деякі дослідження, щоб з'ясувати, що в даному випадку порт використовується службою Windows Media Player Network Sharing Service. Хороший варіант щоб дізнатися, що це дійсно цей випадок - зупинити службу, якщо вона працює, і оновити перелік портів, щоб переконатися, що порт більше не з'являється. У нашому випадку він закрився після зупинки Windows Media Player Network Sharing Service. epmap, TCP порт 135 Дослідження показують, що цей порт пов'язаний з процесом запуску сервера DCOM. Відключення даної служби буде не дуже гарною ідеєю. Однак, можна заблокувати порт в брандмауері, а не закривати його. LLMNR, UDP порт 5355 Якщо Ви подивитеся на CurrPorts, то процес з іменем LLMNR використовує локальний порт UDP 5355. PC Library має в своєму розпорядженні інформацію про цю службу: це протокол Link Local Multicast Name Resolution, який відноситься до служби DNS. Windows-користувачі, які служби DNS не використовують, можуть вимкнути цю службу в диспетчері служб. Це закриє порт, який до цього був на комп'ютері відкритий. Висновки: Не завжди просто визначити порти і сервіси або додатки, з якими вони пов'язані. Дослідження за допомогою пошукових систем звичайно дає достатньо інформації, щоб з'ясувати яка служба якому порту відповідає, щоб відключити її, якщо вона не використовується. Спершу треба уважно подивитися в диспетчері служб на всі запущені служби та зупинити і відключити ті, які не використовуються системою. Гарною відправною точкою для оцінки служб є BlackViper, на якій розглядається конфігурація служб для Windows 7. Джерело: ghacks.net Останні статті за темою: |