Стандартні операційні системи мають ряд портів, відкритих після установки. Деякі з цих портів, необхідні  для нормально функціонування системи, а інші зайві. Ці порти можуть становити загрозу безпеці, так як кожен відкритий порт системи може бути відправною точкою для зловмисника.

Порт в основному дозволяє зв'язок з пристроєм. Характеристиками порту є його номер, IP адреса і тип протоколу. Ця стаття дасть Вам інструменти для виявлення та оцінки відкритих портів в системі Windows для прийняття кінцевого рішення, чи можуть вони залишатися відкритим, чи повинні бути закриті.

Програмне забезпечення та інструменти, які ми будемо використовувати:

CurrPorts: доступно для 32-бітних і 64-розрядних версій Windows. Це монітор порту, який відображає всі відкриті порти на комп'ютері. Ми будемо використовувати його, щоб визначити порти та програми, які їх використовують.

Windows Task Manager: також використовується для визначення програм і зв’язаних з ними портів.

Пошукова система: пошук інформації про порт необхідний для деяких портів, які не можуть бути відразу ідентифіковані.

Було б непосильним завданням пройти через усі порти, які відкриті, тому ми розглянемо лише декілька прикладів, щоб зрозуміти процес.

Запустіть CurrPorts і подивіться на основні області:

Програма показує ім'я процесу та його ідентифікатор (ID), локальний порт, протокол і місцезнаходження локального порту та інше.

Найпростіше ідентифікувати порти, які зв’язані з процесом, імена яких відповідають запущеним програмам, як в наведеному вище прикладі RSSOwl.exe з процесом ID 3216, що використовує локальні порти 50847 і 52016. Ці порти, як правило, закриваються після завершення роботи програми.

Більш важливими є ті порти, які не можуть бути відразу пов'язані з програмою, як система портів, показаних на скріншоті вище.

Існує кілька способів визначити служби і програми, пов'язані з цими портами. Окрім імені процесу є інші параметри, якими можемо скористатися для виявлення служб і програм. Найбільш важливі з них: номер порту, ім'я локального порту та ідентифікатор процесу.

ID процесу можна подивитися в диспетчері завдань Windows, щоб спробувати пов'язати його з процесами, що працюють в системі. Для цього Вам треба запустити диспетчер завдань (натисніть одночасно Ctrl + Shift + Esc). Виберіть у вікні з меню Вигляд пункт Вибрати стовпці і поставте “галочку”напроти Ідентиф. процесу (PID), щоб він відобразився, як показано нижче. Цей ідентифікатор процесу також показується в CurrPorts.

Тепер ми можемо зв’язати ідентифікатори процесів у CurrPorts із запущеними процесами в диспетчері завдань Windows.

Давайте поглянемо на деякі приклади:

ICSLAP, TCP Port 2869

Тут ми маємо порт, який не можемо визначити відразу. Назва локального порту ICSLAP, порт 2869, він використовує протокол TCP, має ідентифікатор процесу 4, який є системним процесом.

Як правило, хороша ідея спробувати знайти в Інтернеті ім'я локального порту, якщо він не може бути визначений відразу. Запустіть Google і пошукайте ICSLAP, порт 2869 або щось подібне.

Найчастіше є кілька пропозицій або варіантів. Для ICSLAP це: підключення для доступу в Інтернет, брандмауер Windows або обмін в локальній мережі. Виконаємо деякі дослідження, щоб з'ясувати, що в даному випадку порт використовується службою Windows Media Player Network Sharing Service.

Хороший варіант щоб дізнатися, що це дійсно цей випадок - зупинити службу, якщо вона працює, і оновити перелік портів, щоб переконатися, що порт більше не з'являється. У нашому випадку він закрився після зупинки Windows Media Player Network Sharing Service.

epmap, TCP порт 135

Дослідження показують, що цей порт пов'язаний з процесом запуску сервера DCOM. Відключення даної служби буде не дуже гарною ідеєю. Однак, можна заблокувати порт в брандмауері, а не закривати його.

LLMNR, UDP порт 5355

Якщо Ви подивитеся на CurrPorts, то процес з іменем LLMNR використовує локальний порт UDP 5355. PC Library має в своєму розпорядженні інформацію про цю службу: це протокол Link Local Multicast Name Resolution, який відноситься до служби DNS. Windows-користувачі, які служби DNS не використовують, можуть вимкнути цю службу в диспетчері служб. Це закриє порт, який до цього був на комп'ютері відкритий.

Висновки:

Не завжди просто визначити порти і сервіси або додатки, з якими вони пов'язані. Дослідження за допомогою пошукових систем звичайно дає достатньо інформації, щоб з'ясувати яка служба якому порту відповідає, щоб відключити її, якщо вона не використовується.

Спершу треба уважно подивитися в диспетчері служб на всі запущені служби та зупинити і відключити ті, які не використовуються системою. Гарною відправною точкою для оцінки служб є BlackViper, на якій розглядається конфігурація служб для Windows 7.

Джерело: ghacks.net