Standartinis „Windows“ operacinės sistemos diegimas turi keletą prievadų, atidarytų iškart po įdiegimo. Kai kurie prievadai reikalingi, kad sistema tinkamai veiktų, o kitus gali naudoti specialios programos ar funkcijos, kurių gali prireikti tik kai kuriems vartotojams.
Šie uostai gali kelti saugumo pavojų, nes užpuolikai gali naudoti kiekvieną atvirą sistemos prievadą kaip įėjimo tašką. Jei tas prievadas nėra būtinas funkcionalumui, rekomenduojama jį uždaryti, kad būtų užblokuotos visos į jį nukreiptos atakos.
Uostas iš esmės leidžia susisiekti su įrenginiu arba iš jo. Jo charakteristikos yra prievado numeris, IP adresas ir protokolo tipas.
Šis straipsnis suteiks jums rankinius įrankius, skirtus atpažinti ir įvertinti atidarytus „Windows“ prievadus, kad galų gale galėtumėte priimti sprendimus, ar palikti juos atvirus, ar uždaryti.
Programinės įrangos programos ir įrankiai, kuriuos naudosime:
- „CurrPorts“: galima naudoti „Windows“ 32 ir 64 bitų versijoms. Tai yra prievadų monitorius, kuris rodo visus atidarytus prievadus kompiuterio sistemoje. Mes jį naudosime prievadams ir juos naudojančioms programoms nustatyti.
- „Windows“ užduočių tvarkyklė: taip pat naudojama programoms identifikuoti ir kai kuriems prievadams susieti su programomis.
- Paieškos sistema: kai kuriuose uostuose, kurių taip lengvai nepavyksta identifikuoti, būtina ieškoti uosto informacijos.
Pravažiuoti visus atidarytus uostus būtų neįmanoma, todėl pasinaudosime keliais pavyzdžiais, kad suprastumėte, kaip patikrinti, ar nėra atidarytų uostų, ir sužinokite, ar jie reikalingi, ar ne.
Paleiskite „CurrPorts“ ir apžiūrėkite pagrindinę apgyvendintą vietą.
Programa, be kita ko, rodo proceso pavadinimą ir ID, vietinį prievadą, protokolą ir vietinio prievado pavadinimą.
Lengviausiai nustatomi uostai, kurių proceso pavadinimas atitinka veikiančią programą, tokią kaip RSSOwl.exe su proceso ID 3216 aukščiau pateiktame pavyzdyje. Procesas yra įtraukimas į vietinius prievadus 50847 ir 52016. Paprastai šie uostai uždaromi uždarius programą. Galite tai patvirtinti nutraukdami programą ir atnaujinę „CurrPorts“ atidarytų prievadų sąrašą.
Svarbesni uostai yra tie, kurių negalima iš karto susieti su programa, kaip ekrano kopijoje rodomi sistemos prievadai.
Yra keletas būdų, kaip identifikuoti paslaugas ir programas, susijusias su šiais prievadais. Be proceso pavadinimo, yra ir kitų rodiklių, kuriuos galime naudoti norėdami atrasti paslaugas ir programas.
Svarbiausia informacija yra prievado numeris, vietinio prievado pavadinimas ir proceso ID.
Turėdami proceso ID galime pažvelgti į „Windows“ užduočių tvarkytuvę, kad galėtume pabandyti susieti ją su sistemoje vykstančiu procesu. Norėdami tai padaryti, turite paleisti užduočių tvarkytuvę (paspauskite „Ctrl Shift Esc“).
Spustelėkite Peržiūrėti, pasirinkite stulpelius ir įgalinkite PID (proceso identifikatoriaus) rodymą. Tai proceso ID, kuris taip pat rodomas „CurrPorts“.
Pastaba : jei naudojate „Windows 10“, perjunkite į „Informacija“ skirtuką, kad iškart būtų rodoma informacija.
Dabar „Currports“ proceso ID galime susieti su paleistais procesais „Windows“ užduočių tvarkytuvėje.
Pažvelkime į keletą pavyzdžių:
ICSLAP, TCP prievadas 2869
Čia turime uostą, kurio negalime iš karto nustatyti. Vietinis prievado pavadinimas yra icslap, prievado numeris yra 2869, jis naudoja TCP protokolą, turi proceso ID 4 ir proceso pavadinimą „sistema“.
Paprastai pravartu pirmiausia ieškoti vietinio uosto pavadinimo, jei jo negalima iš karto atpažinti. Paleiskite „Google“ ir ieškokite „icslap“ prievado 2869 ar ko nors panašaus.
Dažnai yra keletas pasiūlymų ar galimybių. „Icslap“ jie yra bendro interneto ryšio, „Windows“ ugniasienės arba vietinio tinklo bendrinimas. Prireikė tam tikrų tyrimų, kad išsiaiškintumėte, kad šiuo atveju juo naudojosi „Windows Media Player“ tinklo bendrinimo tarnyba.
Geras pasirinkimas norint išsiaiškinti, ar taip yra iš tikrųjų, yra sustabdyti paslaugą, jei ji veikia, ir atnaujinti uosto sąrašą, kad pamatytumėte, ar uostas daugiau neatsiranda. Šiuo atveju ji buvo uždaryta nutraukus „Windows Media Player“ tinklo bendrinimo paslaugą.
epmap, TCP prievadas 135
Tyrimai rodo, kad jis yra susietas su dcom serverio proceso paleidėju. Tyrimai taip pat rodo, kad nėra gera idėja išjungti paslaugą. Tačiau įmanoma uždaryti užkardos prievadą, o ne visiškai jį uždaryti.
llmnr, UDP prievadas 5355
Jei pažvelgsite į „Currports“, pastebėsite, kad vietinio prievado pavadinimas „llmnr“ naudoja UDP prievadą 5355. PC bibliotekoje yra informacijos apie paslaugą. Tai nurodo protokolą „Link Local Multicast Name Resolution“, susijusį su DNS paslauga. „Windows“ vartotojai, kuriems nereikia DNS paslaugos, gali ją išjungti paslaugų tvarkytuvėje. Tai uždarys prievadus kompiuterių sistemoje neveikiančius.
Pakartokite
Pradėsite procesą paleisdami nemokamą nešiojamą programą „CurrPorts“. Tai pabrėžia visus atidarytus sistemos prievadus. Gera praktika yra uždaryti visas atidarytas programas prieš paleidžiant „CurrPorts“, kad būtų apribotas „Windows“ procesų ir fono programų atvirų prievadų skaičius.
Kai kuriuos prievadus galite susieti iš karto su procesais, tačiau norint juos identifikuoti, reikia ieškoti proceso ID, kurį „CurrPorts“ rodo „Windows“ užduočių tvarkyklė arba trečiosios šalies programa, tokia kaip „Process Explorer“.
Tai atlikę, galite ištirti proceso pavadinimą, kad sužinotumėte, ar jums to reikia, ir ar įmanoma jį uždaryti, jei to nereikalaujate.
Išvada
Ne visada lengva nustatyti uostus ir paslaugas ar programas, su kuriomis jie yra susieti. Paieškos sistemų tyrimai paprastai suteikia pakankamai informacijos, kad būtų galima išsiaiškinti, kuri tarnyba yra atsakinga, ir būdų, kaip ją išjungti, jei jos nereikia.
Pirmasis geras būdas prieš pradedant medžioti uostus, būtų atidžiai apžvelgtas visas pradėtas paslaugas „Services Manager“ ir sustabdytas bei išjungtas tas, kuris būtinas sistemai. Geras išeities taškas norint įvertinti tai yra paslaugų konfigūracijos puslapis „BlackViper“ svetainėje.
