Повысьте безопасность Windows, закрыв открытые порты
При стандартной установке операционной системы Windows сразу после установки открывается ряд портов. Некоторые из портов необходимы для правильной работы системы, в то время как другие могут использоваться определенными программами или функциями, которые могут потребоваться только некоторым пользователям.
Эти порты могут представлять угрозу безопасности, поскольку каждый открытый порт в системе может использоваться злоумышленниками в качестве точки входа. Если этот порт не нужен для работы, рекомендуется закрыть его, чтобы заблокировать любые атаки, нацеленные на него.
Порт позволяет осуществлять связь с устройством или с устройства. Его характеристиками являются номер порта, IP-адрес и тип протокола.
Эта статья предоставит вам инструменты под рукой для определения и оценки открытых портов в вашей системе Windows для принятия решений в конец, оставить их открытыми или закрыть их навсегда.
Программы и инструменты, которые мы будет использовать:
Было бы невозможно пройти через все открытые порты, поэтому мы воспользуемся несколькими примерами, чтобы вы поняли, как проверять наличие открытых портов и выяснять, требуются они или нет.
Запустите CurrPorts и взгляните на заполненную основную область.
Программа отображает среди прочего имя и идентификатор процесса, локальный порт, протокол и имя локального порта.
Легче всего идентифицировать порты с именем процесса, которое соответствует запущенная программа вроде RSSOwl.exe с идентификатором процесса 3216 в приведенном выше примере. Процесс отображается на локальных портах 50847 и 52016. Эти порты обычно закрываются при закрытии программы. Вы можете убедиться в этом, завершив программу и обновив список открытых портов в CurrPorts.
Более важными портами являются те, которые нельзя сразу связать с программой, например системные порты, показанные на снимок экрана.
Есть несколько способов определить службы и программы, связанные с этими портами. Есть и другие индикаторы, которые мы можем использовать для обнаружения служб и приложений помимо имени процесса.
Самая важная информация — это номер порта, имя локального порта и идентификатор процесса.
Используя идентификатор процесса, мы можем заглянуть в диспетчер задач Windows, чтобы попытаться связать его с процессом, запущенным в системе. Для этого вам необходимо запустить диспетчер задач (нажмите Ctrl Shift Esc).
Щелкните «Просмотр», «Выберите столбцы» и включите отображение PID (идентификатора процесса). Этот идентификатор процесса также отображается в CurrPorts.
Примечание : если вы используете Windows 10, переключитесь на вкладку «Подробности», чтобы сразу отобразить информацию.
Теперь мы можем связать идентификаторы процессов в Currports с запущенными процессами в диспетчер задач Windows.
Давайте взглянем на несколько примеров:
ICSLAP, TCP-порт 2869
Здесь у нас есть порт, который мы не можем сразу идентифицировать. Имя локального порта — icslap, номер порта — 2869, он использует протокол TCP, имеет идентификатор процесса 4 и имя процесса «system».
Обычно рекомендуется поискать сначала для имени локального порта, если его нельзя сразу определить. Запустите Google и найдите порт icslap 2869 или что-то подобное.
Часто есть несколько предложений или возможностей. Для Icslap это общий доступ к подключению к Интернету, брандмауэр Windows или общий доступ к локальной сети. Потребовалось некоторое исследование, чтобы выяснить, что в этом случае он использовался службой общего доступа к проигрывателю Windows Media.
Хороший вариант выяснить, так ли это на самом деле, — остановить службу, если он запущен, и обновите список портов, чтобы увидеть, не отображается ли он больше. В этом случае он был закрыт после остановки службы общего доступа к сети проигрывателя Windows Media.
epmap, TCP-порт 135
Исследования показывают что он связан с программой запуска процессов сервера dcom. Исследования также показывают, что отключать службу — не лучшая идея. Однако можно заблокировать порт в брандмауэре вместо его полного закрытия.
llmnr, UDP-порт 5355
Если в Currports вы заметили, что имя локального порта llmnr использует UDP-порт 5355. В библиотеке ПК есть информация об этой службе. Это относится к протоколу Link Local Multicast Name Resolution, который относится к службе DNS. Пользователи Windows, которым не нужна служба DNS, могут отключить ее в диспетчере служб. Это закрывает открытые порты в компьютерной системе.
Recap
Вы запускаете процесс, запустив бесплатную переносимую программу CurrPorts. Он выделяет все открытые порты в системе. Рекомендуется закрыть все открытые программы перед запуском CurrPorts, чтобы ограничить количество открытых портов для процессов Windows и фоновых приложений.
Вы можете сразу связать некоторые порты с процессами, но это необходимо для поиска идентификатора процесса, отображаемого CurrPorts в диспетчере задач Windows или в стороннем приложении, таком как Process Explorer, в противном случае для его идентификации.
После этого вы можете исследовать имя процесса, чтобы узнать, не он вам нужен, и можно ли его закрыть, если он вам не нужен.
Не всегда легко определить порты, а также службы или приложения, с которыми они связаны. Исследования поисковых систем обычно предоставляют достаточно информации, чтобы выяснить, какая служба отвечает за ее отключение, если она не нужна.
Хорошим первым подходом перед тем, как начать поиск портов, было бы закрыть посмотрите все запущенные службы в диспетчере служб и остановите и отключите те, которые необходимы системе. Хорошей отправной точкой для их оценки является страница конфигурации служб на веб-сайте BlackViper.
Nmap — руководство для начинающих
Многие слышали и пользовались замечательной утилитой nmap. Ее любят и системные администраторы, и взломщики. Даже Голливуд знает про нее — в фильме «Матрица» при взломе используется nmap.
nmap — это аббревиатура от «Network Mapper», на русский язык наиболее корректно можно перевести как «сетевой картограф». Возможно, это не лучший вариант перевода на русский язык, но он довольно точно отображает суть — инструмент для исследования сети и проверки безопасности. Утилита кроссплатформенна, бесплатна, поддерживаются операционных системы Linux, Windows, FreeBSD, OpenBSD, Solaris, Mac OS X.
Рассмотрим использование утилиты в Debian. В стандартной поставке дистрибутива nmap отсутствует, установим его командой
# aptitude install nmap
Nmap умеет сканировать различными методами — например, UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, SYN и NULL-сканирование. Выбор варианта сканирования зависит от указанных ключей, вызов nmap выглядит следующим образом:
Для опытов возьмем специальный хост для экспериментов, созданный самими разработчиками nmap — scanme.nmap.org. Выполним от root’а
Ключи сканирования задавать необязательно — в этом случае nmap проверит хост на наличие открытых портов и служб, которые слушают эти порты.
Запустим командой:
Через несколько секунд получим результат:
Interesting ports on scanme.nmap.org (74.207.244.221):
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
Ничего необычного, ssh на стандартном порту и http на 80. Nmap распознаёт следующие состояния портов: open, filtered, closed, или unfiltered. Open означает, что приложение на целевой машине готово для принятия пакетов на этот порт. Filtered означает, что брандмауэр, фильтр, или что-то другое в сети блокирует порт, так что Nmap не может определить, является ли порт открытым или закрытым. Closed — не связанны в данный момент ни с каким приложением, но могут быть открыты в любой момент. Unfiltered порты отвечают на запросы Nmap, но нельзя определить, являются ли они открытыми или закрытыми.
Хинт: Если во время сканирования нажать пробел — можно увидеть текущий прогресс сканирования и на сколько процентов он выполнен. Через несколько секунд получаем ответ, в котором пока что интересна строчка Device type:
Вообще, точную версию ядра средствами nmap определить невозможно, но примерную дату «свежести» и саму операционную систему определить можно. Можно просканировать сразу несколько хостов, для этого надо их перечислить через пробел:
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)
80/tcp open http Apache httpd 2.2.14 ((Ubuntu))
Service Info: OS: Linux
Прогресс налицо — мы узнали точные названия используемых служб и даже их версии, а заодно узнали точно, какая операционная система стоит на сервере. С расшифровкой никаких проблем не возникает, все вполне понятно.
Nmap выведет очень много информации, я не стану приводить пример. Сканирование может длится довольно долго, занимая несколько минут.
Сканирование проходит довольно быстро, так как по сути это обычный ping-тест, отвечает ли хост на ping. Следует учесть, что хост может не отвечать на ping из-за настроек фаерволла. Если нужный участок сети нельзя ограничить маской, можно указать диапазон адресов, с какого и по какой надо провести сканирование. Например, есть диапазон адресов с 192.168.1.2 до 192.168.1.5. Тогда выполним:
Ответ будет выглядеть так:
Host 192.168.1.2 is up (0.0023s latency)
Host 192.168.1.3 is up (0.0015s latency)
Host 192.168.1.4 is up (0.0018s latency)
Host 192.168.1.5 is up (0.0026s latency)
В моем случае все ip в данный момент были в сети.
Это далеко не все возможности nmap, но уместить их в рамках одной статьи несколько сложновато.
Если вам ближе GUI — есть замечательная утилита Zenmap — графическая оболочка для nmap, умеющая заодно и строить предполагаемую карту сети.
Хочу предупредить, что сканирование портов на удаленных машинах может нарушать закон.
UDPInflame уточнил, что сканирование портов все-таки не является противозаконным.
Icslap что за порт
ПРОЕКТИ:
Посилання:
Стандартні операційні системи мають ряд портів, відкритих після установки. Деякі з цих портів, необхідні для нормально функціонування системи, а інші зайві. Ці порти можуть становити загрозу безпеці, так як кожен відкритий порт системи може бути відправною точкою для зловмисника.
Порт в основному дозволяє зв’язок з пристроєм. Характеристиками порту є його номер, IP адреса і тип протоколу. Ця стаття дасть Вам інструменти для виявлення та оцінки відкритих портів в системі Windows для прийняття кінцевого рішення, чи можуть вони залишатися відкритим, чи повинні бути закриті.
Програмне забезпечення та інструменти, які ми будемо використовувати:
CurrPorts: доступно для 32-бітних і 64-розрядних версій Windows. Це монітор порту, який відображає всі відкриті порти на комп’ютері. Ми будемо використовувати його, щоб визначити порти та програми, які їх використовують.
Windows Task Manager: також використовується для визначення програм і зв’язаних з ними портів.
Пошукова система: пошук інформації про порт необхідний для деяких портів, які не можуть бути відразу ідентифіковані.
Було б непосильним завданням пройти через усі порти, які відкриті, тому ми розглянемо лише декілька прикладів, щоб зрозуміти процес.
Запустіть CurrPorts і подивіться на основні області:
Програма показує ім’я процесу та його ідентифікатор (ID), локальний порт, протокол і місцезнаходження локального порту та інше.
Найпростіше ідентифікувати порти, які зв’язані з процесом, імена яких відповідають запущеним програмам, як в наведеному вище прикладі RSSOwl.exe з процесом ID 3216, що використовує локальні порти 50847 і 52016. Ці порти, як правило, закриваються після завершення роботи програми.
Більш важливими є ті порти, які не можуть бути відразу пов’язані з програмою, як система портів, показаних на скріншоті вище.
Існує кілька способів визначити служби і програми, пов’язані з цими портами. Окрім імені процесу є інші параметри, якими можемо скористатися для виявлення служб і програм. Найбільш важливі з них: номер порту, ім’я локального порту та ідентифікатор процесу.
ID процесу можна подивитися в диспетчері завдань Windows, щоб спробувати пов’язати його з процесами, що працюють в системі. Для цього Вам треба запустити диспетчер завдань (натисніть одночасно Ctrl + Shift + Esc). Виберіть у вікні з меню Вигляд пункт Вибрати стовпці і поставте “галочку”напроти Ідентиф. процесу (PID), щоб він відобразився, як показано нижче. Цей ідентифікатор процесу також показується в CurrPorts.
Тепер ми можемо зв’язати ідентифікатори процесів у CurrPorts із запущеними процесами в диспетчері завдань Windows.
Давайте поглянемо на деякі приклади:
ICSLAP, TCP Port 2869
Тут ми маємо порт, який не можемо визначити відразу. Назва локального порту ICSLAP, порт 2869, він використовує протокол TCP, має ідентифікатор процесу 4, який є системним процесом.
Як правило, хороша ідея спробувати знайти в Інтернеті ім’я локального порту, якщо він не може бути визначений відразу. Запустіть Google і пошукайте ICSLAP, порт 2869 або щось подібне.
Найчастіше є кілька пропозицій або варіантів. Для ICSLAP це: підключення для доступу в Інтернет, брандмауер Windows або обмін в локальній мережі. Виконаємо деякі дослідження, щоб з’ясувати, що в даному випадку порт використовується службою Windows Media Player Network Sharing Service.
epmap, TCP порт 135
Дослідження показують, що цей порт пов’язаний з процесом запуску сервера DCOM. Відключення даної служби буде не дуже гарною ідеєю. Однак, можна заблокувати порт в брандмауері, а не закривати його.
LLMNR, UDP порт 5355
Якщо Ви подивитеся на CurrPorts, то процес з іменем LLMNR використовує локальний порт UDP 5355. PC Library має в своєму розпорядженні інформацію про цю службу: це протокол Link Local Multicast Name Resolution, який відноситься до служби DNS. Windows-користувачі, які служби DNS не використовують, можуть вимкнути цю службу в диспетчері служб. Це закриє порт, який до цього був на комп’ютері відкритий.
Не завжди просто визначити порти і сервіси або додатки, з якими вони пов’язані. Дослідження за допомогою пошукових систем звичайно дає достатньо інформації, щоб з’ясувати яка служба якому порту відповідає, щоб відключити її, якщо вона не використовується.
Спершу треба уважно подивитися в диспетчері служб на всі запущені служби та зупинити і відключити ті, які не використовуються системою. Гарною відправною точкою для оцінки служб є BlackViper, на якій розглядається конфігурація служб для Windows 7.
Повысьте безопасность Windows, закрыв открытые порты
При стандартной установке операционной системы Windows сразу после установки открывается ряд портов. Некоторые из портов необходимы для правильной работы системы, в то время как другие могут использоваться конкретными программами или функциями, которые могут потребоваться только некоторым пользователям.
Эти порты могут представлять угрозу безопасности, поскольку каждый открытый порт в системе может использоваться злоумышленниками в качестве точки входа. Если этот порт не нужен для работы, рекомендуется закрыть его, чтобы заблокировать любые атаки, нацеленные на него.
Порт обеспечивает связь с устройством и с устройством. Его характеристиками являются номер порта, IP-адрес и тип протокола.
Эта статья предоставит вам инструменты для выявления и оценки открытых портов в вашей системе Windows, чтобы в конечном итоге принять решение, держать их открытыми или закрывать навсегда.
Программное обеспечение и инструменты, которые мы будем использовать:
Было бы невозможно просмотреть все открытые порты, поэтому мы воспользуемся несколькими примерами, чтобы вы поняли, как проверить наличие открытых портов и выяснить, требуются они или нет.
Запустите CurrPorts и посмотрите на заполненную основную область.
Программа отображает, среди прочего, имя и идентификатор процесса, локальный порт, протокол и имя локального порта.
Проще всего идентифицировать порты с именем процесса, которое соответствует запущенной программе, такой как RSSOwl.exe, с идентификатором процесса 3216 в приведенном выше примере. Процесс отображается на локальных портах 50847 и 52016. Эти порты обычно закрываются при закрытии программы. Вы можете проверить это, завершив программу и обновив список открытых портов в CurrPorts.
Более важные порты — это те, которые нельзя сразу связать с программой, например системные порты, показанные на снимке экрана.
Есть несколько способов определить службы и программы, связанные с этими портами. Есть и другие индикаторы, которые мы можем использовать для обнаружения служб и приложений, помимо имени процесса.
Самая важная информация — это номер порта, имя локального порта и идентификатор процесса.
С помощью идентификатора процесса мы можем заглянуть в диспетчер задач Windows, чтобы попытаться связать его с процессом, запущенным в системе. Для этого вам необходимо запустить диспетчер задач (нажмите Ctrl Shift Esc).
Нажмите «Просмотр», «Выбрать столбцы» и включите отображение PID (идентификатора процесса). Это идентификатор процесса, который также отображается в CurrPorts.
Заметка : Если вы используете Windows 10, переключитесь на вкладку «Подробности», чтобы сразу отобразить информацию.
Теперь мы можем связать идентификаторы процессов в Currports с запущенными процессами в диспетчере задач Windows.
Давайте посмотрим на несколько примеров:
ICSLAP, TCP-порт 2869
Здесь у нас есть порт, который мы не можем сразу идентифицировать. Имя локального порта — icslap, номер порта — 2869, он использует протокол TCP, имеет идентификатор процесса 4 и имя процесса «система».
Обычно рекомендуется сначала поискать имя локального порта, если его нельзя сразу определить. Запустите Google и найдите порт icslap 2869 или что-то подобное.
Часто есть несколько предложений или возможностей. Для Icslap это общий доступ к подключению к Интернету, брандмауэр Windows или общий доступ к локальной сети. Потребовалось некоторое исследование, чтобы выяснить, что в этом случае он использовался службой общего доступа к проигрывателю Windows Media.
Хороший вариант узнать, так ли это на самом деле, — остановить службу, если она запущена, и обновить список портов, чтобы увидеть, не появляется ли порт больше. В этом случае он был закрыт после остановки службы общего доступа к проигрывателю Windows Media.
epmap, TCP-порт 135
Исследование показывает что он связан с программой запуска процессов сервера dcom. Исследования также показывает что отключать службу — не лучшая идея. Однако можно заблокировать порт в брандмауэре вместо его полного закрытия.
llmnr, порт UDP 5355
Если вы посмотрите в Currports, вы заметите, что имя локального порта llmnr использует UDP-порт 5355. Библиотека ПК есть информация об услуге. Это относится к протоколу Link Local Multicast Name Resolution, который относится к службе DNS. Пользователи Windows, которым не нужна служба DNS, могут отключить ее в диспетчере служб. Это закрывает порты от открытия в компьютерной системе.
Резюме
Вы запускаете процесс, запустив бесплатную переносную программу CurrPorts. Он выделяет все открытые порты в системе. Рекомендуется закрыть все открытые программы перед запуском CurrPorts, чтобы ограничить количество открытых портов для процессов Windows и фоновых приложений.
Вы можете сразу связать некоторые порты с процессами, но вам необходимо найти идентификатор процесса, отображаемый CurrPorts в диспетчере задач Windows или стороннем приложении, например Process Explorer, иначе, чтобы идентифицировать его.
После этого вы можете изучить имя процесса, чтобы узнать, нужен ли он вам и можно ли закрыть его, если он вам не нужен.
Вывод
Не всегда легко идентифицировать порты, а также службы или приложения, с которыми они связаны. Исследования поисковых систем обычно предоставляют достаточно информации, чтобы выяснить, какая служба отвечает за это, и способы ее отключения, если она не нужна.
Хороший первый подход перед тем, как начать поиск портов, — это внимательно изучить все запущенные службы в диспетчере служб, а также остановить и отключить те, которые необходимы системе. Хорошей отправной точкой для их оценки является страница конфигурации служб на BlackViper Веб-сайт.
Icslap что за порт
445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам
» SMB — это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также запроса служб у серверных программ в различных типах сетевого окружения»
первые 2 ссылки это не пруф линки. пруф линком может быть сайт msdn или technet, а тем сатайтам, на которые вы дали ссылки я доверяю не больше,чем своему соседу. по поводу ссылки на вики, то читайте дальше.
Это откуда » 445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам «?
У кого нить есть ссылка на msdn или technet, где это описывается?
если сосед говорит «на улице дождь», то не нужно бежать за справкой в метеоцентр 🙂
если сосед говорит «на улице дождь», то не нужно бежать за справкой в метеоцентр 🙂
на Ваш вопрос уже давно ответили и не один раз (ответы стоит смотреть тщательнЕЕ ;-))
вообще, такого найти в 5 секунд можно сколько угодно на сайтах Microsoft, с помощью хитрой строки поиска «smb tcp ports» 😉
интересно, а подпись статьи:
«Иcточник: (переведено с англ.) Microsoft Technet»
Это точно не с официального источника взято? Хотя, конечно, человек видимо сам измыслил всё это.
Может быть ещё «официальных данных»?
У меня навернео не получается донести основну суть дела. Какие протоколы используют какие порты натйи не проблема. Проблема найти документ, в котором будет написано по каким протоколам в Windows XP или Windows 7 осуществляется доступ к общим папкам. То что там используется толи NetBIOS толи еще что-то это понятно. Хотелось бы конкретно знать и желатьльно с примерами. Пишите про SMB, а почему не CIFS?
Парни, из приведённых вами материалов, по-моему даже мёртвый уже должен понять, какие порты и протоколы используются для шар и т.д. Респект вам ребята.
«В среде AD RMS TCP-порт 445 используется для подготовки к работе сервера AD RMS, но он также служит для совместного использования файлов компьютерами, работающими под управлением Microsoft Windows 2000 или более поздних версий. Если нет особой необходимости предоставлять доступ к этому порту для других компьютеров в сети, необходимо ограничить эту область, чтобы доступ к TCP-порту 445 на сервере базы данных AD RMS имел только кластер AD RMS.»
«Системная служба сервера обеспечивает поддержку удаленного вызова процедур, а также совместное использование файлов, принтеров и именованных каналов в сети. Служба сервера позволяет организовать совместное использование локальных ресурсов, например дисков и принтеров, чтобы к ним могли получать доступ другие пользователи сети, а также обмен данными по именованным каналам между программами на локальном и удаленных компьютерах. Обмен данными по именованному каналу представляет собой память, зарезервированную для результатов выполнения одного процесса, которые будут использованы в качестве входных данных для другого процесса. Принимающий данные процесс не обязательно должен быть запущен на локальном компьютере.
Примечание. Если имя компьютера разрешается в несколько IP-адресов при использовании службы WINS или в результате сбоя этой службы имя компьютера разрешается при помощи DNS, то NetBIOS через TCP/IP (NetBT) будет проверять IP-адреса или адреса файлового сервера. Обмен данными через порт 130 зависит от эхо-сообщений протокола управляющих сообщений Интернета (ICMP). Если протокол IPv6 (протокол Интернета версии 6) не установлен, то разрешение имен для обмена данными через порт 445 также будет зависеть от ICMP. Предварительно загруженные записи Lmhosts будут обходить механизм разрешения DNS. Если на компьютере под управлением Windows Server 2003 или Windows XP протокол IPv6 установлен, то обмен данными через порт 445 не вызовет запросов ICMP.»
