Cài đặt hệ điều hành Windows tiêu chuẩn có một số cổng được mở ngay sau khi cài đặt. Một số cổng cần thiết để hệ thống hoạt động chính xác, trong khi các cổng khác có thể được sử dụng bởi các chương trình hoặc tính năng cụ thể mà chỉ một số người dùng có thể yêu cầu.
Các cổng này có thể gây rủi ro bảo mật vì mọi cổng mở trên hệ thống có thể được sử dụng làm điểm vào của kẻ tấn công. Nếu cổng đó không cần thiết cho chức năng, bạn nên đóng cổng đó để chặn mọi cuộc tấn công nhắm vào nó.
Một cổng cho phép giao tiếp đến hoặc từ thiết bị về cơ bản. Đặc điểm của nó là số cổng, địa chỉ IP và loại giao thức.
Bài viết này sẽ cung cấp cho bạn các công cụ sẵn sàng để xác định và đánh giá các cổng mở trên hệ thống Windows của bạn để đưa ra quyết định cuối cùng là giữ chúng mở hay đóng chúng mãi mãi.
Các chương trình và công cụ phần mềm mà chúng tôi sẽ sử dụng:
- CurrPorts: Có sẵn cho các phiên bản Windows 32 bit và 64 bit. Đây là một màn hình cổng hiển thị tất cả các cổng mở trên hệ thống máy tính. Chúng tôi sẽ sử dụng nó để xác định các cổng và các chương trình đang sử dụng chúng.
- Trình quản lý tác vụ Windows: Cũng được sử dụng để xác định các chương trình và liên kết một số cổng với các chương trình.
- Công cụ tìm kiếm: Tìm kiếm thông tin cổng là cần thiết cho một số cổng không thể xác định dễ dàng.
Sẽ là một nhiệm vụ bất khả thi khi đi qua tất cả các cổng đang mở, do đó chúng tôi sẽ sử dụng một vài ví dụ để bạn hiểu cách kiểm tra các cổng mở và tìm hiểu xem chúng có bắt buộc hay không.
Kích hoạt CurrPorts và nhìn vào khu vực chính đông dân cư.
Chương trình hiển thị tên tiến trình và ID, cổng cục bộ, giao thức và tên cổng cục bộ trong số những người khác.
Các cổng dễ nhất để xác định là những cổng có tên quy trình tương ứng với một chương trình đang chạy như RSSOwl.exe với ID tiến trình 3216 trong ví dụ trên. Quá trình được liệt kê trên các cổng cục bộ 50847 và 52016. Các cổng đó thường được đóng khi chương trình đóng. Bạn có thể xác minh rằng bằng cách chấm dứt một chương trình và làm mới danh sách các cổng mở trong CurrPorts.
Các cổng quan trọng hơn là các cổng không thể được liên kết với chương trình ngay lập tức như các cổng Hệ thống được hiển thị trên ảnh chụp màn hình.
Có một số cách để xác định các dịch vụ và chương trình được liên kết với các cổng đó. Có các chỉ số khác mà chúng ta có thể sử dụng để khám phá các dịch vụ và ứng dụng bên cạnh tên quy trình.
Thông tin quan trọng nhất là số cổng, tên cổng cục bộ và ID tiến trình.
Với ID tiến trình, chúng ta có thể xem Trình quản lý tác vụ Windows để thử và liên kết nó với một quy trình đang chạy trên hệ thống. Để làm điều đó, bạn cần khởi động trình quản lý tác vụ (nhấn Ctrl Shift Esc).
Nhấp vào Xem, Chọn Cột và cho phép hiển thị PID (Mã định danh quy trình). Đó là ID tiến trình cũng được hiển thị trong CurrPorts.
Lưu ý : Nếu bạn sử dụng Windows 10, hãy chuyển sang tab Chi tiết để hiển thị thông tin ngay lập tức.
Bây giờ chúng tôi có thể liên kết ID tiến trình trong Currports với các quy trình đang chạy trong Trình quản lý tác vụ Windows.
Chúng ta hãy xem một số ví dụ:
ICSLAP, Cổng TCP 2869
Ở đây chúng tôi có một cổng mà chúng tôi không thể xác định ngay lập tức. Tên cổng cục bộ là icslap, số cổng là 2869, nó sử dụng giao thức TCP, nó có ID tiến trình 4 và tên quy trình "system".
Nó thường là một ý tưởng tốt để tìm kiếm tên cổng địa phương đầu tiên nếu nó không thể được xác định ngay lập tức. Kích hoạt Google và tìm kiếm cổng icslap 2869 hoặc một cái gì đó tương tự.
Thường có một số gợi ý hoặc khả năng. Đối với Icslap, chúng là Chia sẻ kết nối Internet, Tường lửa Windows hoặc Chia sẻ mạng cục bộ. Phải mất một số nghiên cứu để tìm ra rằng trong trường hợp này, nó đã được sử dụng bởi Dịch vụ chia sẻ mạng Windows Media Player.
Một lựa chọn tốt để tìm hiểu xem đây có thực sự là trường hợp dừng dịch vụ nếu nó đang chạy và làm mới danh sách cổng để xem cổng không xuất hiện nữa hay không. Trong trường hợp này, nó đã bị đóng sau khi dừng Dịch vụ chia sẻ mạng Windows Media Player.
epmap, cổng TCP 135
Nghiên cứu cho thấy rằng nó được liên kết với trình khởi chạy quy trình máy chủ dcom. Nghiên cứu cũng cho thấy rằng việc vô hiệu hóa dịch vụ không phải là một ý tưởng tốt. Tuy nhiên, có thể chặn cổng trong tường lửa thay vì đóng hoàn toàn.
llmnr, cổng UDP 5355
Nếu bạn xem trong Currports, thông báo của bạn rằng tên cổng cục bộ llmnr sử dụng cổng UDP 5355. Thư viện PC có thông tin về dịch vụ. Nó đề cập đến giao thức Độ phân giải tên đa liên kết cục bộ liên quan đến dịch vụ DNS. Người dùng Windows không cần dịch vụ DNS có thể vô hiệu hóa nó trong Trình quản lý dịch vụ. Điều này sẽ đóng các cổng khỏi bị mở trên hệ thống máy tính.
Tóm tắt
Bạn bắt đầu quá trình bằng cách chạy CurrPorts chương trình di động miễn phí. Nó làm nổi bật tất cả các cổng mở trên hệ thống. Một thực hành tốt là đóng tất cả các chương trình đang mở trước khi bạn chạy CurrPorts để giới hạn số lượng cổng mở cho các quy trình và ứng dụng nền của Windows.
Bạn có thể liên kết một số cổng với các quy trình ngay lập tức, nhưng cần tra cứu ID tiến trình được hiển thị bởi CurrPorts trong Trình quản lý tác vụ Windows hoặc ứng dụng của bên thứ ba như Process Explorer để xác định nó.
Sau khi hoàn thành, bạn có thể nghiên cứu tên quy trình để tìm hiểu xem bạn có cần nó không và liệu có thể đóng nó nếu bạn không yêu cầu.
Phần kết luận
Không phải lúc nào cũng dễ dàng xác định các cổng và các dịch vụ hoặc ứng dụng mà chúng được liên kết đến. Nghiên cứu trên các công cụ tìm kiếm thường cung cấp đủ thông tin để tìm ra dịch vụ nào chịu trách nhiệm với các cách để vô hiệu hóa nó nếu không cần thiết.
Cách tiếp cận đầu tiên tốt trước khi bắt đầu săn lùng các cổng sẽ là xem xét kỹ tất cả các dịch vụ đã bắt đầu trong Trình quản lý dịch vụ và dừng và vô hiệu hóa các dịch vụ cần thiết cho hệ thống. Điểm khởi đầu tốt để đánh giá chúng là trang cấu hình dịch vụ trên trang web BlackViper.
