Verbeter de Windows-beveiliging door open poorten te sluiten

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Bij een standaardinstallatie van het Windows-besturingssysteem zijn er direct na installatie een aantal poorten open. Sommige poorten zijn nodig om het systeem correct te laten functioneren, terwijl andere kunnen worden gebruikt door specifieke programma's of functies die slechts enkele gebruikers nodig hebben.

Deze poorten kunnen een beveiligingsrisico vormen, aangezien elke open poort op een systeem door aanvallers als toegangspunt kan worden gebruikt. Als die poort niet nodig is voor functionaliteit, wordt aanbevolen om deze te sluiten om eventuele aanvallen te blokkeren.

Een poort maakt in principe communicatie van of naar het apparaat mogelijk. Kenmerken hiervan zijn een poortnummer, een IP-adres en een protocoltype.

Dit artikel geeft u de tools die u bij de hand hebt om de open poorten op uw Windows-systeem te identificeren en te evalueren om uiteindelijk beslissingen te nemen of u ze open moet houden of voorgoed wilt sluiten.

Softwareprogramma's en tools die we zullen gebruiken:

  • CurrPorts : Beschikbaar voor 32-bits en 64-bits edities van Windows. Het is een poortmonitor die alle open poorten op een computersysteem weergeeft. We zullen het gebruiken om de poorten en de programma's die ze gebruiken te identificeren.
  • Windows Task Manager: wordt ook gebruikt om de programma's te identificeren en enkele poorten aan programma's te koppelen.
  • Zoekmachine: zoeken naar poortinformatie is nodig voor sommige poorten die niet zo gemakkelijk kunnen worden geïdentificeerd.

Het zou een onmogelijke taak zijn om alle poorten te doorlopen die open zijn, we zullen daarom een ​​paar voorbeelden gebruiken zodat u begrijpt hoe u kunt controleren op open poorten en erachter kunt komen of ze nodig zijn of niet.

Start CurrPorts op en bekijk het bevolkte hoofdgebied.

currports

Het programma toont onder andere de procesnaam en ID, lokale poort, protocol en lokale poortnaam.

De gemakkelijkste poorten om te identificeren zijn die met een procesnaam die overeenkomt met een lopend programma zoals RSSOwl.exe met proces-ID 3216 in het bovenstaande voorbeeld. Het proces staat vermeld op de lokale poorten 50847 en 52016. Deze poorten zijn gewoonlijk gesloten wanneer het programma sluit. U kunt dat verifiëren door een programma te beëindigen en de lijst met open poorten in CurrPorts te vernieuwen.

De belangrijkste poorten zijn de poorten die niet meteen aan een programma kunnen worden gekoppeld, zoals de systeempoorten die op de schermafbeelding worden weergegeven.

Er zijn een paar manieren om de services en programma's te identificeren die aan die poorten zijn gekoppeld. Naast de procesnaam zijn er nog andere indicatoren die we kunnen gebruiken om de services en applicaties te ontdekken.

De belangrijkste informatie is het poortnummer, de lokale poortnaam en de proces-ID.

Met de proces-ID kunnen we een kijkje nemen in Windows Taakbeheer om te proberen het te koppelen aan een proces dat op het systeem wordt uitgevoerd. Om dat te doen, moet u de taakbeheerder starten (druk op Ctrl Shift Esc).

Klik op View, Select Columns en schakel de PID (Process Identifier) ​​in om weergegeven te worden. Dat is de proces-ID die ook wordt weergegeven in CurrPorts.

Notitie : Als u Windows 10 gebruikt, schakelt u over naar het tabblad Details om de informatie meteen weer te geven.

Windows Task Manager

Nu kunnen we proces-ID's in Currports koppelen aan actieve processen in Windows Taakbeheer.

Laten we een paar voorbeelden bekijken:

ICSLAP, TCP-poort 2869

icslap

Hier hebben we een poort die we niet onmiddellijk kunnen identificeren. De lokale poortnaam is icslap, het poortnummer is 2869, het gebruikt het TCP-protocol, het heeft de proces-ID 4 en de procesnaam 'systeem'.

Het is meestal een goed idee om eerst naar de lokale poortnaam te zoeken als deze niet meteen kan worden geïdentificeerd. Start Google en zoek naar icslap-poort 2869 of iets dergelijks.

Vaak zijn er meerdere suggesties of mogelijkheden. Voor Icslap zijn dit Internet-verbinding delen, Windows Firewall of Lokaal netwerk delen. Het kostte wat onderzoek om erachter te komen dat het in dit geval werd gebruikt door de Windows Media Player Network Sharing Service.

Een goede optie om erachter te komen of dit inderdaad het geval is, is door de service te stoppen als deze actief is en de poortlijst te vernieuwen om te zien of de poort niet meer verschijnt. In dit geval werd het gesloten na het stoppen van de Windows Media Player Network Sharing Service.

epmap, TCP-poort 135

Onderzoek shows dat het is gekoppeld aan het dcom-serverprocesstarter. Onderzoek ook shows dat het geen goed idee is om de service uit te schakelen. Het is echter mogelijk om de poort in de firewall te blokkeren in plaats van deze volledig te sluiten.

llmnr, UDP-poort 5355

Als je in Currports kijkt, zie je dat de lokale poortnaam llmnr de UDP-poort 5355 gebruikt. PC-bibliotheek heeft informatie over de service. Het verwijst naar het Link Local Multicast Name Resolution-protocol dat gerelateerd is aan de DNS-service. Windows-gebruikers die de DNS-service niet nodig hebben, kunnen deze uitschakelen in Services Manager. Dit zorgt ervoor dat de poorten niet open zijn op het computersysteem.

Samenvatting

U start het proces door het gratis draagbare programma CurrPorts uit te voeren. Het markeert alle open poorten op het systeem. Een goede gewoonte is om alle geopende programma's te sluiten voordat u CurrPorts uitvoert om het aantal open poorten voor Windows-processen en achtergrondtoepassingen te beperken.

U kunt sommige poorten meteen aan processen koppelen, maar u moet de proces-ID die wordt weergegeven door CurrPorts in Windows Taakbeheer of een toepassing van derden, zoals Process Explorer, opzoeken om deze anders te identificeren.

Als u klaar bent, kunt u de procesnaam onderzoeken om erachter te komen of u deze nodig heeft en of het mogelijk is om deze te sluiten als u deze niet nodig heeft.

Gevolgtrekking

Het is niet altijd gemakkelijk om poorten en de services of applicaties waaraan ze zijn gekoppeld te identificeren. Onderzoek naar zoekmachines levert meestal voldoende informatie op om erachter te komen welke service verantwoordelijk is en om deze uit te schakelen als deze niet nodig is.

Een goede eerste benadering voordat u begint met het zoeken naar poorten, is om alle gestarte services in de Services Manager onder de loep te nemen en de services die nodig zijn voor het systeem te stoppen en uit te schakelen. Een goed startpunt om deze te evalueren is de configuratiepagina voor services op het BlackViper website.