Een standaard Windows-besturingssysteeminstallatie heeft een aantal poorten open direct na installatie. Sommige poorten zijn nodig om het systeem goed te laten functioneren, terwijl andere mogelijk worden gebruikt door specifieke programma's of functies die slechts door sommige gebruikers nodig zijn.
Deze poorten kunnen een beveiligingsrisico vormen, omdat elke open poort op een systeem door aanvallers als toegangspunt kan worden gebruikt. Als die poort niet nodig is voor functionaliteit, wordt het aanbevolen om deze te sluiten om eventuele aanvallen die erop zijn gericht te blokkeren.
Een poort maakt in principe communicatie van of naar het apparaat mogelijk. Kenmerken hiervan zijn een poortnummer, een IP-adres en een protocoltype.
Dit artikel geeft u de tools bij de hand om de open poorten op uw Windows-systeem te identificeren en te evalueren om uiteindelijk beslissingen te nemen over het openhouden of definitief sluiten.
Softwareprogramma's en tools die we zullen gebruiken:
- CurrPorts: beschikbaar voor 32-bit en 64-bit edities van Windows. Het is een poortmonitor die alle open poorten op een computersysteem weergeeft. We zullen het gebruiken om de poorten en de programma's die ze gebruiken te identificeren.
- Windows Taakbeheer: wordt ook gebruikt om de programma's te identificeren en sommige poorten aan programma's te koppelen.
- Zoekmachine: zoeken naar poortinformatie is noodzakelijk voor sommige poorten die niet zo gemakkelijk kunnen worden geïdentificeerd.
Het zou een onmogelijke taak zijn om alle open poorten te doorlopen. We zullen daarom een paar voorbeelden gebruiken zodat u begrijpt hoe u op open poorten kunt controleren en kunt nagaan of deze nodig zijn of niet.
Start CurrPorts en bekijk het bevolkte hoofdgebied.
Het programma toont onder andere de procesnaam en ID, lokale poort, protocol en lokale poortnaam.
De gemakkelijkst te identificeren poorten zijn die met een procesnaam die overeenkomt met een actief programma zoals RSSOwl.exe met proces-ID 3216 in het bovenstaande voorbeeld. Het proces wordt vermeld op de lokale poorten 50847 en 52016. Die poorten zijn meestal gesloten wanneer het programma wordt afgesloten. U kunt dat verifiëren door een programma te beëindigen en de lijst met open poorten in CurrPorts te vernieuwen.
De belangrijkste poorten zijn degenen die niet meteen aan een programma kunnen worden gekoppeld, zoals de systeempoorten die op de screenshot worden getoond.
Er zijn een paar manieren om de services en programma's te identificeren die aan die poorten zijn gekoppeld. Naast de procesnaam zijn er nog andere indicatoren die we kunnen gebruiken om de services en toepassingen te ontdekken.
De belangrijkste informatie is het poortnummer, de lokale poortnaam en de proces-ID.
Met het proces-ID kunnen we een kijkje nemen in Windows Taakbeheer om het te proberen te koppelen aan een proces dat op het systeem draait. Om dit te doen, moet u Taakbeheer starten (druk op Ctrl Shift Esc).
Klik op Beeld, Kolommen selecteren en schakel de PID (Process Identifier) in. Dat is de proces-ID die ook wordt weergegeven in CurrPorts.
Opmerking : als u Windows 10 gebruikt, schakelt u over naar het tabblad Details om de informatie meteen weer te geven.
Nu kunnen we proces-ID's in Currports koppelen aan actieve processen in Windows Taakbeheer.
Laten we enkele voorbeelden bekijken:
ICSLAP, TCP-poort 2869
Hier hebben we een poort die we niet onmiddellijk kunnen identificeren. De lokale poortnaam is icslap, het poortnummer is 2869, het gebruikt het TCP-protocol, het heeft de proces-ID 4 en de procesnaam "systeem".
Het is meestal een goed idee om eerst naar de lokale poortnaam te zoeken als deze niet meteen kan worden geïdentificeerd. Start Google en zoek naar icslap-poort 2869 of iets dergelijks.
Vaak zijn er verschillende suggesties of mogelijkheden. Voor Icslap zijn dit Internet Connection Sharing, Windows Firewall of Local Network Sharing. Het vergde wat onderzoek om te ontdekken dat het in dit geval werd gebruikt door de Windows Media Player Network Sharing Service.
Een goede optie om uit te zoeken of dit inderdaad het geval is, is om de service te stoppen als deze actief is en de poortlijst te vernieuwen om te zien of de poort niet meer verschijnt. In dit geval was het gesloten na het stoppen van de Windows Media Player Network Sharing Service.
epmap, TCP-poort 135
Onderzoek toont aan dat het gekoppeld is aan de dcom-serverprocesstarter. Uit onderzoek blijkt ook dat het geen goed idee is om de service uit te schakelen. Het is echter mogelijk om de poort in de firewall te blokkeren in plaats van deze volledig te sluiten.
llmnr, UDP-poort 5355
Als u in Currports kijkt, ziet u dat de lokale poortnaam llmnr de UDP-poort 5355 gebruikt. PC Library bevat informatie over de service. Het verwijst naar het Link Local Multicast Name Resolution-protocol dat gerelateerd is aan de DNS-service. Windows-gebruikers die de DNS-service niet nodig hebben, kunnen deze uitschakelen in de Services Manager. Hierdoor worden de poorten niet meer geopend op het computersysteem.
Samenvatting
U start het proces door het gratis draagbare programma CurrPorts uit te voeren. Het markeert alle open poorten op het systeem. Een goede gewoonte is om alle geopende programma's te sluiten voordat u CurrPorts uitvoert om het aantal open poorten te beperken tot Windows-processen en achtergrondapplicaties.
U kunt sommige poorten direct aan processen koppelen, maar moet de proces-ID die wordt weergegeven door CurrPorts opzoeken in Windows Taakbeheer of een toepassing van derden zoals Process Explorer om het anders te identificeren.
Eenmaal gedaan, kunt u de procesnaam onderzoeken om erachter te komen of u het nodig hebt en of het mogelijk is om het te sluiten als u het niet nodig hebt.
Conclusie
Het is niet altijd eenvoudig om poorten en de services of applicaties waaraan ze zijn gekoppeld te identificeren. Onderzoek op zoekmachines levert meestal voldoende informatie op om te weten te komen welke dienst verantwoordelijk is met manieren om deze uit te schakelen als deze niet nodig is.
Een goede eerste benadering voordat u begint met het zoeken naar poorten, is om alle gestarte services in de Services Manager onder de loep te nemen en de services die nodig zijn voor het systeem te stoppen en uit te schakelen. Een goed uitgangspunt om deze te evalueren is de configuratiepagina voor services op de BlackViper-website.
