標準のWindowsオペレーティングシステムのインストールでは、インストール直後にいくつかのポートが開いています。 一部のポートはシステムが正常に機能するために必要ですが、他のポートは一部のユーザーのみが必要とする特定のプログラムまたは機能で使用される場合があります。
これらのポートは、システムで開かれているすべてのポートが攻撃者によってエントリポイントとして使用される可能性があるため、セキュリティリスクをもたらす可能性があります。 機能にそのポートが必要ない場合は、ポートを閉じて、そのポートを標的とする攻撃をブロックすることをお勧めします。
ポートは基本的にデバイスとの通信を許可します。 その特徴は、ポート番号、IPアドレス、およびプロトコルタイプです。
この記事では、Windowsシステムで開いているポートを特定および評価して、最終的に開いたままにするか閉じるかを最終的に決定するツールを提供します。
使用するソフトウェアプログラムとツール:
- CurrPorts:32ビット版および64ビット版のWindowsで利用可能。 これは、コンピューターシステムで開いているすべてのポートを表示するポートモニターです。 これを使用して、ポートとそれらを使用しているプログラムを識別します。
- Windowsタスクマネージャー:プログラムを識別し、一部のポートをプログラムにリンクするためにも使用されます。
- 検索エンジン:ポート情報の検索は、簡単に識別できないポートがある場合に必要です。
開いているすべてのポートを通過することは不可能な作業になるため、いくつかの例を使用して、開いているポートを確認し、それらが必要かどうかを確認する方法を理解します。
CurrPortsを起動し、人口の多いメインエリアを見てみましょう。
プログラムは、プロセス名とID、ローカルポート、プロトコル、ローカルポート名などを表示します。
識別が最も簡単なポートは、上記の例のプロセスID 3216のRSSOwl.exeなどの実行中のプログラムに対応するプロセス名を持つポートです。 このプロセスは、ローカルポート50847および52016にリストされています。これらのポートは通常、プログラムが終了すると閉じられます。 これを確認するには、プログラムを終了し、CurrPortsで開いているポートのリストを更新します。
より重要なポートは、スクリーンショットに示されているシステムポートのように、プログラムにすぐにリンクできないポートです。
これらのポートにリンクされているサービスとプログラムを識別する方法はいくつかあります。 プロセス名の他に、サービスとアプリケーションを検出するために使用できる他のインジケータがあります。
最も重要な情報は、ポート番号、ローカルポート名、およびプロセスIDです。
プロセスIDを使用して、Windowsタスクマネージャーを調べて、システムで実行中のプロセスにリンクしてみます。 そのためには、タスクマネージャーを起動する必要があります(Ctrl Shift Escを押します)。
[表示]、[列の選択]の順にクリックし、表示されるPID(プロセス識別子)を有効にします。 これは、CurrPortsにも表示されるプロセスIDです。
注 :Windows 10を使用している場合は、[詳細]タブに切り替えて、情報をすぐに表示します。
これで、CurrportsのプロセスIDをWindowsタスクマネージャーで実行中のプロセスにリンクできます。
いくつかの例を見てみましょう。
ICSLAP、TCPポート2869
ここには、すぐに識別できないポートがあります。 ローカルポート名はicslap、ポート番号は2869、TCPプロトコルを使用し、プロセスIDは4、プロセス名は「system」です。
通常、すぐに識別できない場合は、最初にローカルポート名を検索することをお勧めします。 Googleを起動して、icslapポート2869などを検索します。
多くの場合、いくつかの提案や可能性があります。 Icslapの場合、インターネット接続共有、Windowsファイアウォール、またはローカルネットワーク共有です。 この場合、Windows Media Playerネットワーク共有サービスによって使用されていることを確認するには、調査が必要でした。
これが本当に当てはまるかどうかを確認する適切なオプションは、実行中のサービスを停止し、ポートリストを更新して、ポートが表示されなくなったかどうかを確認することです。 この場合、Windows Media Playerネットワーク共有サービスを停止した後に閉じられました。
epmap、TCPポート135
調査によると、dcomサーバープロセスランチャーにリンクされています。 調査によると、サービスを無効にすることはお勧めできません。 ただし、完全に閉じるのではなく、ファイアウォールのポートをブロックすることは可能です。
llmnr、UDPポート5355
Currportsを見ると、ローカルポート名llmnrがUDPポート5355を使用していることに注意してください。PCライブラリには、サービスに関する情報があります。 DNSサービスに関連するリンクローカルマルチキャスト名前解決プロトコルを指します。 DNSサービスを必要としないWindowsユーザーは、サービスマネージャーでDNSサービスを無効にできます。 これにより、コンピューターシステムでポートが開かれなくなります。
要約
無料のポータブルプログラムCurrPortsを実行してプロセスを開始します。 システムで開いているすべてのポートが強調表示されます。 CurrPortsを実行する前に、開いているすべてのプログラムを閉じて、開いているポートの数をWindowsプロセスおよびバックグラウンドアプリケーションに制限することをお勧めします。
一部のポートをすぐにプロセスにリンクできますが、WindowsタスクマネージャーでCurrPortsによって表示されるプロセスIDまたはProcess Explorerなどのサードパーティアプリケーションを検索する必要があります。
完了したら、プロセス名を調べて、必要な場合と、不要な場合に閉じることができるかどうかを確認できます。
結論
ポートと、それらがリンクされているサービスまたはアプリケーションを識別するのは必ずしも簡単ではありません。 通常、検索エンジンの研究では、必要でない場合に無効にする方法を担当するサービスを見つけるのに十分な情報が提供されます。
ポートのハントダウンを開始する前の適切な最初のアプローチは、Services Managerで開始されたすべてのサービスをよく見て、システムに必要なサービスを停止して無効にすることです。 これらを評価するための良い出発点は、BlackViper Webサイトのサービス構成ページです。
