Un'installazione standard del sistema operativo Windows ha un numero di porte aperte subito dopo l'installazione. Alcune porte sono necessarie per il corretto funzionamento del sistema, mentre altre possono essere utilizzate da programmi o funzionalità specifici che solo alcuni utenti potrebbero richiedere.
Queste porte possono rappresentare un rischio per la sicurezza in quanto ogni porta aperta su un sistema può essere utilizzata come punto di accesso dagli aggressori. Se tale porta non è necessaria per la funzionalità, si consiglia di chiuderla per bloccare eventuali attacchi mirati.
Una porta consente sostanzialmente la comunicazione da o verso il dispositivo. Le sue caratteristiche sono un numero di porta, un indirizzo IP e un tipo di protocollo.
Questo articolo ti fornirà gli strumenti a portata di mano per identificare e valutare le porte aperte sul tuo sistema Windows per prendere decisioni alla fine se tenerle aperte o chiuderle per sempre.
Programmi software e strumenti che utilizzeremo:
- CurrPorts: disponibile per le versioni a 32 e 64 bit di Windows. È un monitor di porte che visualizza tutte le porte aperte su un sistema informatico. Lo useremo per identificare le porte e i programmi che le stanno usando.
- Task Manager di Windows: utilizzato anche per identificare i programmi e collegare alcune porte ai programmi.
- Motore di ricerca: la ricerca di informazioni sulla porta è necessaria per alcune porte che non possono essere identificate facilmente.
Sarebbe un compito impossibile passare attraverso tutte le porte aperte, pertanto utilizzeremo alcuni esempi in modo da capire come verificare la presenza di porte aperte e scoprire se sono necessarie o meno.
Accendi CurrPorts e dai un'occhiata all'area principale popolata.
Il programma visualizza tra l'altro il nome e l'ID del processo, la porta locale, il protocollo e il nome della porta locale.
Le porte più facili da identificare sono quelle con un nome di processo che corrisponde a un programma in esecuzione come RSSOwl.exe con l'ID di processo 3216 nell'esempio sopra. Il processo è elencato sulle porte locali 50847 e 52016. Tali porte sono generalmente chiuse alla chiusura del programma. Puoi verificarlo chiudendo un programma e aggiornando l'elenco delle porte aperte in CurrPorts.
Le porte più importanti sono quelle che non possono essere collegate immediatamente a un programma come le porte di sistema mostrate nello screenshot.
Esistono alcuni modi per identificare i servizi e i programmi collegati a tali porte. Esistono altri indicatori che possiamo utilizzare per scoprire i servizi e le applicazioni oltre al nome del processo.
Le informazioni più importanti sono il numero di porta, il nome della porta locale e l'ID del processo.
Con l'ID processo possiamo dare un'occhiata al Task Manager di Windows per provare a collegarlo a un processo in esecuzione sul sistema. Per fare ciò è necessario avviare il task manager (premere Ctrl Shift Esc).
Fai clic su Visualizza, Seleziona colonne e abilita la visualizzazione del PID (Process Identifier). Questo è l'ID del processo mostrato anche in CurrPorts.
Nota : se si utilizza Windows 10, passare alla scheda Dettagli per visualizzare immediatamente le informazioni.
Ora possiamo collegare gli ID di processo in Currports ai processi in esecuzione nel Task Manager di Windows.
Diamo un'occhiata ad alcuni esempi:
ICSLAP, porta TCP 2869
Qui abbiamo una porta che non possiamo identificare immediatamente. Il nome della porta locale è icslap, il numero della porta è 2869, utilizza il protocollo TCP, ha l'ID processo 4 e il nome processo "sistema".
Di solito è una buona idea cercare prima il nome della porta locale se non può essere identificato immediatamente. Accendi Google e cerca la porta icslap 2869 o qualcosa di simile.
Spesso ci sono diversi suggerimenti o possibilità. Per Icslap si tratta di Condivisione connessione Internet, Windows Firewall o Condivisione rete locale. Sono state necessarie alcune ricerche per scoprire che in questo caso è stato utilizzato dal servizio di condivisione in rete di Windows Media Player.
Una buona opzione per scoprire se questo è davvero il caso è quella di interrompere il servizio se è in esecuzione e aggiornare l'elenco delle porte per vedere se la porta non viene più visualizzata. In questo caso è stato chiuso dopo l'arresto del servizio di condivisione in rete di Windows Media Player.
epmap, porta TCP 135
La ricerca mostra che è collegato all'avvio del processo del server dcom. La ricerca mostra anche che non è una buona idea disabilitare il servizio. È comunque possibile bloccare la porta nel firewall invece di chiuderla completamente.
llmnr, porta UDP 5355
Se guardi in Currports, ti accorgi che il nome della porta locale llmnr utilizza la porta UDP 5355. PC Library ha informazioni sul servizio. Si riferisce al protocollo Link Local Multicast Name Resolution che è correlato al servizio DNS. Gli utenti Windows che non necessitano del servizio DNS possono disabilitarlo in Gestione servizi. Questo chiude le porte dall'essere aperte sul sistema informatico.
Ricapitolare
Si avvia il processo eseguendo il programma portatile gratuito CurrPorts. Evidenzia tutte le porte aperte sul sistema. Una buona pratica è chiudere tutti i programmi aperti prima di eseguire CurrPorts per limitare il numero di porte aperte ai processi di Windows e alle applicazioni in background.
È possibile collegare subito alcune porte ai processi, ma è necessario cercare l'ID del processo visualizzato da CurrPorts nel Task Manager di Windows o un'applicazione di terze parti come Process Explorer per identificarlo.
Una volta fatto, puoi cercare il nome del processo per scoprire se ne hai bisogno e se è possibile chiuderlo se non lo richiedi.
Conclusione
Non è sempre facile identificare le porte e i servizi o le applicazioni a cui sono collegati. La ricerca sui motori di ricerca di solito fornisce informazioni sufficienti per scoprire quale servizio è responsabile con i modi per disabilitarlo se non necessario.
Un buon primo approccio prima di iniziare a dare la caccia alle porte sarebbe quello di dare un'occhiata da vicino a tutti i servizi avviati in Gestione servizi e arrestare e disabilitare quelli necessari per il sistema. Un buon punto di partenza per valutare tali è la pagina di configurazione dei servizi sul sito Web di BlackViper.
