Bei einer Standardinstallation des Windows-Betriebssystems sind direkt nach der Installation eine Reihe von Ports geöffnet. Einige der Anschlüsse sind erforderlich, damit das System ordnungsgemäß funktioniert, während andere möglicherweise von bestimmten Programmen oder Funktionen verwendet werden, die nur einige Benutzer benötigen.
Diese Ports können ein Sicherheitsrisiko darstellen, da jeder offene Port eines Systems von Angreifern als Einstiegspunkt verwendet werden kann. Wenn dieser Port für die Funktionalität nicht benötigt wird, wird empfohlen, ihn zu schließen, um Angriffe auf ihn zu blockieren.
Ein Port ermöglicht grundsätzlich die Kommunikation zum oder vom Gerät. Merkmale davon sind eine Portnummer, eine IP-Adresse und ein Protokolltyp.
In diesem Artikel finden Sie die Tools, mit denen Sie die offenen Ports auf Ihrem Windows-System identifizieren und auswerten können, um letztendlich zu entscheiden, ob Sie sie geöffnet lassen oder endgültig schließen möchten.
Von uns verwendete Softwareprogramme und Tools:
- CurrPorts: Verfügbar für 32-Bit- und 64-Bit-Editionen von Windows. Es ist ein Port-Monitor, der alle offenen Ports auf einem Computersystem anzeigt. Wir werden es verwenden, um die Ports und die Programme zu identifizieren, die sie verwenden.
- Windows Task-Manager: Wird auch zum Identifizieren der Programme und zum Verknüpfen einiger Ports mit Programmen verwendet.
- Suchmaschine: Die Suche nach Portinformationen ist für einige Ports erforderlich, die nicht so einfach identifiziert werden können.
Es wäre eine unmögliche Aufgabe, alle offenen Ports zu durchlaufen. Wir werden daher einige Beispiele verwenden, damit Sie verstehen, wie Sie nach offenen Ports suchen und herausfinden, ob diese erforderlich sind oder nicht.
Starten Sie CurrPorts und werfen Sie einen Blick auf den besiedelten Hauptbereich.
Das Programm zeigt unter anderem den Prozessnamen und die ID, den lokalen Port, das Protokoll und den lokalen Portnamen an.
Die Ports, die am einfachsten zu identifizieren sind, haben einen Prozessnamen, der einem laufenden Programm wie RSSOwl.exe mit der Prozess-ID 3216 im obigen Beispiel entspricht. Der Prozess listet die lokalen Ports 50847 und 52016 auf. Diese Ports werden normalerweise geschlossen, wenn das Programm geschlossen wird. Sie können dies überprüfen, indem Sie ein Programm beenden und die Liste der offenen Ports in CurrPorts aktualisieren.
Die wichtigsten Ports sind diejenigen, die nicht sofort mit einem Programm verknüpft werden können, wie die auf dem Screenshot gezeigten Systemports.
Es gibt verschiedene Möglichkeiten, die mit diesen Ports verknüpften Dienste und Programme zu identifizieren. Neben dem Prozessnamen gibt es noch andere Indikatoren, anhand derer wir die Dienste und Anwendungen ermitteln können.
Die wichtigsten Informationen sind die Portnummer, der lokale Portname und die Prozess-ID.
Mit der Prozess-ID können wir einen Blick in den Windows Task-Manager werfen, um zu versuchen, ihn mit einem auf dem System ausgeführten Prozess zu verknüpfen. Dazu müssen Sie den Task-Manager starten (Strg + Umschalt + Esc drücken).
Klicken Sie auf Ansicht, Spalten auswählen und aktivieren Sie die Anzeige der PID (Prozesskennung). Dies ist die Prozess-ID, die auch in CurrPorts angezeigt wird.
Hinweis : Wenn Sie Windows 10 verwenden, wechseln Sie zur Registerkarte Details, um die Informationen sofort anzuzeigen.
Jetzt können wir Prozess-IDs in Currports mit laufenden Prozessen im Windows Task-Manager verknüpfen.
Schauen wir uns einige Beispiele an:
ICSLAP, TCP-Port 2869
Hier haben wir einen Port, den wir nicht sofort identifizieren können. Der lokale Portname ist icslap, die Portnummer ist 2869, es wird das TCP-Protokoll verwendet, es hat die Prozess-ID 4 und den Prozessnamen "system".
Es ist normalerweise eine gute Idee, zuerst nach dem lokalen Portnamen zu suchen, wenn dieser nicht sofort identifiziert werden kann. Starten Sie Google und suchen Sie nach icslap port 2869 oder etwas Ähnlichem.
Oft gibt es mehrere Vorschläge oder Möglichkeiten. Für Icslap sind dies Internetverbindungsfreigabe, Windows-Firewall oder lokale Netzwerkfreigabe. Es waren einige Untersuchungen erforderlich, um herauszufinden, dass es in diesem Fall vom Windows Media Player-Netzwerkfreigabedienst verwendet wurde.
Eine gute Möglichkeit, um herauszufinden, ob dies tatsächlich der Fall ist, besteht darin, den Dienst zu beenden, falls er ausgeführt wird, und die Portliste zu aktualisieren, um festzustellen, ob der Port nicht mehr angezeigt wird. In diesem Fall wurde es nach dem Beenden des Windows Media Player-Netzwerkfreigabediensts geschlossen.
epmap, TCP-Port 135
Untersuchungen haben ergeben, dass es mit dem Prozessstarter des dcom-Servers verbunden ist. Untersuchungen haben außerdem ergeben, dass es nicht ratsam ist, den Dienst zu deaktivieren. Es ist jedoch möglich, den Port in der Firewall zu blockieren, anstatt ihn vollständig zu schließen.
llmnr, UDP-Port 5355
Wenn Sie in Currports nachsehen, wird Ihnen angezeigt, dass der lokale Portname llmnr den UDP-Port 5355 verwendet. Die PC Library enthält Informationen zum Dienst. Es bezieht sich auf das Link Local Multicast Name Resolution-Protokoll, das sich auf den DNS-Dienst bezieht. Windows-Benutzer, die den DNS-Dienst nicht benötigen, können ihn im Dienste-Manager deaktivieren. Dadurch wird verhindert, dass die Ports auf dem Computersystem geöffnet sind.
Rekapitulieren
Sie starten den Prozess, indem Sie das kostenlose portable Programm CurrPorts ausführen. Es werden alle offenen Ports im System hervorgehoben. Es empfiehlt sich, alle geöffneten Programme zu schließen, bevor Sie CurrPorts ausführen, um die Anzahl der offenen Ports für Windows-Prozesse und Hintergrundanwendungen zu begrenzen.
Sie können einige Ports sofort mit Prozessen verknüpfen, müssen jedoch die von CurrPorts im Windows Task-Manager oder einer Drittanbieteranwendung wie Process Explorer angezeigte Prozess-ID nachschlagen, um sie zu identifizieren.
Anschließend können Sie den Prozessnamen überprüfen, um herauszufinden, ob er benötigt wird und ob er geschlossen werden kann, wenn Sie ihn nicht benötigen.
Fazit
Es ist nicht immer einfach, Ports und die damit verbundenen Dienste oder Anwendungen zu identifizieren. Nachforschungen in Suchmaschinen liefern in der Regel genügend Informationen, um herauszufinden, welcher Dienst für die Deaktivierung verantwortlich ist, wenn er nicht benötigt wird.
Ein guter erster Ansatz, bevor Sie mit der Suche nach Ports beginnen, besteht darin, alle gestarteten Dienste im Dienste-Manager zu überprüfen und die für das System erforderlichen zu stoppen und zu deaktivieren. Ein guter Ausgangspunkt, um diese auszuwerten, ist die Seite zur Dienstekonfiguration auf der BlackViper-Website.
