Une installation standard du système d'exploitation Windows a un certain nombre de ports ouverts juste après l'installation. Certains des ports sont nécessaires au bon fonctionnement du système, tandis que d'autres peuvent être utilisés par des programmes ou des fonctionnalités spécifiques pouvant n'être nécessaires que par certains utilisateurs.
Ces ports peuvent poser un risque pour la sécurité car chaque port ouvert sur un système peut être utilisé comme point d’entrée par les attaquants. Si ce port n'est pas nécessaire à la fonctionnalité, il est recommandé de le fermer pour bloquer toute attaque le ciblant.
Un port permet essentiellement la communication vers ou depuis le périphérique. Ses caractéristiques sont un numéro de port, une adresse IP et un type de protocole.
Cet article vous donnera les outils nécessaires pour identifier et évaluer les ports ouverts de votre système Windows afin de décider en dernier ressort de les garder ouverts ou de les fermer définitivement.
Logiciels et outils que nous utiliserons:
- CurrPorts: Disponible pour les éditions 32 bits et 64 bits de Windows. C'est un moniteur de port qui affiche tous les ports ouverts sur un système informatique. Nous allons l'utiliser pour identifier les ports et les programmes qui les utilisent.
- Gestionnaire de tâches Windows: Utilisé également pour identifier les programmes et lier certains ports aux programmes.
- Moteur de recherche: La recherche d'informations sur les ports est nécessaire pour certains ports qui ne peuvent pas être identifiés facilement.
Il serait impossible de passer en revue tous les ports ouverts. Nous allons donc utiliser quelques exemples pour que vous compreniez comment vérifier les ports ouverts et déterminer s'ils sont requis ou non.
Lancez CurrPorts et jetez un coup d'œil à la zone principale peuplée.
Le programme affiche, entre autres, le nom et l'ID du processus, le port local, le protocole et le nom du port local.
Les ports les plus faciles à identifier sont ceux dont le nom de processus correspond à un programme en cours d'exécution tel que RSSOwl.exe portant l'ID de processus 3216 dans l'exemple ci-dessus. Le processus répertorie les ports locaux 50847 et 52016. Ces ports sont généralement fermés à la fermeture du programme. Vous pouvez le vérifier en mettant fin à un programme et en actualisant la liste des ports ouverts dans CurrPorts.
Les ports les plus importants sont ceux qui ne peuvent pas être liés immédiatement à un programme, comme les ports système indiqués sur la capture d'écran.
Il existe quelques moyens d'identifier les services et programmes liés à ces ports. Il existe d'autres indicateurs que nous pouvons utiliser pour découvrir les services et les applications en plus du nom du processus.
Les informations les plus importantes sont le numéro de port, le nom du port local et l'ID de processus.
Avec l'ID de processus, nous pouvons jeter un coup d'œil dans le gestionnaire de tâches de Windows pour essayer de le lier à un processus en cours d'exécution sur le système. Pour ce faire, vous devez démarrer le gestionnaire de tâches (appuyez sur les touches Ctrl Maj Echap).
Cliquez sur Afficher, sélectionnez les colonnes et activez l'affichage du PID (Identificateur de processus). C'est l'identifiant de processus qui est également affiché dans CurrPorts.
Remarque : Si vous utilisez Windows 10, passez à l'onglet Détails pour afficher immédiatement les informations.
Maintenant, nous pouvons lier les ID de processus dans Currports aux processus en cours d'exécution dans le gestionnaire de tâches Windows.
Prenons quelques exemples:
ICSLAP, port TCP 2869
Nous avons ici un port que nous ne pouvons pas identifier immédiatement. Le nom du port local est icslap, le numéro de port est 2869, il utilise le protocole TCP, l'ID de processus 4 et le nom de processus "système".
Il est généralement judicieux de commencer par rechercher le nom du port local s'il ne peut pas être identifié immédiatement. Lancez Google et recherchez le port icslap 2869 ou quelque chose de similaire.
Il y a souvent plusieurs suggestions ou possibilités. Pour Icslap, il s’agit du partage de connexion Internet, du pare-feu Windows ou du partage de réseau local. Des recherches ont été nécessaires pour découvrir que, dans ce cas, il était utilisé par le service de partage réseau du lecteur Windows Media.
Une bonne option pour savoir si c'est effectivement le cas est d'arrêter le service s'il est en cours d'exécution et d'actualiser la liste des ports pour voir si le port n'apparaît plus. Dans ce cas, il a été fermé après l’arrêt du service de partage réseau du lecteur Windows Media.
epmap, port TCP 135
La recherche montre qu'il est lié au lanceur de processus de serveur dcom. La recherche montre également que ce n'est pas une bonne idée de désactiver le service. Il est toutefois possible de bloquer le port dans le pare-feu au lieu de le fermer complètement.
llmnr, port UDP 5355
Si vous regardez dans Currports, vous remarquerez que le nom du port local llmnr utilise le port UDP 5355. La bibliothèque PC contient des informations sur le service. Il fait référence au protocole Link Local Multicast Name Resolution qui est associé au service DNS. Les utilisateurs Windows n'ayant pas besoin du service DNS peuvent le désactiver dans le gestionnaire de services. Cela ferme les ports d'être ouverts sur le système informatique.
résumer
Vous démarrez le processus en exécutant le programme portable gratuit CurrPorts. Il met en évidence tous les ports ouverts du système. Une bonne pratique consiste à fermer tous les programmes ouverts avant d'exécuter CurrPorts afin de limiter le nombre de ports ouverts aux processus Windows et aux applications d'arrière-plan.
Vous pouvez lier certains ports aux processus immédiatement, mais vous devez rechercher l'ID de processus affiché par CurrPorts dans le Gestionnaire des tâches Windows ou une application tierce telle que Process Explorer, sinon, pour l'identifier.
Une fois cela fait, vous pouvez rechercher le nom du processus pour savoir si vous en avez besoin et s'il est possible de le fermer si vous n'en avez pas besoin.
Conclusion
Il n’est pas toujours facile d’identifier les ports et les services ou applications auxquels ils sont liés. La recherche sur les moteurs de recherche fournit généralement suffisamment d’informations pour savoir quel service est responsable et comment le désactiver s'il n’est pas nécessaire.
Avant de commencer à traquer les ports, une bonne approche consiste à examiner de près tous les services démarrés dans le Gestionnaire de services et à arrêter et désactiver ceux qui sont nécessaires au système. La page de configuration des services sur le site Web de BlackViper constitue un bon point de départ pour l’évaluer.
