Вірус WannaCry, він же WannaCrypt чи Wanna Decryptor, вразив віртуальний світ у травні 2017 року. Шкідлива програма проникала в локальні мережі, заражаючи один комп'ютер за іншим, шифрувала файли на дисках і вимагала від користувача перевести здирникам від $300 до $600 за їх розблокування. Аналогічно діяв вірус Petya, який здобув чи не політичну популярність влітку 2017 року.
Обидва мережеві шкідники проникали в операційну систему комп'ютера-жертви через одну і ту ж двері - мережеві порти 445 або 139. Слідом за двома великими вірусами і дрібніші види комп'ютерної зарази почали експлуатувати Що ж це за порти, які сканують усі, кому не ліньки?
Ці порти використовуються в Windows для спільної роботи з файлами та принтерами. Перший порт відповідає за роботу протоколу Server Message Blocks (SMB), а через другий працює протокол Network Basic Input-Output System (NetBIOS). Обидва протоколи дозволяють комп'ютерам під керуванням Windows підключатися по мережі до розшарованих папок і принтерів поверх основних протоколів TCP і UDP.
Починаючи з Windows 2000, спільна робота з файлами та принтерами по мережі здійснюється в основному через порт 445 за прикладним протоколом SMB. Протокол NetBIOS використовувався в ранніх версіях системи, працюючи через порти 137, 138 і 139, і дана можливість збереглася в пізніших версіях системи як атавізм.
445 і 139 є непомітну, але значну вразливість у Windows. Залишаючи ці порти незахищеними, ви широко відчиняєте двері на свій жорсткий диск для непроханих гостей на кшталт вірусів, троянів, черв'яків, а також для атак хакерів. А якщо ваш комп'ютер включено в локальну мережу, то ризику зараження шкідливим програмним забезпеченням наражаються всі її користувачі.
Фактично, ви відкриваєте спільний доступ до свого жорсткого диска будь-кому, хто зуміє отримати доступ до даних портів. За бажанням та вмінням зловмисники можуть переглянути вміст жорсткого диска, а то й видалити дані, форматувати сам диск або зашифрувати файли. Саме це й робили віруси WannaCry та Petya, епідемія яких прокотилася світом цього літа.
Таким чином, якщо ви дбаєте про безпеку своїх даних, буде не зайвим дізнатися, як закрити порти 139 та 445 у Windows.
У більшості випадків порт 445 у Windows відкритий, оскільки можливості спільного доступу до принтерів і файлів автоматично вмикаються ще при інсталяції Windows. Це можна легко перевірити на машині. Натисніть клавіші Win + Rвідкрити вікно швидкого запуску. У ньому введіть “ cmd”для запуску командного рядка. У командному рядку наберіть “ netstat -na" та натисніть Enter. Ця команда дозволяє просканувати всі активні мережні порти і вивести дані про їх статус і поточні вхідні підключення.
Через кілька секунд з'явиться таблиця статистики портів. У самому верху таблиці буде вказано IP-адресу порту 445. Якщо в останньому стовпці таблиці стоятиме статус "LISTENING"Це означає, що порт відкритий. Аналогічним чином можна знайти в таблиці порт 139 та з'ясувати його статус.
Існує три основні методи, що дозволяють закрити порт 445 у Windows 10, 7 або 8. Вони не сильно відрізняються один від одного залежно від версії системи та досить прості. Можна спробувати будь-який із них на вибір. Цими ж способами можна закрити порт 139.
Перший метод, що дозволяє закрити 445 порт у Windows, є найпростішим і доступним практично будь-якому користувачеві.
Тепер можливість вхідного з'єднання на порт 445 буде закрито. Якщо необхідно, аналогічне правило можна створити для порту 139.
Другий метод включає операції з командним рядком і більше підходить для просунутих користувачів Windows.
В результаті виконання процедури буде створено правило брандмауера Windows для закриття порту 445. Деякі користувачі, втім, повідомляють, що даний метод не працює на їх машинах: при перевірці порт залишається в статусі "LISTENING". У цьому випадку слід спробувати третій спосіб, який також досить простий.
Блокувати з'єднання на порт 445 можна шляхом внесення змін до системного реєстру. Використовувати цей метод слід з обережністю: реєстр Windows є основною базою даних усієї системи, і випадково допущена помилка може призвести до непередбачуваних наслідків. Перед роботою з реєстром рекомендується створити резервну копію, наприклад, за допомогою програми CCleaner.
Цей спосіб є найбільш ефективним, якщо точно дотримуватися наведеної вище інструкції. Слід зазначити, що він відноситься лише до порту 445.
Для того, щоб захист був ефективнішим, після внесення змін до реєстру можна також вимкнути службу Windows Server. Для цього виконайте таке:
Наведені вище методи (крім третього) дозволяють закрити як порт 445, а й порти 135, 137, 138, 139. Для цього під час процедури просто заміняйте номер порту на потрібний.
Якщо вам згодом потрібно відкрити порти, просто видаліть створене правило у брандмауері Windows або змініть значення створеного в реєстрі параметра з 0 на 1, а потім увімкніть службу Windows Server, вибравши в списку Тип запускузначення Автоматичнозамість Вимкнено.
Важливо!Необхідно пам'ятати, що порт 445 у Windows відповідає за спільний доступ до файлів, папок та принтерів. Таким чином, якщо ви закриєте цей порт, ви більше не зможете розшарити спільну папку для інших користувачів або роздрукувати документ по мережі.
Якщо ваш комп'ютер увімкнено в локальну мережу і ці функції необхідні для роботи, слід скористатися сторонніми засобами захисту. Наприклад, активуйте мережевий екран вашого антивірусу, який візьме під контроль усі порти і здійснюватиме їх моніторинг щодо несанкціонованого доступу.
Виконуючи наведені вище рекомендації, можна убезпечити себе від непомітної, але серйозної вразливості у Windows та захистити свої дані від численних видів шкідливого програмного забезпечення, яке здатне проникнути в систему через порти 139 та 445.
Вчора невідомі влаштували чергову масову атаку за допомогою вірусу-шифрувальника. Експерти заявили, що постраждали десятки великих компаній в Україні та Росії. Вірус-шифрувальник має назву Petya.A (ймовірно, вірус названий на честь Петра Порошенка). Пишуть, що якщо створити файл perfc (без розширення) і розмістити його за адресою C: Windows, вірус обійде вас стороною. Якщо ваш комп'ютер пішов у перезавантаження і почав перевірку диска, потрібно його негайно вимкнути. Завантаження з LiveCD або USB-диска дасть доступ до файлів. Ще один спосіб захисту: закрити порти 1024-1035, 135 і 445. Як це ми зараз розберемося на прикладі Windows 10.
Крок 1
Переходимо в Брандмауер Windows(краще вибрати режим підвищеної безпеки), вибираємо вкладку « Додаткові параметри».
Вибираємо вкладку « Правила для вхідних підключень», потім дія « Створити правило»(У правій колонці).
Крок 2
Вибираємо тип правила - « для Порту». У наступному вікні вибираємо пункт « Протокол TCP», вказуємо порти, які бажаєте закрити. У нашому випадку це « 135, 445, 1024-1035
»(без лапок).
Крок 3
Вибираємо пункт « Блокувати підключення», у наступному вікні відзначаємо всі профілі: Доменний, Приватний, Публічний.
Крок 4
Залишилося вигадати назву для правила (щоб у майбутньому його було легко знайти). Можна вказати опис правила.
Якщо якісь програми перестануть працювати або працюватимуть неправильно, можливо, ви перекрили порт, який вони використовують. Потрібно буде додати їм виняток у брандмауері.
135 TCP-портвикористовується службами віддаленого обслуговування (DHCP, DNS, WINS і т.д.) та в програмах «клієнт-сервер» Microsoft (наприклад, Exchange).
445 TCP-портвикористовується у Microsoft Windows 2000 та пізніх версій для прямого TCP/IP-доступу без використання NetBIOS (наприклад, Active Directory).
Публікація
Вчора невідомі влаштували чергову масову атаку за допомогою вірусу-шифрувальника. Експерти заявили, що постраждали десятки великих компаній в Україні та Росії. Вірус-шифрувальник має назву Petya.A (ймовірно, вірус названий на честь Петра Порошенка). Пишуть, що якщо створити файл perfc (без розширення) і розмістити його за адресою C: Windows, вірус обійде вас стороною. Якщо ваш комп'ютер пішов у перезавантаження і почав перевірку диска, потрібно його негайно вимкнути. Завантаження з LiveCD або USB-диска дасть доступ до файлів. Ще один спосіб захисту: закрити порти 1024-1035, 135 і 445. Як це ми зараз розберемося на прикладі Windows 10.
Крок 1
Переходимо в Брандмауер Windows(краще вибрати режим підвищеної безпеки), вибираємо вкладку « Додаткові параметри».
Вибираємо вкладку « Правила для вхідних підключень», потім дія « Створити правило»(У правій колонці).
Крок 2
Вибираємо тип правила - « для Порту». У наступному вікні вибираємо пункт « Протокол TCP», вказуємо порти, які бажаєте закрити. У нашому випадку це « 135, 445, 1024-1035
»(без лапок).
Крок 3
Вибираємо пункт « Блокувати підключення», у наступному вікні відзначаємо всі профілі: Доменний, Приватний, Публічний.
Крок 4
Залишилося вигадати назву для правила (щоб у майбутньому його було легко знайти). Можна вказати опис правила.
Якщо якісь програми перестануть працювати або працюватимуть неправильно, можливо, ви перекрили порт, який вони використовують. Потрібно буде додати їм виняток у брандмауері.
135 TCP-портвикористовується службами віддаленого обслуговування (DHCP, DNS, WINS і т.д.) та в програмах «клієнт-сервер» Microsoft (наприклад, Exchange).
445 TCP-портвикористовується у Microsoft Windows 2000 та пізніх версій для прямого TCP/IP-доступу без використання NetBIOS (наприклад, Active Directory).
Публікація
Для вирішення різних завдань, пов'язаних з локальною мережею або інтернетом, Windows 10 використовує певні порти. Один із них, що знаходиться під номером 445, у деяких випадках рекомендується закрити вручну, незважаючи на те, що операційна система вмикає його автоматично.
Порт 445 є одним із TCP-портів. TCP - це протокол, тобто набір умов та правил, що забезпечує стабільну взаємодію між кількома пристроями через інтернет. Цей протокол, як й інші, встановлює певний формат передачі. Якби його не було, то, наприклад, з одного пристрою пакет інформації відправлявся б у вигляді рядка «Користувач: Name», тоді як інший пристрій очікував побачити рядок «Name - користувач», внаслідок чого він не зміг би правильно обробити запит та інтернет-з'єднання перервалося.
TCP протокол також забезпечує безпеку, виконуючи перевірку IP-адреси (унікального номера пристрою) під час надсилання кожного пакета даних. Завдяки цьому навіть якщо в потік інформації, що пересилається, впровадиться будь-який сторонній пристрій, дані йому відправлені не будуть.
Порт під номером 445 - один із багатьох, які працюють за протоколом TCP. Але він має певне завдання, яким не займаються інші порти, - забезпечення з'єднання між загальними принтерами, сканерами і папками. Загальними називаються пристрої та дані, доступ до яких можна отримати з будь-якого комп'ютера, а не лише з того, до якого вони підключені або на якому знаходяться.
Наприклад, до спільного принтера можна підключитися з комп'ютера, який не має прямого кабельного з'єднання з принтером. Для цього потрібно з'єднатися з комп'ютером, до якого підключений кабель від принтера, через порт 445. Після цього користувач пристрою зможе відправляти на принтер команди (почати друк, зупинити її тощо) без фізичного підключення до нього.
Маючи підключення до порту 445, можна також переглядати вміст жорсткого диска та змінювати його.
З одного боку, порт 445 буде корисним, якщо ви працюєте на кількох комп'ютерах відразу: можна налагодити швидкий обмін даними та керування пристроями, підключеними до іншого комп'ютера через інтернет. З іншого - відкритий порт 445 наражає вас на небезпеку. Досвідчені люди можуть використовувати його як уразливість операційної системи: підключаться до нього та отримають доступ до ваших файлів, що знаходяться на жорсткому диску.
Якщо ви не збираєтеся використовувати можливості цього порту або зберігаєте в пам'яті комп'ютера важливі файли, скористайтеся інструкціями, щоб закрити порт, залатаючи тим самим одну з потенційно небезпечних дірок Windows.
Перед тим, як закрити порт вручну, варто перевірити, чи він відкритий на даний момент. За промовчанням Windows 10 відкриває його. Але деякі сторонні антивіруси, а точніше – брандмауери (програми, що займаються забезпеченням безпеки в мережі), можуть його закрити.
У Windows 10 є кілька способів, що дозволяють закрити порт 445. Якщо один з них з якихось причин не спрацює, зверніться до іншого. Але який би метод ви не вибрали, результат буде один - порт 445 перестане слухатись, тобто підключитися до нього буде не можна.
Брандмауер – це програма, що займається забезпеченням безпеки користувача, що працює з інтернетом, тому за допомогою неї можна заблокувати потенційно небезпечні порти. У Windows 10 є вбудований брандмауер, який впорається із цим завданням:
Командний рядок дозволяє керувати всіма параметрами системи. У тому числі через неї можна відкривати та закривати порти:
Виконавши два вищеописаних кроки, ви створите те саме правило для брандмауера, як би зробили це за допомогою налаштування брандмауера.
У реєстрі зберігаються значення всіх параметрів операційної системи. Змінюючи їх, можна активувати або деактивувати порт:
Після виконання всіх кроків закрийте реєстр і перезавантажте комп'ютер, щоб зміни набули чинності.
WWDC - стороння програма, що спрощує процес увімкнення та відключення портів. Офіційний сайт, з якого можна завантажити програму - http://wwdc.toom.su (на момент написання статті недоступний).
Після того як ви завантажите та відкриєте програму, з'явиться список портів та їх стан: enable – включений, disable – призупинено, close – закрито. Знайдіть серед усіх портів номер 445 і клацніть по кнопці, що знаходиться під його назвою - його стан зміниться. Ви повинні встановити варіант close.
Після того, як потрібний параметр буде встановлений, зміни набудуть чинності і порт 445 буде закрито.
Порт 445 відповідає за віддалену роботу із загальними принтерами та папками. Його мінус у тому, що він знижує рівень захисту системи. Щоб убезпечити себе від вірусів, варто закрити цей порт, вдавшись до допомоги брандмауера, командного рядка, реєстру або WWDC.