是否有任何文档可以供我参考,概述大多数标准 Windows 进程将监听哪些端口或端口范围?例如,如果我看到wininit.exe在 TCP 16000 上监听,这会不正常吗?或者,如果csrss.exe在 49123 上监听,这会不正常吗?或者,smss.exe根本就不应该监听?某种参考资料可以回答有关标准 Windows 操作系统进程的此类问题。
我正在为即将到来的考试做准备,考试内容包括检查机器和确定不寻常的流程和连接,像这样的事情比在谷歌上搜索 15 次“进程监听端口”。
答案1
首先,所需的端口取决于所运行的 Windows 版本。其次,它取决于该版本的 Windows 上安装了哪些角色和功能。有关哪些服务开放哪些端口的参考文档位于此处 (https://support.microsoft.com/en-us/help/832017/service-overview-and-network-port-requirements-for-windows)
但是,您的测试过程存在问题,因为不应允许 Windows 监听“不寻常”的端口。您可以使用安全和合规性管理器(较旧的操作系统)或安全合规性工具包(Server 2012 R2+、Win 10)来强制执行此操作。工具包中包含一组攻击面减少规则,可防止诸如模糊脚本、Adobe Reader 子进程、阻止 JavaScript 和 VbScript 启动下载的可执行文件等。
答案2
netstat -abn
这将列出所有可执行文件 (-b) 及其连接信息 (-a),而无需等待解析 IP 地址的主机名 (-n)。如果启用了 WinRM,您可以在 powershell 中使用 Invoke-Command 将其扩展到所有机器上运行,并编译一个综合列表。
这是一份很好的参考文件,可以进一步回答你的问题 Windows 的服务概述和网络端口要求