Sådan bruges KB 824146-scanningsværktøjet til at finde værtscomputere, hvor sikkerhedsopdateringerne 823980 (MS03-026) og 824146 (MS03-039) ikke er installeret

Artikel-id: 827363 - Få vist de produkter, som denne artikel refererer til.
Bemærk! Den 7. oktober 2003 udgav Microsoft en opdateret version (1.00.0257) af KB 824146-scanningsværktøjet (KB824146scan.exe), der omfatter flere funktionsforespørgsler, der er baseret på tilbagemeldinger fra kunderne. Blandt de vigtigste ændringer i version 1.00.0257 kan nævnes:
  • Muligheden for at scanne Microsoft Windows NT 4.0-baserede computere, der har værdien RestrictAnonymous aktiveret i registreringsdatabasen.
  • Forbedrede outputkategorier, der medvirker til at præcisere de scannede computeres sikkerhedsrettelsesniveau.
  • NetBIOS-navneoutput for scannede computere.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Microsoft har udgivet KB 823980-scanningsværktøjet (KB824146scan.exe), som netværksadministratorer kan bruge til at finde værtscomputere på netværket, hvor sikkerhedsopdateringerne 823980 (MS03-026) og 824146 (MS03-039) ikke er installeret. Dette værktøj erstatter scanningsværktøjet KB823980 (KB823980scan.exe).

Bemærk! Hvis du bruger værktøjet KB823980scan.exe til at scanne en computer, hvor sikkerhedsopdateringen 824146 er installeret, rapporterer værktøjet fejlagtigt, at computeren mangler sikkerhedsopdateringen 823980 (MS03-026). Microsofts kunder opfordres til at køre værktøjet KB824146scan.exe for at undersøge, om sikkerhedsopdateringerne 823980 (MS03-026) og 824146 (MS03-039) er installeret på værtscomputerne i netværkene. Yderligere oplysninger om sikkerhedsopdateringen 824146 (MS03-039) finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
824146
(http://support.microsoft.com/kb/824146/ )
MS03-039: Bufferoverløb i RPCSS kan tillade en angriber at køre skadelige programmer
Yderligere oplysninger om sikkerhedsrettelsen 823980 (MS03-026) finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
823980
(http://support.microsoft.com/kb/823980/ )
MS03-026: Bufferoverløb i RCP-grænseflade kan tillade kørsel af programkode (artiklen er evt. på engelsk)
Yderligere oplysninger om denne nye ormevirus, der forsøger at udnytte den svaghed i DCOM RPC, som afhjælpes i sikkerhedsrettelsen 823980 (MS03-026), finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
826955
(http://support.microsoft.com/kb/826955/ )
Virusadvarsel om Blaster-ormen og dens varianter (artiklen er evt. på engelsk)
Yderligere oplysninger om, hvordan netværksadministratorer kan bruge Windows Management Instrumentation-scripting til at installere sikkerhedsopdateringen 823980 (MS03-026) på computere, hvor opdateringen ikke er installeret, i deres Microsoft Windows NT-, Microsoft Windows 2000- eller Microsoft Windows Server 2003-domæner, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
827227
(http://support.microsoft.com/kb/827227/ )
Sådan bruges et Visual Basic Script til at installere sikkerhedsopdatering 824146 (MS03-039) eller 823980 (MS03-026) på fjerncomputere

Yderligere Information

Værktøjet KB824146scan.exe kan bruges af netværksadministratorer til at scanne fjerncomputere for at finde de Windows-baserede computere, der ikke har sikkerhedsopdateringerne 823980 (MS03-026) og 824146 (MS03-039) installeret. Scanningen kræver ikke godkendelse (dvs. du behøver ikke at angive gyldige legitimationsoplysninger på fjerncomputeren). Værktøjet KB824146scan.exe har ikke indflydelse på stabiliteten af det operativsystem, der scannes.

Du kan bruge værktøjet KB824146scan.exe fra en computer, der kører Windows Server 2003, Windows XP eller Windows 2000. Du kan bruge det til at scanne computere i netværket, der er baseret på Windows Server 2003, Windows XP, Windows 2000 eller Windows NT 4.0.

Oplysninger om overførsel og installation

Besøg følgende Microsoft-websted for at hente værktøjet KB824146scan.exe:
http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en)
Hent installationspakken Dcom-kb827363-x86-enu.exe. Dobbeltklik på installationspakken Dcom-kb827363-x86-enu.exe, som du har hentet, for at installere værktøjet KB824146scan.exe. Værktøjet er en kommandolinjefunktion, der installeres i undermappen KB824146scan i mappen Programmer eller i undermappen KB824146scan i mappen Programmer (X86) under 64-bit versionerne af Windows XP eller Windows Server 2003.

Brug

Følg disse trin for at køre værktøjet KB824146scan.exe:
  1. Klik på Start, og klik derefter på Kør.
  2. Skriv cmd i feltet Åbn, og klik derefter på OK.
  3. Skriv cd %programfiler%\kb824146scan ud for en kommandoprompt, og tryk på ENTER.
  4. Skriv kb824146scanparametre.
Skriv KB824146scan.exe /? for at få vist oplysninger om de parametre, der kan angives sammen med værktøjet KB824146scan.exe. Følgende oplysninger vises: 
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. Alle rettigheder reserveret.

Formålet med KB824146Scan.exe er at kontrollere over netværket, om Windows-systemer
har programopdateringerne KB824146 og KB823980 installeret. Med KB824146Scan.exe kan
administratorer hurtigt søge efter systemer uden programrettelsen i virksomhedsnetværk.

Syntaks: KB824146Scan.exe [/?] [/i:inputfil] [/l[:logfil]] [/n]
                        [/o:outputfil] [/r] [/t:timeout] [/v] destination ...

Destinationen kan være i et af følgende formater:

    a.b.c.d             - IP-adresse 
    a.b.c.d-i.j.k.l     - IP-adresseområde 
    a.b.c.d/maske      - IP-adresse med CIDR-maske
    vært                - ikke-fuldstændigt værtsnavn
    vært.domæne.com   - fuldstændigt domænenavn
    lokal_vært         - kontroller den lokale computer

Destinationerne kan angives på kommandolinjen og i brugerdefinerede inputfiler.
Formatet på inputfilen er en destination pr. linje.

KB824146Scan.exe vedligeholder en logfil i det aktuelle bibliotek, hvis parameteren /l
er angivet på kommandolinjen. (Ellers sendes output kun til
skærmen). Logfilernes navne er i formatet KB824146Scan_ÅÅMMDD[a-z][a-z].log,
hvor ÅÅ er årstallet med to cifre, MM er måneden med to cifre, og DD er dagen med to
cifre. [a-z][a-z] føjes til logfilens navn, hvis der udføres yderligere scanninger
den samme dag. Bemærk, at logoutput kun
indeholder de mest nødvendige oplysninger. Hvis du ønsker, at alle oplysninger skal registreres, skal
du angive parameteren /v for at aktivere detaljeret logføring.

KB824146Scan.exe opretter en oversigt over sårbare systemer (med eller uden
programopdateringen KB823980 installeret) i den aktuelle arbejdsmappe. Logfilernes
navne er i formatet Vulnerable_ÅÅMMDD[a-z][a-z].log, hvor ÅÅ
er årstallet med to cifre, MM er måneden med to cifre, og DD er dagen med to cifre. Værdien
[a-z][a-z] føjes til logfilens navn, hvis der udføres yderligere scanninger
den samme dag. Filnavnet kan ændres med programparameteren /o.

KB824146Scan.exe oversætter IP-adresser til DNS-navne, hvis parameteren /r er
angivet på kommandolinjen. Det kan bevirke en reduktion i ydeevnen, hvis
DSN-serverne reagerer langsomt.

KB824146Scan.exe oversætter IP-adresser til NetBIOS-navne, hvis parameteren /n
er angivet på kommandolinjen. Det kan bevirke en reduktion i ydeevnen, hvis
NetBIOS-fjernforbindelsen reagerer langsomt.

KB824146Scan.exe har et standardtimeout på 5 sekunder, hvilket burde være tilstrækkeligt
i de fleste netværk. Hvis netværket er langsomt, eller IPSec er aktiveret, skal du
muligvis forøge timeoutværdien til 10 sekunder eller mere. Brug /t til at angive
antal sekunder for timeoutværdien.

Eksempel på output

I det følgende gives et eksempel på kommandolinjeoutput, som vises af KB824146Scan.exe, når du bruger værktøjet til at scanne et IP-adresseinterval (10.1.1.0 til 10.1.1.255 i dette eksempel). 
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. Alle rettigheder reserveret.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Fejlmeddelelser, status og statistik

  • Status "unpatched" angiver, at den vært, der er blevet undersøgt, er en Windows-vært, og at sikkerhedsopdateringerne 823980 (MS03-026) og 824146 (MS03-039) ikke er installeret. For at beskytte denne computer skal du installere sikkerhedsopdateringen 824146 (MS03-039).
  • Status "patched with KB823980" angiver, at værten er blevet undersøgt, og at sikkerhedsopdateringen 823980 (MS03-026) er installeret. Sikkerhedsopdateringen 824146 (MS03-039) er ikke installeret på computeren. Du skal installere sikkerhedsopdateringen 824146 (MS03-039) for at beskytte denne computer.
  • Status "patched with KB824146 and KB823980" angiver, at værten er blevet undersøgt, og at sikkerhedsopdateringerne 823980 (MS03-026) og 824146 (MS03-039) er installeret.
  • Fejlmeddelelsen "host unreachable" angiver, at der ikke findes en vært på den angivne IP-adresse. Sort huls-routere eller firewalls, der sletter pakker, f.eks. Internet Connection Firewall (ICF), returnerer også fejlmeddelelsen "host unreachable".
  • Status "DCOM is disabled on this host" angiver, at DCOM er deaktiveret på destinationsværtscomputeren. DCOM kan være blevet deaktiveret i et forsøg på at beskytte mod de svagheder, der behandles af sikkerhedsopdateringerne 823980 (MS03-026) og 824146 (MS03-039). Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
    825750
    (http://support.microsoft.com/kb/825750/ )
    Sådan deaktiverer du understøttelse af DCOM i Windows (artiklen er evt. på engelsk)
  • Fejlmeddelelsen "address is not valid in this context" eller "connection failure" angiver, at der opstod et problem ved oprettelse af forbindelse til fjerncomputeren. Når du skal afgøre, om målcomputerne er opdateret med programrettelsen, skal du undersøge dem manuelt.
  • Fejlmeddelelsen "connection refused" angiver enten, at der ikke er nogen tjeneste, som lytter på TCP-port 135, eller at TCP-port 135 filtreres (enten af Windows TCP/IP-protokolstakken eller af en firewall eller en router). Når du skal afgøre, om målcomputerne er opdateret med programrettelsen, skal du undersøge dem manuelt.
  • Fejlmeddelelsen "this host needs further investigation" angiver, at der er et problem med at scanne fjernværten. Når du skal afgøre, om målcomputerne er opdateret med programrettelsen, skal du undersøge dem manuelt.
  • Fejlmeddelelsen "connection failure, error 67 (0x00000043)" angiver, at netværksnavnet ikke kan findes. Hvis du vil finde årsagen til lignende fejlmeddelelser, skal du skrive følgende kommando på kommandoprompten, hvor:nn er fejlmeddelelsens decimalnummer:
    net helpmsgnn
  • Statistikken "Patched with KB824146 and KB823980" er en sammentælling af de målcomputere, der er markeret med statusmeddelelsen "patched with KB824146 and KB823980".
  • Statistikken "Patched with KB823980" er en sammentælling af de målcomputere, der er markeret med statusmeddelelsen "patched with KB823980".
  • Statistikken "Unpatched" er en sammentælling af de målcomputere, der er markeret med statusmeddelelsen "unpatched".
  • Statistikken "TOTAL HOSTS SCANNED" er den samlede total for statistikkerne "Patched with KB824146 and KB823980", "Patched with KB823980" og "Unpatched".
  • Statistikken "DCOM Disabled" er en sammentælling af de målcomputere, der er markeret med statusmeddelelsen "DCOM is disabled on this host".
  • Statistikken "Needs Investigation" er en sammentælling af de målcomputere, der er markeret med statusmeddelelsen "this host needs further investigation".
  • Statistikken "Connection refused" er en sammentælling af de målcomputere, der er markeret med statusmeddelelsen "connection refused".
  • Statistikken "Host unreachable" er en sammentælling af de målcomputere, der er markeret med statusmeddelelsen "host unreachable".
  • Statistikken "Other Errors" er en sammentælling af de målcomputere, der er markeret med en anden fejlmeddelelse end dem, der er angivet i denne liste.
  • Statistikken "TOTAL HOSTS SKIPPED" er den samlede total for statistikkerne "DCOM Disabled", "Needs Investigation", "Connection refused", "Host unreachable" og "Other Errors".
  • Statistikken "TOTAL ADDRESSES SCANNED" er den samlede total for statistikkerne "TOTAL HOSTS SCANNED" og "TOTAL HOSTS SKIPPED".

Logfiler, der oprettes af værktøjet KB824146Scan.exe

Bemærk! Disse logfiler oprettes i den aktuelle arbejdsmappe (dvs. den mappe, hvorfra du kører KB824146Scan.exe). Som standard er det undermappen KB824146scan i mappen Programmer, eller det er undermappen KB824146scan i mappen Programmer (X86) under 64-bit versionerne af Windows XP eller Windows Server 2003.
  • KB824146Scan_ÅÅMMDD[a-z][a-z].log: Denne logfil indeholder oplysninger, der ligner de oplysninger, der er angivet i afsnittet "Eksempel på output" i denne artikel.
  • Vulnerable_ÅÅMMDD[a-z][a-z].log: Denne logfil indeholder en oversigt over IP-adresserne til de computere på netværket, hvor sikkerhedsopdateringen 824146 (MS03-039) ikke er installeret. Du kan bruge filen Vulnerable_ÅÅMMDD[a-z][a-z] uden ændringer som inputfilen (Ipfile.txt) for det Patchinstall.vbs-script, der er beskrevet i artikel 827227 i Microsoft Knowledge Base. Hvis du kører KB824146Scan.exe mere end én gang om dagen for at udføre en scanning, føjes bogstaverne [a-z][a-z] til filenavnet Vulnerable_ÅÅMMDD[a-z][a-z] efter datoen. Hvis du f.eks. kører KB824146Scan.exe fem gange den 21. august 2003, oprettes følgende logfiler i den angivne rækkefølge:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    I eksemplet på output, som er beskrevet i afsnittet "Eksempel på output" i denne artikel, vil logfilen Vulnerable_ÅÅMMDD[a-z][a-z].log indeholde følgende poster:
    10.1.1.2
    10.1.1.8

Kendte problemer

  • Hvis fjernadgang eller fildeling er aktiveret, kan værktøjet KB824146scan.exe fejlagtigt rapportere, at følgende versioner af Windows er sårbare:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 - 2. udgave
    • Microsoft Windows Millennium Edition
  • Den oprindelige udgave af værktøjet KB824146scan.exe (1.00.0249) kan ikke afgøre, om sikkerhedsrettelserne 823980 (MS03-026) og 824146 (MS03-039) er installeret på en Windows NT 4.0-baseret computer, hvor værdien RestrictAnonymous er sat til 1 i følgende registreringsdatabasenøgle:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    I dette tilfælde rapporterer værktøjet KB824146scan.exe følgende fejlstatus for målcomputeren: ?cannot get workstation info: error 997 (0x000003E5).? Når du skal finde ud af, om der er installeret programrettelser på disse computere, skal du bruge version 1.00.0257 af KB824146scan.exe eller manuelt undersøge alle de Windows NT 4.0-baserede computere, der har værdien RestrictAnonymous aktiveret.
  • Du kan ikke bruge dobbeltbytetegnsæt i stien til inputfilen, outputfilen, logfilen eller værtscomputeren ved brugen af værktøjet KB824146scan.exe.
Tilbage til toppen | Send feedback

Egenskaber

Artikel-id: 827363 - Seneste redigering: 11. juli 2005 - Redigering: 4.4
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Nøgleord: 
kbfirewall kbhowto KB827363
Tilbage til toppen | Send feedback

Send feedback

 
Tilbage til toppenTilbage til toppen