Help and Support

Artikel-ID: 827363 - Geändert am: Montag, 11. Juli 2005 - Version: 4.3

Verwendung des Scan-Tools "KB824146Scan" zur Identifikation von Hostcomputern, auf denen die Sicherheitspatches 823980 (MS03-026)und 824146 (MS03-039) nicht installiert sind

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
827363  (http://support.microsoft.com/kb/827363/EN-US/ ) How to Use the KB 824146 Scanning Tool to Identify Host Computers That Do Not Have the 823980 (MS03-026) and the 824146 (MS03-039) Security Patches Installed
Hinweis: Am 7. Oktober 2003 hat Microsoft eine aktualisierte Version (1.00.0257) des Scan-Tools KB 824146 (KB824146scan.exe) zur Verfügung gestellt, in die zahlreiche Funktionen entsprechend den Wünschen der Kunden integriert wurden. Folgende hauptsächliche Änderungen wurden in Version 1.00.0257 vorgenommen:
  • Die Möglichkeit, Microsoft Windows NT 4.0-Computer zu durchsuchen, auf denen der Wert RestrictAnonymous in der Registrierung aktiviert ist
  • Verbesserte Ausgabekategorien, die helfen, die Ebene des Sicherheitspatches der durchsuchten Computer zu definieren
  • NetBIOS-Namenausgabe für überprüfte Computer
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Microsoft hat das Scan-Tool "KB 823980" (KB823980scan.exe) zur Verfügung gestellt. Dieses Programm können Netzwerkadministratoren dazu nutzen, in ihrem Netzwerk Hostcomputer zu identifizieren, auf denen die Sicherheitspatches 823980 (MS02-026) und 824146 (MS03-039) nicht installiert sind. Dieses Tool ersetzt das Scan-Tool "KB823980" (KB823980scan.exe).

Hinweis: Wenn Sie das Programm "KB823980scan.exe" zum Durchsuchen eines Computers verwenden, auf dem der Sicherheitspatch 824146 installiert ist, meldet das Programm fälschlich zurück, dass auf dem Computer der Sicherheitspatch 823980 (MS03-026) fehlt. Microsoft empfiehlt, mit dem Programm "KB824146scan.exe" zu ermitteln, ob die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) auf den Hostcomputern in ihrem Netzwerk installiert sind. Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
824146   (http://support.microsoft.com/kb/824146/DE/ ) MS03-039: Pufferüberlauf in RPCSS kann Ausführung von böswilligem Programmcode ermöglichen
Weitere Informationen zum Sicherheitspatch 823980 (MS03-026) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
823980   (http://support.microsoft.com/kb/823980/DE/ ) MS03-026: Pufferüberlauf in RPC kann Ausführung von Code ermöglichen
Informationen zu einem neuen Wurmvirus, das versucht, die DCOM-RPC-Anfälligkeit auszunutzen, die durch den Sicherheitspatch 823980 (MS03-026) behoben wird, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
826955   (http://support.microsoft.com/kb/826955/DE/ ) Viruswarnung zum Blaster-Wurmvirus und dessen Varianten
Weitere Informationen dazu, wie Netzwerkadministratoren per WMI-Skripting (WMI = Windows Management Instrumentation; Windows-Verwaltungsinstrumentation) den Sicherheitspatch 823980 in ihrer Microsoft Windows NT-, Microsoft Windows 2000- oder Microsoft Windows Server 2003-Domäne auf Computern installieren können, die diesen Patch nicht haben, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
827227   (http://support.microsoft.com/kb/827227/DE/ ) Verwenden eines Visual Basic Skripts zum Installieren des Sicherheitspatch 824146 (MS03-039) oder 823980 (MS03-026) auf Remote-Hostcomputern
Zum Anfang

Weitere Informationen

Mit dem Programm "KB824146scan.exe" können Netzwerkadministratoren Remotecomputer durchsuchen, um Windows-Computer zu ermitteln, auf denen die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) nicht installiert sind. Dieser Scan erfordert keine Authentifizierung (d. h. Sie benötigen keine gültigen Anmeldeinformationen für den Remotecomputer). Die Verwendung des Programms "KB824146scan.exe" beeinträchtigt die Stabilität des durchsuchten Zielbetriebssystems nicht.

Dieses Programm können Sie von einem Computer mit Windows Server 2003, Windows XP oder Windows 2000 aus verwenden. Sie können damit Windows Server 2003-, Windows XP-, Windows 2000- oder Windows NT 4.0-Computer durchsuchen.
Zum Anfang

Informationen zu Download und Installation

Das Programm "KB824146scan.exe" steht auf folgender Microsoft-Website zum Download zur Verfügung:
http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=de (http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=de)
Laden Sie das Installationspaket "Dcom-kb827363-x86-deu.exe" herunter. Doppelklicken Sie auf das heruntergeladene Installationspaket "Dcom-kb827363-x86-deu.exe", um das Programm "KB824146scan.exe" zu installieren. Es handelt sich um ein Befehlszeilenprogramm, das im Unterordner "KB824146scan" des Ordners "Programme" oder (bei 64-Bit-Versionen von Windows XP oder Windows Server 2003) des Ordners "Programme (X86)" installiert wird.
Zum Anfang

Verwendung

Gehen Sie folgendermaßen vor, um das Programm "KB824146scan.exe" auszuführen:
  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie in das Feld Öffnen cmd ein. Klicken Sie anschließend auf OK.
  3. Geben Sie an der Eingabeaufforderung cd %programfiles%\kb824146scan ein, und drücken Sie die [EINGABETASTE].
  4. Geben Sie kb824146scan Optionen ein.
Geben Sie KB824146scan.exe /? ein, um Informationen zu den Optionen zu erhalten, die für das Programm zur Verfügung stehen. Die folgenden Informationen werden angezeigt: 
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

Targets can take any of the following forms:

    a.b.c.d             - IP address
    a.b.c.d-i.j.k.l     - IP address range
    a.b.c.d/mask        - IP address with CIDR mask
    host                - unqualified hostname
    host.domain.com     - fully-qualified domain name
    localhost           - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. The
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
for most networks. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.
Zum Anfang

Beispielausgabe

Das folgende Beispiel zeigt die Daten, die "KB824146Scan.exe" ausgibt, wenn Sie das Programm zum Durchsuchen eines Bereichs von IP-Adressen verwenden (in diesem Beispiel 10.1.1.0 bis 10.1.1.255). 
C:\>kb824146scan 10.1.1.1/24
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256
Zum Anfang

Fehlermeldungen, Status und Statistik

  • Der Status "unpatched" zeigt an, dass der Host, der durchsucht wurde, ein Windows-Host ist, auf dem die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) nicht installiert wurden. Sie müssen den Sicherheitspatch 824146 (MS03-039) installieren, um diesen Computer zu schützen.
  • Der Status "patched with KB823980" zeigt an, dass der Host durchsucht wurde und der Sicherheitspatch 823980 (MS03-026) auf diesem Host installiert ist. Auf diesem Computer ist der Sicherheitspatch 824146 (MS03-039) nicht installiert. Sie müssen den Sicherheitspatch 824146 (MS03-039) installieren, um diesen Computer zu schützen.
  • Der Status "patched with KB824146 and KB823980" zeigt an, dass der Host durchsucht wurde und die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) auf diesem Host installiert sind.
  • Eine Meldung "host unreachable" zeigt an, dass unter der angegebenen IP-Adresse (IP = Internet Protocol) kein Host existiert. Auch Black-Hole-Router oder Firewalls, die Pakete verwerfen, wie beispielsweise die Internetverbindungsfirewall, geben eine Fehlermeldung "host unreachable" zurück.
  • Der Status "DCOM is disabled on this host" zeigt an, dass DCOM auf dem Zielhostcomputer deaktiviert wurde. DCOM wurde möglicherweise zum Schutz gegen die Sicherheitsanfälligkeiten deaktiviert, die von den Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) behoben werden. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    825750   (http://support.microsoft.com/kb/825750/DE/ ) Deaktivieren der DCOM-Unterstützung in Windows
  • Eine Fehlermeldung "address is not valid in this context" oder "connection failure" zeigt an, dass beim Versuch, eine Verbindung zum Remotecomputer herzustellen, ein Problem aufgetreten ist. Sie müssen die Zielcomputer manuell darauf überprüfen, ob die Patches installiert wurden.
  • Eine Fehlermeldung "connection refused" zeigt an, dass entweder kein Dienst an TCP-Port 135 wartet, oder dass TCP-Port 135 gefiltert wird (durch den Windows-TCP/IP-Stack, eine Firewall oder einen Router). Sie müssen die Zielcomputer manuell darauf überprüfen, ob die Patches installiert wurden.
  • Eine Fehlermeldung "this host needs further investigation" zeigt an, dass Probleme beim Durchsuchen des Remotehosts aufgetreten sind. Sie müssen die Zielcomputer manuell darauf überprüfen, ob die Patches installiert wurden.
  • Eine Fehlermeldung "connection failure, error 67 (0x00000043)" zeigt an, dass der Netzwerkname nicht gefunden werden kann. Geben Sie an der Eingabeaufforderung Folgendes ein, um die Ursache ähnlicher Fehlermeldungen zu bestimmen. Hierbei steht nn für die dezimale Fehlernummer.
    net helpmsg nn
  • Der Statistikwert "Patched with KB824146 and KB823980" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "patched with KB824146 and KB823980" gekennzeichnet wurden.
  • Der Statistikwert "Patched with KB823980" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "patched with KB823980" gekennzeichnet wurden.
  • Der Statistikwert "Unpatched" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "unpatched" gekennzeichnet wurden.
  • Der Statistikwert "TOTAL HOSTS SCANNED" gibt die Gesamtanzahl der Computer an, die mit der Statusmeldung "Patched with KB824146 and KB823980," the "Patched with KB823980" oder "Unpatched" versehen wurden.
  • Der Statistikwert "DCOM Disabled" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "DCOM is disabled on this host" gekennzeichnet wurden.
  • Der Statistikwert "Needs Investigation" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "this host needs further investigation" gekennzeichnet wurden.
  • Der Statistikwert "Connection refused" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "Connection refused" gekennzeichnet wurden.
  • Der Statistikwert "Host unreachable" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "host unreachable" gekennzeichnet wurden.
  • Der Statistikwert "Other Errors" gibt die Anzahl der Zielcomputer an, die mit sonstigen Fehlermeldungen gekennzeichnet wurden, die nicht in dieser Liste enthalten sind.
  • Der Statistikwert "TOTAL HOSTS SKIPPED" gibt die Gesamtanzahl der Computer an, die mit den Meldungen "DCOM Disabled," "Needs Investigation," "Connection refused," "Host unreachable" und "Other Errors" gekennzeichnet wurden.
  • Der Statistikwert "TOTAL ADDRESSES SCANNED" ist die Summe von "TOTAL HOSTS SCANNED" und "TOTAL HOSTS SKIPPED".
Zum Anfang

Von "KB824146Scan.exe" erstellte Protokolldateien

Hinweis: Diese Protokolldateien werden im aktuellen Arbeitsordner erstellt (d. h. in dem Ordner, aus dem Sie "KB824146Scan.exe") ausführen). Standardmäßig ist das der Unterordner "KB824146scan" des Ordners "Programme" oder (bei 64-Bit-Versionen von Windows XP oder Windows Server 2003) des Ordners "Programme (X86)".
  • KB824146Scan_JJMMTT[a-z][a-z].log: Diese Protokolldatei enthält Informationen, die den Informationen im Abschnitt "Beispielausgabe" in diesem Artikel entsprechen.
  • Vulnerable_JJMMTT[a-z][a-z].log: Diese Protokolldatei enthält eine Liste der IP-Adressen von Computern in Ihrem Netzwerk, auf denen der Sicherheitspatch 824146 (MS03-039) nicht installiert ist. Sie können die Datei "Vulnerable_JJMMTT[a-z][a-z]" unverändert als Eingabedatei (Ipfile.txt) für das Skript "Patchinstall.vbs" verwenden, das im Microsoft Knowledge Base-Artikel 827227 verwendet wird. Wenn Sie öfter als einmal am Tag einen Scan mit "KB824146Scan.exe" ausführen, werden die Buchstaben [a-z][a-z] nach dem Datum zur Datei "Vulnerable_JJMMTT[a-z][a-z]" hinzugefügt. Wenn Sie z. B. "KB824146Scan.exe" am 21. August 2003 fünf Mal ausführen, werden die folgenden Protokolldateien in der angegebenen Reihenfolge erstellt:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    Für die Beispielausgabe im entsprechenden Abschnitt in diesem Artikel würde die Protokolldatei "Vulnerable_JJMMTT[a-z][a-z].log" folgende Einträge enthalten:
    10.1.1.2
    10.1.1.8
Zum Anfang

Bekannte Probleme

  • Wenn Remotezugriff oder Dateifreigabe aktiviert sind, kann es vorkommen, dass das Programm "KB824146scan.exe" bei folgenden Windows-Versionen fälschlich eine Anfälligkeit zurückmeldet:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • Die Originalversion des Programms KB824146scan.exe (1.00.0249) kann nicht feststellen, ob die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) installiert sind, wenn es einen Windows NT 4.0-Computer durchsucht, auf dem der Wert RestrictAnonymous in folgendem Registrierungsschlüssel auf 1 gesetzt ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    In diesem Fall meldet das Programm KB824146scan.exe folgenden Fehlerstatus für den Zielcomputer zurück: ?cannot get workstation info: error 997 (0x000003E5).? Verwenden Sie die Version 1.00.0257 von KB824146scan.exe oder überprüfen Sie manuell sämtliche Windows NT 4.0-Computer, auf denen der Wert RestrictAnonymous aktiviert ist, um zu bestimmten, ob auf diesen Computern der Patch installiert ist.
  • Bei Verwendung des Programms "KB824146scan.exe" können Sie im Pfad für die Eingabedatei, die Ausgabedatei, die Protokolldatei oder den Hostcomputer keine DBCS-Zeichen verwenden (DBCS = Double-Byte Character Set).
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Zum Anfang
Keywords: 
kbfirewall KB827363
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN