Cómo utilizar la herramienta de análisis KB 824146 para identificar los equipos que no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039)

Seleccione idioma Seleccione idioma
Id. de artículo: 827363 - Ver los productos a los que se aplica este artículo
Nota
El 7 de octubre de 2003, Microsoft publicó una versión actualizada (1.00.0257) de la herramienta de detección KB 824146 (KB824146scan.exe) que incorpora varias solicitudes de características basadas en la información de los clientes. Los principales cambios de la versión 1.00.0257 son:
  • La capacidad de examinar equipos basados en Microsoft Windows NT 4.0 que tienen el valor RestrictAnonymous activado en el Registro
  • Categorías de resultado mejoradas que ayudan a clarificar al nivel de las actualizaciones de seguridad de los equipos examinados
  • Indicación del nombre NetBIOS para los equipos examinados
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo analiza la herramienta de análisis KB 824146, que los administradores de red pueden usar para identificar aquellos equipos de la red en los que aún no se han instalado las revisiones de seguridad 823980 (MS02-026) y 824146 (MS03-039). Esta herramienta reemplaza a la herramienta de detección KB 823980 (KB823980scan.exe).

Nota
Si usa la herramienta KB823980scan.exe para analizar un equipo que tiene instalada la revisión de seguridad 824146, la herramienta informará incorrectamente que en el equipo falta la revisión de seguridad 823980 (MS03-026). Microsoft recomienda a los usuarios que ejecuten la herramienta KB824146scan.exe para determinar si los equipos de la red tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039). Para obtener información adicional acerca de la revisión de seguridad 824146 (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824146 MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
Para obtener información adicional acerca de la revisión de seguridad 823980 (MS03-026), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
823980 MS03-026: Un desbordamiento de búfer en la interfaz RPC podría permitir la ejecución de código
Para obtener información adicional acerca de un nuevo virus gusano que permite aprovechar la vulnerabilidad de DCOM RPC corregida por la revisión de seguridad 823980 (MS03-026), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
826955 Alerta de virus acerca del gusano Blaster y sus variantes
Para obtener información adicional acerca de cómo pueden usar los administradores de red secuencias de comandos de Instrumentación de administración de Windows para instalar la revisión de seguridad 823980 (MS03-026) en equipos sin revisiones en su dominio Microsoft Windows NT, Microsoft Windows 2000 o Microsoft Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827227 Cómo utilizar una secuencia de comandos de Visual Basic para instalar las revisiones de seguridad 824146 (MS03-039) o 823980 (MS03-026) en equipos host remotos

Más información

La herramienta KB824146scan.exe puede analizar equipos remotos para ayudar a los administradores de red a identificar qué equipos con Windows no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039). El análisis no requiere autenticación (es decir, no es necesario indicar credenciales válidas en el equipo remoto). La herramienta KB824146scan.exe no afecta a la estabilidad del sistema operativo del equipo analizado.

Puede usar la herramienta KB824146scan.exe desde un equipo que ejecuta Windows Server 2003, Windows XP o Windows 2000. Puede utilizarla para analizar equipos de la red basados en Windows Server 2003, Windows XP, Windows 2000 o Windows NT 4.0.

Información de descarga e instalación

Para descargar la herramienta KB824146scan.exe, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=13AE421B-7BAB-41A2-843B-FAD838FE472E
Descargar el paquete de instalación Dcom-kb827363-x86-enu.exe. Para instalar la herramienta KB824146scan.exe, haga doble clic en el paquete de instalación Dcom-kb827363-x86-enu.exe que descargó. La herramienta es una utilidad de línea de comandos que está instalada en la subcarpeta KB824146scan de la carpeta Archivos de programa, o en la subcarpeta KB824146scan de la carpeta Archivos de programa (X86) en las versiones de 64 bits de Windows XP o Windows Server 2003.

Información de uso

Para ejecutar la herramienta KB824146scan.exe, siga estos pasos:
  1. Haga clic en Inicio y, a continuación, en Ejecutar.
  2. En el cuadro Abrir, escriba cmd y haga clic en Aceptar.
  3. En el símbolo de sistema, escriba cd %programfiles%\kb824146scan y presione ENTRAR.
  4. Escriba kb824146scan modificadores.
Para obtener información acerca de los modificadores disponibles que puede usar con la herramienta KB824146scan.exe, escriba KB824146scan.exe /?. Se muestra la información siguiente:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

Targets can take any of the following forms:

    a.b.c.d             - IP address
    a.b.c.d-i.j.k.l     - IP address range
    a.b.c.d/mask        - IP address with CIDR mask
    host                - unqualified hostname
    host.domain.com     - fully-qualified domain name
    localhost           - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. The
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
for most networks. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.

Ejemplo del resultado obtenido

Lo siguiente es un ejemplo del resultado obtenido en la línea de comandos por KB824146Scan.exe cuando se usa para analizar un intervalo de direcciones IP (10.1.1.0 a 10.1.1.255 en este ejemplo).
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Mensajes de error, estado y estadísticas

  • Un mensaje de estado "unpatched" ("revisión no aplicada") indica que analizó un host de Windows y que el host no tiene instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039). Para ayudar a proteger este equipo, debe instalar la revisión de seguridad 824146 (MS03-039).
  • Un mensaje de estado "patched with KB823980" indica que el host fue analizado y tiene instalada la revisión de seguridad 823980 (MS03-026). El equipo no tiene instalada la revisión de seguridad 824146 (MS03-039). Para ayudar a proteger este equipo, debe instalar la revisión de seguridad 824146 (MS03-039).
  • Un mensaje de estado "patched with KB824146 and KB823980" indica que el host fue analizado y tiene instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039).
  • El mensaje de error "host unreachable" ("no se puede obtener acceso al host") indica que en la dirección IP (Protocolo Internet) especificada no existe un host. Además, el mensaje de error "host unreachable" también puede aparecer si existen enrutadores de agujero negro o servidores de seguridad que descarten paquetes, como el Servidor de seguridad de conexión a Internet (ICF, Internet Connection Firewall).
  • Un mensaje de estado "DCOM is disabled on this host" indica que DCOM se ha deshabilitado en el equipo host de destino. DCOM se puede haber deshabilitado como protección contra las vulnerabilidades tratadas por las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039). Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825750 Cómo deshabilitar la compatibilidad DCOM en Windows
  • Un mensaje de error "address is not valid in this context" o "connection failure" ("dirección no válida en este contexto" o "error en la conexión") indica que hubo algún problema en la conexión con el equipo remoto. Para determinar si se ha aplicado la revisión en los equipos de destino, debe inspeccionarlos manualmente.
  • Un mensaje de error "connection refused" (conexión rechazada) indica que ningún servicio escucha el puerto 135 de TCP o que el puerto 135 TCP está siendo filtrado (ya sea por la pila TCP/IP de Windows o por un servidor de seguridad o un enrutador). Para determinar si se ha aplicado la revisión en los equipos de destino, debe inspeccionarlos manualmente.
  • Un mensaje de error "this host needs further investigation" ("es necesario seguir investigando este host") indica que hubo algún problema al analizar el host remoto. Para determinar si se ha aplicado la revisión en los equipos de destino, debe inspeccionarlos manualmente.
  • Un mensaje de error "connection failure, error 67 (0x00000043)" ("error de conexión") indica que no se pudo encontrar el nombre de red. Para determinar la causa de mensajes de error similares, escriba lo siguiente en el símbolo del sistema, donde nn es el número de error decimal:
    net helpmsg nn
  • El mensaje estadístico "Patched with KB824146 and KB823980" ("aplicadas las revisiones KB824146 y KB823980") contabiliza los equipos de destino que fueron marcados con el mensaje de estado "patched with KB824146 and KB823980".
  • El mensaje estadístico "Patched with KB823980" ("aplicada la revisión KB823980") contabiliza los equipos de destino que fueron marcados con el mensaje de estado "patched with KB823980".
  • El mensaje estadístico "Unpatched" ("sin aplicar revisión") contabiliza los equipos de destino que fueron marcados con el mensaje de estado "unpatched".
  • El mensaje estadístico "TOTAL HOSTS SCANNED" ("total de host analizados") es un total de los mensajes estadísticos "Patched with KB824146 and KB823980", "Patched with KB823980" y "Unpatched".
  • El mensaje estadístico "DCOM Disabled" ("DCOM deshabilitado") contabiliza los equipos de destino que fueron marcados con el mensaje de estado "DCOM is disabled on this host".
  • El mensaje estadístico "Needs Investigation" ("necesita investigación") contabiliza los equipos de destino que fueron marcados con el mensaje de estado "this host needs further investigation".
  • El mensaje estadístico "Connection refused" ("conexión rechazada") contabiliza los equipos de destino que fueron marcados con el mensaje de estado "connection refused".
  • El mensaje estadístico "Host unreachable" ("no se puede obtener acceso al host") contabiliza los equipos de destino que fueron marcados con el mensaje de estado "host unreachable".
  • El mensaje estadístico "Other Errors" ("otros errores") contabiliza los equipos de destino que fueron marcados con cualquier otro mensaje de error que no esté incluido en esta lista.
  • El mensaje estadístico "TOTAL HOSTS SKIPPED" ("total de host omitidos") es el total de los mensajes estadísticos "DCOM Disabled", "Needs Investigation", "Connection refused", "Host unreachable" y "Other Errors".
  • El mensaje estadístico "TOTAL ADDRESSES SCANNED" ("total de direcciones analizadas") es el total de los mensajes estadísticos "TOTAL HOSTS SCANNED" y "TOTAL HOSTS SKIPPED".

Archivos de registro que crea la herramienta KB824146Scan.exe

Nota
Estos archivos de registro se crean en la carpeta de trabajo actual (es decir, la carpeta desde la que ejecuta KB824146Scan.exe). De manera predeterminada, es la subcarpeta KB824146scan de la carpeta Archivos de programa, o la subcarpeta KB824146scan de la carpeta Archivos de programa (X86) para las versiones de 64 bits de Windows XP o Windows Server 2003.
  • KB824146Scan_AAMMDD[a-z][a-z].log: Este archivo de registro contiene información que es similar a la información de la sección "Ejemplo del resultado obtenido" de este artículo.
  • Vulnerable_AAMMDD[a-z][a-z].log: este archivo de registro contiene una lista de direcciones IP de equipos de la red que no tienen instalada la revisión de seguridad 824146 (MS03-039). Puede utilizar el archivo Vulnerable_AAMMDD[a-z][a-z] sin modificación como el archivo de entrada (Ipfile.txt) para la secuencia de comandos Patchinstall.vbs que se describe en el artículo 827227 de Microsoft Knowledge Base. Si ejecuta KB824146Scan.exe más de una vez al día para realizar un análisis, se agregan las letras [a-z][a-z] al nombre del archivo Vulnerable_AAMMDD[a-z][a-z] después de la fecha. Por ejemplo, si ejecuta KB824146Scan.exe cinco veces el 21 de agosto de 2003, se crean los siguientes archivos de registro en este orden:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    En cuanto al resultado del ejemplo que se describió en la sección "Ejemplo del resultado obtenido" de este artículo, el archivo de registro Vulnerable_AAMMDD[a-z][a-z].log incluiría las entradas siguientes:
    10.1.1.2
    10.1.1.8

Problemas conocidos

  • Si está habilitado el acceso remoto o el uso compartido de archivos, la herramienta KB824146scan.exe puede indicar incorrectamente que son vulnerables las siguientes versiones de Windows:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Segunda edición
    • Microsoft Windows Millennium Edition
  • La versión original de la herramienta KB824146scan.exe (1.00.0249) no puede determinar si las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039) están instaladas en un equipo con Windows NT 4.0 que tiene el valor RestrictAnonymous configurado en 1 en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    En tal caso, la herramienta KB824146scan.exe informa del siguiente estado de error para el equipo de destino: ?cannot get workstation info: error 997 (0x000003E5)?. Para determinar si se ha aplicado la revisión en estos equipos, use la versión 1.00.0257 de KB824146scan.exe o inspeccione manualmente todos los equipos basados en Windows NT 4.0 que tengan activado el valor RestrictAnonymous.
  • En la ruta de acceso del archivo de entrada, del archivo de salida, del archivo del registro y del equipo host utilizados con la herramienta KB824146scan.exe no es posible utilizar caracteres de juegos de caracteres codificados en dos bytes (DBCS).

Propiedades

Id. de artículo: 827363 - Última revisión: lunes, 11 de julio de 2005 - Versión: 4.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palabras clave: 
kbfirewall KB827363

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com