Het hulpprogramma voor scannen uit KB 824146 gebruiken om hostcomputers te identificeren waarop niet de beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039) zijn geïnstalleerd

Artikel ID: 827363 - Bekijk de producten waarop dit artikel van toepassing is.
Opmerking Op 7 oktober 2003 heeft Microsoft een bijgewerkte versie (1.00.0257) uitgebracht van het hulpprogramma voor scannen uit KB 824146 (KB824146scan.exe). In deze versie zijn naar aanleiding van feedback van onze klanten diverse verzoeken om bepaalde functies verwerkt. De belangrijkste wijzigingen in versie 1.00.0257 hebben betrekking op het volgende:
  • Het is nu mogelijk om computers met Microsoft Windows NT 4.0 te scannen waarop de waarde RestrictAnonymous in het register is ingeschakeld
  • Dankzij verbeterde uitvoercategorieën kan het niveau van de beveiligingspatches op de gescande computers worden vastgesteld
  • De NetBIOS-naam van gescande computers wordt weergegeven
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Microsoft heeft het hulpprogramma voor scannen uit KB 824146 (KB824146scan.exe) uitgebracht. Hiermee kunnen netwerkbeheerders in het netwerk zoeken naar hostcomputers waarop niet de beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039) zijn geïnstalleerd. Dit hulpprogramma vervangt het hulpprogramma voor scannen uit KB 823980 (KB823980scan.exe).

Opmerking Als u het hulpprogramma KB823980scan.exe gebruikt om een computer te scannen waarop de beveiligingspatch 824146 is geïnstalleerd, meldt het hulpprogramma ten onrechte dat de beveiligingspatch 823980 (MS03-026) ontbreekt. Microsoft raadt haar klanten aan het hulpprogramma KB824146scan.exe uit te voeren om vast te stellen of de beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039) zijn geïnstalleerd op de hostcomputers in hun netwerk. Klik voor meer informatie over beveiligingspatch 824146 (MS03-039) op het volgende artikelnummer in de Microsoft Knowledge Base:
824146
(http://support.microsoft.com/kb/824146/ )
MS03-039: Een bufferoverloop in RPCSS zorgt er voor dat een aanvaller schadelijke programma's kan uitvoeren
Klik voor meer informatie over beveiligingspatch 823980 (MS03-026) op het volgende artikelnummer in de Microsoft Knowledge Base:
823980
(http://support.microsoft.com/kb/823980/ )
MS03-026: Bufferoverloop in RPC kan leiden tot uitvoering van code
Voor meer informatie over een nieuw wormvirus dat probeert misbruik te maken van het beveiligingslek in DCOM RPC dat wordt hersteld door beveiligingspatch 823980 (MS03-026), klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
826955
(http://support.microsoft.com/kb/826955/ )
Viruswaarschuwing voor het wormvirus Blaster en varianten daarvan
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over de manier waarop netwerkbeheerders scripts van Windows Management Instrumentation kunnen gebruiken om beveiligingspatch 823980 (MS03-026) te installeren op computers in hun Microsoft Windows NT-, Microsoft Windows 2000- of Microsoft Windows Server 2003-domein waar deze patch nog niet is geïnstalleerd:
827227
(http://support.microsoft.com/kb/827227/ )
Beveiligingspatch 824146 (MS03-039) of 823980 (MS03-026) op externe hostcomputers installeren met behulp van een Visual Basic-script

Meer informatie

Het hulpprogramma KB824146scan.exe kan externe computers scannen zodat netwerkbeheerders kunnen vaststellen op welke Windows-computers de beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039) niet zijn geïnstalleerd. Voor de scan is geen verificatie vereist, hetgeen betekent dat u op de externe computer geen geldige referenties hoeft op te geven. Het hulpprogramma KB824146scan.exe heeft geen invloed op de stabiliteit van het besturingssysteem dat wordt gescand.

U kunt KB824146scan.exe gebruiken vanaf een computer waarop Windows Server 2003, Windows XP of Windows 2000 wordt uitgevoerd. U kunt het hulpprogramma gebruiken om Windows Server 2003-, Windows XP-, Windows 2000- of Windows NT 4.0-computers in het netwerk te scannen.

Informatie over downloaden en installeren

U kunt het hulpprogramma KB824146scan.exe downloaden van de volgende Microsoft-website:
http://www.microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=13AE421B-7BAB-41A2-843B-FAD838FE472E
(http://www.microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=13AE421B-7BAB-41A2-843B-FAD838FE472E)
Download het installatiepakket Dcom-kb827363-x86-enu.exe. U kunt het hulpprogramma KB824146scan.exe installeren door te dubbelklikken op het installatiepakket Dcom-kb827363-x86-enu.exe dat u hebt gedownload. Het hulpprogramma is een opdrachtregelprogramma dat wordt geïnstalleerd in de submap KB824146scan van de map Program Files of de map Program Files (X86) voor 64-bits versies van Windows XP of Windows Server 2003.

Informatie over het gebruik

Ga als volgt te werk om het hulpprogramma KB824146scan.exe uit te voeren:
  1. Klik op Start en klik op Uitvoeren.
  2. Typ cmd in het vak Openen en klik op OK.
  3. Typ cd %programfiles%\kb824146scan bij de opdrachtprompt en druk op ENTER.
  4. Typ kb824146scan schakelopties.
Voor informatie over de beschikbare schakelopties voor KB824146scan.exe typt u KB824146scan.exe /?. De volgende informatie wordt weergegeven: 
Microsoft (R) KB824146 Scanner Version 1.00.0002 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

Targets can take any of the following forms:

    a.b.c.d             - IP address
    a.b.c.d-i.j.k.l     - IP address range
    a.b.c.d/mask        - IP address with CIDR mask
    host                - unqualified hostname
    host.domain.com     - fully-qualified domain name
    localhost           - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. The
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
een geschikte waarde is. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.

Voorbeeld van uitvoer

Hier volgt een voorbeeld van de opdrachtregeluitvoer die wordt weergegeven door KB824146Scan.exe wanneer u een bereik aan IP-adressen scant (in dit voorbeeld 10.1.1.0 tot en met 10.1.1.255). 
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Foutberichten, status en statistieken

  • De status 'unpatched' geeft aan dat de host die is gescand een Windows-host is, maar dat hierop niet de beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039) zijn geïnstalleerd. U moet beveiligingspatch 824146 (MS03-039) installeren om de computer te beschermen.
  • De status 'patched with KB823980' geeft aan dat de host is gescand en dat beveiligingspatch 823980 (MS03-026) is geïnstalleerd. Beveiligingspatch 824146 (MS03-039) is echter niet geïnstalleerd op de computer. U moet beveiligingspatch 824146 (MS03-039) installeren om de computer te beschermen.
  • De status 'patched with KB824146 and KB823980' geeft aan dat de host is gescand en dat beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039) zijn geïnstalleerd.
  • Het foutbericht 'host unreachable' geeft aan dat er geen host aanwezig is op het opgegeven IP-adres (Internet Protocol). Daarnaast wordt door black-hole routers of firewalls die pakketten afvangen, zoals ICF (Internet Connection Firewall), ook het foutbericht 'host unreachable' geretourneerd.
  • De status 'DCOM is disabled on this host' geeft aan dat DCOM is uitgeschakeld op de doelhost. DCOM is mogelijk uitgeschakeld ter bescherming van de beveiligingslekken die worden gecorrigeerd door de beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039). Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
    825750
    (http://support.microsoft.com/kb/825750/ )
    DCOM-ondersteuning uitschakelen in Windows
  • Het foutbericht 'address is not valid in this context' of 'connection failure' geeft aan dat er een probleem is met de verbinding met de externe computer. Als u wilt vaststellen of de patches op de doelcomputers zijn geïnstalleerd, moet u deze computers handmatig onderzoeken.
  • Het foutbericht 'connection refused' geeft aan dat er geen service luistert op TCP-poort 135 of dat TCP-poort 135 wordt gefilterd (door de Windows TCP/IP-stack of door een firewall of router). Als u wilt vaststellen of de patches op de doelcomputers zijn geïnstalleerd, moet u deze computers handmatig onderzoeken.
  • Het foutbericht 'this host needs further investigation' geeft aan dat er een probleem is met het scannen van de externe host. Als u wilt vaststellen of de patches op de doelcomputers zijn geïnstalleerd, moet u deze computers handmatig onderzoeken.
  • Het foutbericht 'connection failure, error 67 (0x00000043)' geeft aan dat de naam van het netwerk niet kan worden gevonden. Als u de oorzaak van dergelijke foutberichten wilt vaststellen, typt u het volgende bij de opdrachtprompt, waarbij nn het decimale foutnummer is:
    net helpmsg nn
  • Het statistiekitem 'Patched with KB824146 and KB823980' is een telling van de doelcomputers die zijn gemarkeerd met het statusbericht 'patched with KB824146 and KB823980'.
  • Het statistiekitem 'Patched with KB823980' is een telling van de doelcomputers die zijn gemarkeerd met het statusbericht 'patched with KB823980'.
  • Het statistiekitem 'Unpatched' is een telling van de doelcomputers die zijn gemarkeerd met het statusbericht 'unpatched'.
  • Het statistiekitem 'TOTAL HOSTS SCANNED' is een totaal van de statistiekitems 'Patched with KB824146 and KB823980', 'Patched with KB823980' en 'Unpatched'.
  • Het statistiekitem 'DCOM Disabled' is een telling van de doelcomputers die zijn gemarkeerd met het statusbericht 'DCOM is disabled on this host'.
  • Het statistiekitem 'Needs Investigation' is een telling van de doelcomputers die zijn gemarkeerd met het statusbericht 'this host needs further investigation'.
  • Het statistiekitem 'Connection refused' is een telling van de doelcomputers die zijn gemarkeerd met het statusbericht 'connection refused'.
  • Het statistiekitem 'Host unreachable' is een telling van de doelcomputers die zijn gemarkeerd met het statusbericht 'host unreachable'.
  • Het statistiekitem 'Other Errors' is een telling van de doelcomputers die zijn gemarkeerd met een ander statusbericht dat niet in deze lijst is opgenomen.
  • Het statistiekitem 'TOTAL HOSTS SKIPPED' is een totaal van de statistiekitems 'DCOM Disabled', 'Needs Investigation', 'Connection refused', 'Host unreachable' en 'Other Errors'.
  • Het statistiekitem 'TOTAL ADDRESSES SCANNED' is een totaal van de statistiekitems 'TOTAL HOSTS SCANNED' en 'TOTAL HOSTS SKIPPED'.

Logboekbestanden van het hulpprogramma KB824146Scan.exe

Opmerking Deze logboekbestanden worden gemaakt in de huidige werkmap (dat wil zeggen de map waaruit KB824146Scan.exe wordt uitgevoerd). Dit is standaard de submap KB824146scan van de map Program Files of van de map Program Files (X86) voor 64-bits versies van Windows XP of Windows Server 2003.
  • KB824146Scan_JJMMDD[a-z][a-z].log: Dit logboekbestand bevat informatie die vergelijkbaar is met de informatie in de sectie 'Voorbeeld van uitvoer' in dit artikel.
  • Vulnerable_JJMMDD[a-z][a-z].log: Dit logboekbestand bevat een lijst met de IP-adressen voor computers in het netwerk waarop niet de beveiligingspatch 824146 (MS03-039) is geïnstalleerd. U kunt het bestand Vulnerable_JJMMDD[a-z][a-z] ongewijzigd gebruiken als invoerbestand (Ipfile.txt) voor het script Patchinstall.vbs dat wordt beschreven in Microsoft Knowledge Base-artikel 827227. Als u KB824146Scan.exe vaker dan eenmaal per dag uitvoert om te scannen, worden na de datum de letters [a-z][a-z] toegevoegd aan de bestandsnaam Vulnerable_JJMMDD[a-z][a-z]. Als u KB824146Scan.exe bijvoorbeeld vijf keer uitvoert op 21 augustus 2003, worden de volgende logboekbestanden gemaakt in deze volgorde:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    Het logboekbestand Vulnerable_JJMMDD[a-z][a-z].log bevat de volgende vermeldingen voor de voorbeelduitvoer die wordt beschreven in de sectie 'Voorbeeld van uitvoer' in dit artikel:
    10.1.1.2
    10.1.1.8

Bekende problemen

  • Als externe toegang of bestandsdeling is ingeschakeld, meldt het hulpprogramma KB824146scan.exe ten onrechte dat de volgende versies van Windows kwetsbaar zijn:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Tweede editie
    • Microsoft Windows Millennium Edition
  • De oorspronkelijke versie van het hulpprogramma KB824146scan.exe (1.00.0249) kan niet vaststellen of de beveiligingspatches 823980 (MS03-026) en 824146 (MS03-039) zijn geïnstalleerd op een Windows NT 4.0-computer waarop de waarde RestrictAnonymous is ingesteld op 1 in de volgende registersleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    In dat geval rapporteert het hulpprogramma KB824146scan.exe de volgende foutstatus voor de doelcomputer: 'cannot get workstation info: error 997 (0x000003E5)'. Als u wilt controleren of deze computers van de beveiligingspatch zijn voorzien, gebruikt u versie 1.00.0257 van het programma KB824146scan.exe. Ook kunt u handmatig alle Windows NT 4.0-computers controleren waarop de waarde RestrictAnonymous is ingeschakeld.
  • U kunt geen tekens uit de tekenset met dubbele bytes (DBCS) gebruiken in het pad naar het invoerbestand, het uitvoerbestand, het logboekbestand of de hostcomputer wanneer u het hulpprogramma KB824146scan.exe gebruikt.
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 827363 - Laatste beoordeling: maandag 11 juli 2005 - Wijziging: 4.3
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows® 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Trefwoorden: 
kbfirewall KB827363
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven