Bruke skanneverktøyet KB 824146 til å identifisere vertsdatamaskiner som ikke har sikkerhetsoppdatering 823980 (MS03-026) og 824146 (MS03-039) installert

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 827363 - Vis produkter som denne artikkelen gjelder for.
Obs! Den 7. oktober 2003 ga Microsoft ut en oppdatert versjon (1.00.0257) av skannerverktøyet KB 824146 (KB824146scan.exe) som inneholder flere funksjoner som er basert på tilbakemeldinger fra kunder. De viktigste endringene i versjon 1.00.0257 omfatter følgende:
  • Muligheten til å skanne Microsoft Windows NT 4.0-baserte datamaskiner som har RestrictAnonymous-verdien slått på i registret
  • Forbedrede utdatakategorier som klargjør sikkerhetsoppdateringsnivået for skannede datamaskiner
  • NetBIOS-navneutdata for skannede datamaskiner
Vis alt | Skjul alt

På denne siden

Sammendrag

Microsoft har gitt ut skanneverktøyet KB 824146 (KB824146scan.exe) som nettverksadministratorer kan bruke til å identifisere vertsdatamaskiner på nettverk som ikke har installert sikkerhetsoppdateringene 823980 (MS03-026) og 824146 (MS03-039). Dette verktøyet erstatter skanneverktøyet KB 823980 (KB823980scan.exe).

Obs! Hvis du bruker verktøyet KB823980scan.exe til å skanne en datamaskin som har sikkerhetsoppdateringen 824146 installert, vil verktøyet feilaktig rapportere at datamaskinen mangler sikkerhetsoppdateringen 823980 (MS03-026). Microsoft oppfordrer kunder til å kjøre verktøyet KB824146scan.exe for å fastslå om vertsdatamaskinene på nettverket har sikkerhetsoppdateringen 823980 (MS03-026) og 824146 (MS03-039) installert. Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146 (MS03-039), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
824146 MS03-039: Bufferoverkjøring i RPCSS kan gi en angriper tilgang til å kjøre ondsinnede programmer
Hvis du vil ha mer informasjon om sikkerhetsoppdatering 823980 (MS03-026), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
823980 MS03-026: Bufferoverkjøring i RPC-grensesnitt kan tillate at kode kjøres
Hvis du vil ha mer informasjon om et nytt ormvirus som prøver å utnytte DCOM RPC-sikkerhetsproblemet som rettes opp av sikkerhetsoppdatering 823980 (MS03-026), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
826955 Virusvarsel om Blaster-ormen og variantene av den
Hvis du vil ha mer informasjon om hvordan nettverksadministratorer kan bruke Windows Management Instrumentation-skripting til å installere sikkerhetsoppdatering 823980 (MS03-026) på ikke oppdaterte datamaskiner i Microsoft Windows NT-, Microsoft Windows 2000- eller Microsoft Windows Server 2003-domenet, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
827227 Bruke et Visual Basic-skript til å installere sikkerhetsoppdateringen 823980 (MS03-026) på eksterne vertsdatamaskiner

Mer informasjon

Verktøyet KB824146scan.exe kan skanne eksterne datamaskiner for å hjelpe nettverksadministratorer med å identifisere hvilke Windows-baserte datamaskiner som ikke har sikkerhetsoppdatering 823980 (MS03-026) og 824146 (MS03-039) installert. Skanningen krever ikke godkjenning (det vil si at du ikke må angi gyldige legitimasjonsbeskrivelser på den eksterne datamaskinen). Bruk av verktøyet KB824146scan.exe har ikke innvirkning på stabiliteten til måloperativsystemet som skannes.

Du kan bruke verktøyet KB824146scan.exe fra en datamaskin som kjører Windows Server 2003, Windows XP eller Windows 2000. Du kan bruke det til å skanne Windows Server 2003-baserte, Windows XP-baserte, Windows 2000-baserte eller Windows NT 4.0-baserte datamaskiner på nettverket.

Nedlastings- og installasjonsinformasjon

Hvis du vil laste ned verktøyet KB824146scan.exe, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en
Last ned installasjonspakken Dcom-kb827363-x86-enu.exe. Hvis du vil installere verktøyet KB824146scan.exe, dobbeltklikker du installasjonspakken Dcom-kb827363-x86-enu.exe som du lastet ned. Verktøyet er et kommandolinjeverktøy som er installert i KB824146scan-undermappen i Programfiler-mappen, eller i KB824146scan-undermappen i Programfiler-mappen (X86) for 64-biters versjoner av Windows XP eller Windows Server 2003.

Bruksinformasjon

Følg denne fremgangsmåten hvis du vil kjøre verktøyet KB824146scan.exe:
  1. Klikk Start og deretter Kjør.
  2. I Åpne-boksen skriver du cmd, og deretter klikker du OK.
  3. Skriv cd %programfiles%\kb824146scan ved ledeteksten, og trykk deretter ENTER.
  4. Skriv kb824146scan brytere.
Hvis du vil ha informasjon om tilgjengelige brytere du kan bruke med verktøyet KB824146scan.exe, skriver du KB824146scan.exe /?. Følgende informasjon vises:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. Med enerett.

Formålet med KB824146Scan.exe er å overvåke Windows-systemer via nettverket
for kompatibilitet med KB824146- og KB823980-oppdateringen. Med KB824146Scan.exe kan
administratorer raskt skanne firmanettverk for systemer som ikke er oppdaterte.

Bruk: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

Mål kan ha ett av følgende formater:

    a.b.c.d - IP-adresse
    a.b.c.d-i.j.k.l - IP-adresseområde
    a.b.c.d/mask        - IP-adresse med CIDR-maske
    host                - ukvalifisert vertsnavn
    host.domain.com     - fullt kvalifisert domenenavn
    localhost           - kontroller lokal maskin

Mål kan angis i kommandolinjen og i brukerangitte inndatafiler.
Formatet til inndatafilen er ett mål per linje.

KB824146Scan.exe beholder en loggfil i den gjeldende katalogen hvis /l-
bryteren er angitt på kommandolinjen. (Ellers sendes bare utdata til
skjermen.) Loggfilene har formatet  KB824146Scan_ÅÅMMDD[a-z][a-z].log,
der ÅÅ er årstallet med to sifre, MM er måneden med to sifre, og DD er datoen med to.
sifre. [a-z][a-z] vil bli lagt til etter loggfilnavnet når flere
skanninger fullføres på samme dag. Merk at loggutdataene bare vil
inneholde viktig informasjon. Hvis vil se den fullstendige informasjonen, angir du
/v-bryteren for utførlig logging.

KB824146Scan.exe vil opprette en liste over sårbare systemer (ikke oppdaterte
i tillegg til systemer med KB823980 installert) i gjeldende arbeidsmappe. Loggfilene
har formatet _ÅÅMMDD[a-z][a-z].log, der ÅÅ er
årstallet med to sifre, MM er måneden med to sifre, og DD er datoen med to sifre. Verdien
[a-z][a-z] vil bli lagt til etter loggfilnavnet når flere skanninger fullføres
på samme dag. Navnet kan endres med /o-bryteren.

KB824146Scan.exe vil gjøre om IP-adresser til DNS-navn hvis /r-bryteren
angis på kommandolinjen. Dette kan føre til ytelsesstraff hvis DNS-
servere er trege med å svare.

KB824146Scan.exe vil gjøre om IP-adresser til NetBIOS-navn hvis /n-bryteren
angis på kommandolinjen. Dette kan føre til ytelsesstraff hvis den
eksterne NetBIOS-tilkoblingen er treg med å svare.

KB824146Scan.exe har et standard tidsavbrudd på 5 sekunder, som er greit
for de fleste nettverk. Hvis nettverket er tregt eller har IPSec aktivert, bør du
kanskje øke tidsavbruddet til 10 sekunder eller mer. Bruk /t for å angi
antall sekunder for tidsavbruddet.

Eksempel på utdata

Følgende er et eksempel på kommandolinjeutdataene som vises av KB824146Scan.exe når du bruker verktøyet til å skanne et område med IP-adresser (10.1.1.0 til 10.1.1.255 i dette eksemplet).
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. Med enerett.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Feilmeldinger, status og statistikk

  • En feilmelding som sier "unpatched", betyr at verten du skannet, er en Windows-vert, men at verten ikke har sikkerhetsoppdateringene 823980 (MS03-026) og 824146 (MS03-039) installert. For å beskytte datamaskinen må du installere sikkerhetsoppdateringen 824146 (MS03-039).
  • En feilmelding som sier "patched with KB823980", betyr at verten ble skannet og at verten har sikkerhetsoppdateringen 823980 (MS03-026) installert. Datamaskinen har ikke sikkerhetsoppdatering 824146 (MS03-039) installert. For å beskytte datamaskinen må du installere sikkerhetsoppdateringen 824146 (MS03-039).
  • En feilmelding som sier "patched with KB824146 and KB823980", betyr at verten ble skannet og at verten har sikkerhetsoppdateringene 823980 (MS03-026) og 824146 (MS03-039) installert.
  • En feilmelding som sier "host unreachable", betyr at det ikke finnes noen vert på den angitte IP-adressen (Internett-protokoll). I tillegg vil Black Hole-rutere, eller brannmurer som blokkerer pakker, for eksempel ICF (Internet Connection Firewall), også returnere en feilmelding som sier "host unreachable".
  • En feilmelding som sier "DCOM is disabled on this host", betyr at DCOM er deaktivert på målvertsdatamaskinen. DCOM kan være deaktivert for å beskytte mot sikkerhetsproblemet som er løst i sikkerhetsoppdateringene 823980 (MS03-026) og 824146 (MS03-039). Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    825750 Slik deaktiverer du DCOM-støtte i Windows
  • Feilmeldinger av typen "address is not valid in this context" eller "connection failure" indikerer problemer med å koble til den eksterne datamaskinen. For å fastslå om måldatamaskinene er oppdatert må du undersøke dem manuelt.
  • En feilmelding som sier "connection refused", betyr at ingen tjeneste lytter til TCP-port 135, eller at TCP-port 135 filtreres (av Windows TCP/IP-stakken eller av en brannmur eller ruter). For å fastslå om måldatamaskinene er oppdatert må du undersøke dem manuelt.
  • En feilmelding som sier "this host needs further investigation", betyr at det oppstod problemer under skanning av den eksterne verten. For å fastslå om måldatamaskinene er oppdatert må du undersøke dem manuelt.
  • En feilmelding som sier "connection failure, error 67 (0x00000043)", betyr at nettverksnavnet ikke kan finnes. Hvis du vil finne årsaken til lignende feilmeldinger, skriver du inn følgende ved ledeteksten, der nn er det desimale feilnummeret:
    net helpmsg nn
  • Statistikken "Patched with KB824146 and KB823980" er et tall for måldatamaskinene som ble merket med statusmeldingen "patched with KB824146 and KB823980."
  • Statistikken "Patched with KB823980" er et tall for måldatamaskinene som ble merket med statusmeldingen "patched with KB823980."
  • Statistikken "Unpatched" er et tall for måldatamaskinene som ble merket med statusmeldingen "unpatched."
  • Statistikken "TOTAL HOSTS SCANNED" er et samlet tall for statistikkene "Patched with KB824146 and KB823980," "Patched with KB823980" og "Unpatched".
  • Statistikken "DCOM Disabled" er et tall for måldatamaskinene som ble merket med statusmeldingen "DCOM is disabled on this host."
  • Statistikken "Needs Investigation" er et tall for måldatamaskinene som ble merket med statusmeldingen "this host needs further investigation."
  • Statistikken "Connection refused" er et tall for måldatamaskinene som ble merket med statusmeldingen "connection refused."
  • Statistikken "Host unreachable" er et tall for måldatamaskinene som ble merket med statusmeldingen "host unreachable."
  • Statistikken "Other Errors" er et tall for måldatamaskinene som ble merket med andre feilmeldinger som ikke er inkludert i denne listen.
  • Statistikken "TOTAL HOSTS SKIPPED" er et samlet tall for statistikkene "DCOM Disabled," "Needs Investigation," "Connection refused," "Host unreachable" og "Other Errors".
  • Statistikken "TOTAL ADDRESSES SCANNED" er et samet tall for statistikkene "TOTAL HOSTS SCANNED" og "TOTAL HOSTS SKIPPED".

Loggfiler som opprettes av verktøyet KB824146Scan.exe

Obs! Disse loggfilene opprettes i den gjeldende arbeidsmappen (det vil si mappen der du kjører KB824146Scan.exe). Som standard er dette KB824146scan-undermappen i Programfiler-mappen, eller KB824146scan-undermappen i Programfiler-mappen (X86) for 64-biters versjoner av Windows XP eller Windows Server 2003.
  • KB824146Scan_ÅÅMMDD[a-z][a-z].log: Denne loggfilen inneholder informasjon som er lik informasjonen i delen "Eksempel på utdata" i denne artikkelen.
  • Vulnerable_ÅÅMMDD[a-z][a-z].log: Denne loggfilen inneholder en liste over IP-adresser for datamaskiner i nettverket som ikke har installert sikkerhetsoppdatering 824146 (MS03-039). Du kan bruke filen Vulnerable_ÅÅMMDD[a-z][a-z] uten endring som inndatafilen (Ipfile.txt) for Patchinstall.vbs-skriptet som er beskrevet i Microsoft Knowledge Base-artikkel 827227. Hvis du kjører KB824146Scan.exe mer enn én gang om dagen for å utføre en skanning, legges bokstavene [a-z][a-z] til i filnavnet for Vulnerable_ÅÅMMDD[a-z][a-z] etter datoen. Hvis du for eksempel kjører KB824146Scan.exe fem ganger den 21. august 2003, opprettes følgende loggfiler i denne rekkefølgen:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    For eksempelutdataene som er beskrevet i delen "Eksempel på utdata" i denne artikkelen, vil loggfilen Vulnerable_ÅÅMMDD[a-z][a-z].log inneholde følgende oppføringer:
    10.1.1.2
    10.1.1.8

Kjente problemer

  • Hvis ekstern tilgang eller fildeling er aktivert, kan det hende at verktøyet KB824146scan.exe feilaktig vil rapportere at følgende versjoner av Windows er sårbare:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • Verktøyet KB824146scan.exe kan ikke fastslå om sikkerhetsoppdateringene 823980 (MS03-026) og 824146 (MS03-039) er installert på en Windows NT 4.0-basert datamaskin som har RestrictAnonymous-verdien satt til 1 i følgende registernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    I dette tilfellet rapporterer verktøyet KB824146scan.exe følgende feilstatus for måldatamaskinen: ?cannot get workstation info: error 997 (0x000003E5).? Hvis du vil fastslå om disse datamaskinene er oppdatert, bruker du versjon 1.00.0257 av KB824146scan.exe, eller undersøker manuelt alle Windows NT 4.0-baserte datamaskiner som har RestrictAnonymous-verdien slått på.
  • Du kan ikke bruke tegn fra dobbelbyte-tegnsett (DBCS) i banen til inndatafilen, utdatafilen, loggfilen eller vertsdatamaskinen når du bruker verktøyet KB824146scan.exe.

Egenskaper

Artikkel-ID: 827363 - Forrige gjennomgang: 11. juli 2005 - Gjennomgang: 4.3
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Nøkkelord: 
kbfirewall KB827363

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com