Jak używać narzędzia do skanowania KB 824146 w celu zidentyfikowania komputerów-hostów, na których nie zainstalowano poprawek zabezpieczeń 823980 (MS03-026) oraz 824146 (MS03-039)

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 827363 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Uwaga: 7 października 2003 firma Microsoft wydała zaktualizowaną wersję (1.00.0257) narzędzia do skanowania KB 824146 (KB824146scan.exe), zawierającego wiele nowych funkcji, które powstały na podstawie opinii klientów. Wersja 1.00.0257 zawiera następujące istotne zmiany:
  • Możliwość skanowania komputerów z systemem Microsoft Windows NT 4.0 z włączoną wartością RestrictAnonymous w rejestrze
  • Ulepszone kategorie danych wyjściowych, dzięki którym można uzyskać informacje o wersji poprawek zainstalowanych na skanowanych komputerach
  • Dane wyjściowe nazw protokołu NetBIOS dla skanowanych komputerów
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Firma Microsoft wydała narzędzie do skanowania KB 824146 (KB824146scan.exe), którego administratorzy sieci mogą używać do identyfikowania w swoich sieciach komputerów-hostów bez zainstalowanych poprawek zabezpieczeń 823980 (MS03-026) oraz 824146 (MS03-039). Narzędzie to zastępuje narzędzie do skanowania KB 823980 (KB823980scan.exe).

Uwaga: Jeżeli narzędzie KB823980scan.exe zostanie użyte do przeskanowania komputera, na którym zainstalowano poprawkę zabezpieczeń 824146, raportuje ono błędnie, że na komputerze nie ma poprawki zabezpieczeń 823980 (MS03-026). Firma Microsoft zachęca klientów do korzystania z narzędzia KB824146scan.exe w celu sprawdzenia, czy na komputerach-hostach w ich sieciach zainstalowano poprawki zabezpieczeń 823980 (MS03-026) i 824146 (MS03-039). Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 824146 (MS03-039), kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824146 MS03-039: Przepełnienie buforu w usłudze RPCSS może pozwolić atakującemu na uruchamianie szkodliwych programów
Aby uzyskać dodatkowe informacje dotyczące poprawki zabezpieczeń 823980 (MS03-026), kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823980 MS03-026: Przekroczenie buforu w interfejsie RPC może umożliwiać uruchomienie kodu źródłowego
Aby uzyskać dodatkowe informacje dotyczące nowego wirusa, który próbuje wykorzystać lukę w zabezpieczeniach modelu DCOM i protokołu RPC, eliminowaną przez poprawkę zabezpieczeń 823980 (MS03-026), kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
826955 Alert wirusowy dotyczący robaka Blaster i jego odmian
Aby uzyskać dodatkowe informacje dotyczące sposobów instalowania poprawki zabezpieczeń 823980 (MS03-026) przez administratorów sieci przy użyciu skryptów Instrumentacji zarządzania Windows na komputerach, na których nie zastosowano tej poprawki, znajdujących się w domenie systemu Microsoft Windows NT, Microsoft Windows 2000 lub Microsoft Windows Server 2003, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
827227 Jak użyć skryptu języka Visual Basic do zainstalowania poprawki zabezpieczeń 824146 (MS03-039) lub 823980 (MS03-026) na zdalnych komputerach-hostach

Więcej informacji

Narzędzie KB824146scan.exe może skanować komputery zdalne, aby pomóc administratorom sieci w zidentyfikowaniu, na których komputerach z systemem Windows nie są zainstalowane poprawki zabezpieczeń 823980 (MS03-026) oraz 824146 (MS03-039). Skanowanie nie wymaga uwierzytelniania (tzn. na zdalnym komputerze-hoście nie jest konieczne podawanie prawidłowych poświadczeń). Korzystanie z narzędzia KB824146scan.exe nie wpływa na stabilność skanowanego docelowego systemu operacyjnego.

Narzędzia KB824146scan.exe można używać na komputerach z systemami Windows Server 2003, Windows XP lub Windows 2000. Można go używać do skanowania w sieci komputerów z systemami Windows Server 2003, Windows XP, Windows 2000 lub Windows NT 4.0.

Informacje dotyczące pobierania i instalacji

Aby pobrać narzędzie KB824146scan.exe, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=13ae421b-7bab-41a2-843b-fad838fe472e
Pobierz pakiet instalacyjny Dcom-kb827363-x86-enu.exe. Aby zainstalować narzędzie KB824146scan.exe, kliknij dwukrotnie pobrany pakiet instalacyjny Dcom-kb827363-x86-enu.exe. To narzędzie wiersza polecenia jest instalowane w podfolderze KB824146scan w folderze Program Files lub w podfolderze KB824146scan w folderze Program Files (X86) w przypadku 64-bitowych wersji systemu Windows XP lub Windows Server 2003.

Sposób użycia

Aby uruchomić narzędzie KB824146scan.exe, wykonaj następujące kroki:
  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. W polu Otwórz wpisz polecenie cmd , a następnie kliknij przycisk OK.
  3. W wierszu polecenia wpisz polecenie cd %programfiles%\kb824146scan, a następnie naciśnij klawisz ENTER.
  4. Wpisz polecenie kb824146scan przełączniki.
Aby uzyskać informacje dotyczące przełączników dostępnych do używania z narzędziem KB824146scan.exe, wpisz polecenie KB824146scan.exe /?. Zostaną pokazane następujące informacje:
Skaner Microsoft (R) KB824146 wersja 1.00.0257 dla procesorów 80x86
Copyright (c) Microsoft Corporation 2003. Wszelkie prawa zastrzeżone.

Narzędzie KB824146Scan.exe służy do przeprowadzania inspekcji systemów Windows za pośrednictwem sieci w celu 
ustalenia zgodności z poprawką KB824146 i KB823980. Korzystając z narzędzia KB824146Scan.exe, administratorzy mogą 
szybko skanować sieci firmowe w poszukiwaniu systemów, w których nie zastosowano poprawki.


Sposób użycia: KB824146Scan.exe [/?] [/i:plik_wejściowy] [/l[:plik_dziennika]] [/n]
                        [/o:plik_wyjściowy] [/r] [/t:limit_czasu] [/v] obiekt_docelowy ...

Obiekty docelowe mogą przyjmować następujące formy:

    a.b.c.d             - adres IP
    a.b.c.d-i.j.k.l     - zakres adresów IP
    a.b.c.d/maska       - adres IP z maską CIDR
    host                - niekwalifikowana nazwa hosta
    host.domena.com     - w pełni kwalifikowana nazwa domeny
    hostlokalny         - sprawdzanie komputera lokalnego

Obiekty docelowe mogą być określane w wierszu polecenia i w plikach wejściowych określonych przez użytkownika.

Plik wejściowy ma postać, w której na wiersz przypada jeden obiekt docelowy.


Narzędzie KB824146Scan.exe zapisuje plik dziennika w bieżącym pliku, jeżeli w wierszu polecenia zostanie użyty 
przełącznik /l (w innym przypadku dane wyjściowe będą dostępne tylko na ekranie). Pliki dziennika są zgodne z 
formatem KB824146Scan_RRMMDD[a-z][a-z].log, gdzie RR jest dwucyfrową liczbą określającą rok, MM jest dwucyfrową 
liczbą określającą miesiąc, a DD jest dwucyfrową liczbą określającą dzień. Ciągi [a-z][a-z] są dołączane do nazwy 
pliku dziennika w przypadku wykonywania dodatkowych cyklów skanowania tego samego dnia. Dziennik wyjściowy zawiera 
tylko najważniejsze informacje. Aby zebrać wszystkie informacje, należy użyć przełącznika /v w celu włączenia 
pełnego rejestrowania.

KB824146Scan.exe tworzy listę zagrożonych systemów (systemów, w których nie zastosowano poprawki, jak również 
systemów, w których zainstalowano poprawkę KB823980) w bieżącym katalogu roboczym. Pliki dziennika są zapisywane w 
formacie Vulnerable_RRMMDD[a-z][a-z].log, gdzie RR jest dwucyfrową liczbą określającą rok, MM jest dwucyfrową liczbą 
określającą miesiąc, a DD jest dwucyfrową liczbą określającą dzień. Ciągi [a-z][a-z] są dołączane do nazwy pliku 
dziennika w przypadku wykonywania dodatkowych cyklów skanowania tego samego dnia. Nazwę można zmienić przy użyciu 
przełącznika /o.

Po zastosowaniu w wierszu polecenia przełącznika /r narzędzie KB824146Scan.exe będzie rozpoznawać adresy IP jako 
nazwy DNS. Jeżeli serwery DNS udzielają odpowiedzi powoli, może to spowodować zmniejszenie wydajności.


W przypadku użycia w wierszu polecenia przełącznika /n narządzie KB824146Scan.exe rozpoznaje adresy IP jako nazwy 
NetBIOS. Jeżeli zdalne połączenie protokołu NetBIOS odpowiada powoli, może to spowodować zmniejszenie wydajności.


Dla narzędzia KB824146Scan.exe określany jest domyślny limit czasu równy 5 sekund, który jest odpowiedni 
w przypadku większości sieci. Jeżeli sieć jest powolna lub ma włączony protokół IPSec, konieczne może być 
zwiększenie limitu czasu do 10 sekund lub więcej. Użyj przełącznika /t, aby określić liczbę sekund limitu czasu.

Przykładowe wyniki

Poniżej przedstawiono przykładowe dane wyjściowe wiersza polecenia wygenerowane przez narzędzie KB824146Scan.exe użyte do skanowania zakresu adresów IP (w tym przykładzie od 10.1.1.0 do 10.1.1.255).
C:\>kb824146scan 10.1.1.1/24

Skaner Microsoft (R) KB824146 wersja 1.00.0257 dla procesorów 80x86
  Copyright (c) Microsoft Corporation 2003. Wszelkie prawa zastrzeżone.

<+> Rozpoczynanie skanowania (limit czasu = 5000 ms)

Sprawdzanie 10.1.1.0 - 10.1.1.255
10.1.1.1: nie zastosowano poprawki
10.1.1.2: zastosowano poprawki KB824146 (MS03-039) i KB823980 (MS03-026)
10.1.1.3: zastosowano poprawkę KB823980 (MS03-026)
10.1.1.4: host niedostępny
10.1.1.5: protokół DCOM wyłączony na tym hoście
10.1.1.6: adres nieprawidłowy w tym kontekście
10.1.1.7: błąd połączenia: błąd 51 (0x00000033)
10.1.1.8: odmowa połączenia
10.1.1.9: host wymaga dalszego badania

<-> Skanowanie ukończone

Statystyki:

Zastosowano poprawki KB824146 (MS03-039) i KB823980 (MS03-026) .... 1
Zastosowano poprawkę KB823980 (MS03-026) ............................ 1
Nie zastosowano poprawki ............................. 1
CAŁKOWITA LICZBA SKANOWANYCH HOSTÓW ................... 3

Protokół DCOM wyłączony ......................... 1
Konieczne badanie ................... 1
Odmowa połączenia .................... 1
Host niedostępny ...................... 248
Inne błędy .......................... 2
CAŁKOWITA LICZBA POMINIĘTYCH HOSTÓW ................... 253

CAŁKOWITA LICZBA SKANOWANYCH ADRESÓW ............... 256

Komunikaty o błędach, stany i statystyki

  • Stan „nie zastosowano poprawki” wskazuje, że przeskanowany host jest hostem z systemem Windows, na którym nie zainstalowano poprawek zabezpieczeń 823980 (MS03-026) i 824146 (MS03-039). Aby zwiększyć ochronę tego komputera, należy zainstalować poprawkę zabezpieczeń 824146 (MS03-039).
  • Stan „zastosowano poprawkę KB823980” oznacza, że na przeskanowanym hoście jest zainstalowana poprawka zabezpieczeń 823980 (MS03-026). Na komputerze nie zainstalowano poprawki zabezpieczeń 824146 (MS03-039). Aby zwiększyć ochronę tego komputera, należy zainstalować poprawkę zabezpieczeń 824146 (MS03-039).
  • Stan „zastosowano poprawki KB824146 i KB823980” wskazuje, że na przeskanowanym hoście są zainstalowane poprawki zabezpieczeń 823980 (MS03-026) oraz 824146 (MS03-039).
  • Komunikat o błędzie „host niedostępny” oznacza, że żaden host nie jest dostępny pod podanym adresem IP. Komunikat o błędzie „host niedostępny” jest także zwracany w przypadku routerów typu „czarna dziura” oraz zapór, które odrzucają pakiety, takich jak Zapora połączenia internetowego (ICF, Internet Connection Firewall).
  • Stan „protokół DCOM wyłączony na tym hoście” oznacza, że protokół DCOM został wyłączony na docelowym komputerze-hoście. Protokół DCOM może być wyłączony w celu ochrony przed lukami usuwanymi przez poprawki zabezpieczeń 823980 (MS03-026) oraz 824146 (MS03-039). Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    825750 Jak wyłączyć obsługę modelu DCOM w systemie Windows
  • Komunikat o błędzie „adres nieprawidłowy w tym kontekście” lub „błąd połączenia” oznacza, że wystąpiły problemy podczas łączenia z komputerem zdalnym. Aby określić, czy na komputerach docelowych została zastosowana poprawka, należy je sprawdzić ręcznie.
  • Komunikat o błędzie „odmowa połączenia” oznacza, że żadna usługa nie nasłuchuje na porcie TCP 135 lub że port TCP 135 jest filtrowany (przez stos TCP/IP systemu Windows, zaporę lub router). Aby stwierdzić, czy na komputerach docelowych została zastosowana poprawka, należy je sprawdzić ręcznie.
  • Komunikat o błędzie „host wymaga dalszego badania” oznacza, że wystąpiły problemy podczas skanowania hosta zdalnego. Aby stwierdzić, czy na komputerach docelowych została zastosowana poprawka, należy je sprawdzić ręcznie.
  • Komunikat o błędzie „błąd połączenia, błąd 67 (0x00000043)” zawiera informację, że nie można znaleźć nazwy sieciowej. Aby określić przyczynę występowania podobnych komunikatów o błędach, należy wpisać w wierszu polecenia następujące polecenie, gdzie nn jest numerem błędu wyrażonym liczbą dziesiętną:
    net helpmsg nn
  • Statystyka „Zastosowano poprawki KB824146 i KB823980” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o stanie „zastosowano poprawki KB824146 i KB823980”.
  • Statystyka „Zastosowano poprawkę KB823980” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o stanie „zastosowano poprawkę KB823980”.
  • Statystyka „Nie zastosowano poprawki” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o stanie „nie zastosowano poprawki”.
  • Statystyka „CAŁKOWITA LICZBA SKANOWANYCH HOSTÓW” wskazuje sumę statystyk „Zastosowano poprawki KB824146 i KB823980”, „Zastosowano poprawkę KB823980” oraz „Nie zastosowano poprawki”.
  • Statystyka „Protokół DCOM wyłączony” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o stanie „protokół DCOM wyłączony na tym hoście”.
  • Statystyka „Konieczne badanie” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o stanie „host wymaga dalszego badania”.
  • Statystyka „Odmowa połączenia” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o stanie „odmowa połączenia”.
  • Statystyka „Host niedostępny” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o stanie „host niedostępny”.
  • Statystyka „Inne błędy” wskazuje liczbę komputerów docelowych oznaczonych komunikatem o błędzie, którego nie wymieniono na tej liście.
  • Statystyka „CAŁKOWITA LICZBA POMINIĘTYCH HOSTÓW” wykazuje sumę statystyk „Protokół DCOM wyłączony”, „Konieczne badanie”, „Odmowa połączenia”, „Host niedostępny” oraz „Inne błędy”.
  • Statystyka „CAŁKOWITA LICZBA SKANOWANYCH ADRESÓW” wskazuje sumę statystyk „CAŁKOWITA LICZBA SKANOWANYCH HOSTÓW” oraz „CAŁKOWITA LICZBA POMINIĘTYCH HOSTÓW”.

Pliki dziennika tworzone przez narzędzie KB824146Scan.exe

Uwaga: Pliki dziennika są tworzone w bieżącym folderze roboczym (czyli w folderze, w którym zostało uruchomione narzędzie KB824146Scan.exe). Domyślnie jest to podfolder KB824146scan w folderze Program Files lub podfolder KB824146scan w folderze Program Files (X86) w przypadku 64-bitowych wersji systemu Windows XP lub Windows Server 2003.
  • KB824146Scan_RRMMDD[a-z][a-z].log: Ten plik dziennika zawiera informacje podobne do opisanych w sekcji „Przykładowe wyniki” w tym artykule.
  • Vulnerable_RRMMDD[a-z][a-z].log: Ten plik dziennika zawiera listę adresów IP komputerów w sieci, na których nie zainstalowano poprawki zabezpieczeń 824146 (MS03-039). Pliku dziennika Vulnerable_RRMMDD[a-z][a-z] można użyć bez zmian jako pliku wejściowego (Ipfile.txt) dla skryptu Patchinstall.vbs opisanego w artykule 827227 z bazy wiedzy Microsoft Knowledge Base. Jeżeli narzędzie KB824146Scan.exe jest używane do skanowania częściej niż raz dziennie, po dacie do nazwy pliku Vulnerable_RRMMDD[a-z][a-z] są dopisywane litery [a-z][a-z]. Na przykład, jeśli narzędzie KB824146Scan.exe zostanie uruchomione pięciokrotnie 21 sierpnia 2003, zostaną utworzone następujące pliki dziennika w podanej kolejności:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    W przypadku przykładowych danych wyjściowych w sekcji „Przykładowe dane wyjściowe” w tym artykule plik dziennika Vulnerable_RRMMDD[a-z][a-z].log zawiera następujące wpisy:
    10.1.1.2
    10.1.1.8

Znane problemy

  • Jeśli włączono dostęp zdalny lub udostępnianie plików, narzędzie KB824146scan.exe może niepoprawnie zaraportować, że następujące wersje systemu Windows zawierają luki:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Wydanie drugie
    • Microsoft Windows Millennium Edition
  • Oryginalna wersja narzędzia KB824146scan.exe (1.00.0249) nie może określić, czy poprawki zabezpieczeń 823980 (MS03-026) i 824146 (MS03-039) zostały zainstalowane na komputerze z systemem Windows NT 4.0, na którym wartość RestrictAnonymous ustawiono na 1 w następującym kluczu rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    W takiej sytuacji narzędzie KB824146scan.exe zaraportuje następujący stan błędu dla komputera docelowego: „nie można uzyskać informacji o stacji roboczej: błąd 997 (0x000003E5)”. Aby określić, czy na tych komputerach została zastosowana poprawka, należy użyć narzędzia KB824146scan.exe w wersji 1.00.0257 lub sprawdzić ręcznie wszystkie komputery z systemem Windows NT 4.0, na których włączono wartość RestrictAnonymous.
  • Nie można korzystać ze znaków dwubajtowych (DBCS) w ścieżce pliku wejściowego, pliku wyjściowego, pliku dziennika lub komputera-hosta podczas używania narzędzia KB824146scan.exe.

Właściwości

Numer ID artykułu: 827363 - Ostatnia weryfikacja: 11 lipca 2005 - Weryfikacja: 4.3
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition w wersji 2002
  • Microsoft Windows XP 64-Bit Edition w wersji 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Słowa kluczowe: 
kbfirewall KB827363

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com