Como utilizar a ferramenta de verificação KB 824146 para identificar computadores anfitriões que não tenham os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados

Traduções de Artigos Traduções de Artigos
Artigo: 827363 - Ver produtos para os quais este artigo se aplica.
Nota: em 7 de Outubro de 2003, a Microsoft disponibilizou uma versão actualizada (1.00.0257) da ferramenta de verificação KB 824146 (KB824146scan.exe) que incorpora vários funcionalidades com base em pedidos de clientes. Seguem-se algumas das principais alterações da versão 1.00.0257:
  • A capacidade de verificar computadores baseados no Microsoft Windows NT 4.0 que tenham o valor RestrictAnonymous activado no registo
  • Categorias de resultados melhoradas, que ajudam a clarificar o nível de patch de segurança de computadores verificados
  • Apresentação do nome de NetBIOS de computadores verificados
Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Expandir tudo | Reduzir tudo

Nesta página

Sumário

A Microsoft disponibilizou a ferramenta de verificação KB 824146 (KB824146scan.exe), que pode ser utilizada por administradores de rede para identificar computadores anfitriões das mesmas que não tenham os patches de segurança 823980 (MS02-026) e 824146 (MS03-039) instalados. Esta ferramenta substitui a ferramenta de verificação KB 823980 (KB823980scan.exe).

Nota: se utilizar a ferramenta KB823980scan.exe para verificar um computador que tenha o patch de segurança 824146 instalado, esta indicará incorrectamente que o computador não tem o patch de segurança 823980 (MS03-026). A Microsoft incentiva os clientes a executarem a ferramenta KB824146scan.exe para determinar se os computadores anfitriões das respectivas redes têm os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados. Para obter informações adicionais sobre o patch de segurança 824146 (MS03-039), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
824146 MS03-039: Uma sobrecarga da memória intermédia no RPCSS pode permitir que um atacante execute programas maliciosos
Para obter informações adicionais sobre o patch de segurança 823980 (MS03-026), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823980 MS03-026: Uma sobrecarga da memória intermédia na RPC pode permitir a execução de código
Para obter informações adicionais sobre um novo vírus do tipo worm que tenta explorar a vulnerabilidade DCOM RPC corrigida pelo patch de segurança 823980 (MS03-026), clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
826955 Alerta de vírus sobre o 'worm' Blaster e respectivas variantes
Para obter informações adicionais sobre a forma como os administradores de rede podem utilizar scripts de Windows Management Instrumentation para instalar o patch de segurança 823980 (MS03-026) em computadores sem patches instalados nos respectivos domínios do Windows NT, Windows 2000 ou Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
827227 Como utilizar um script do Visual Basic para instalar o patch de segurança 824146 (MS03-039) ou 823980 (MS03-026) em computadores anfitriões remotos

Mais Informação

A ferramenta KB824146scan.exe pode verificar computadores remotos para ajudar administradores de rede a identificarem quais os computadores baseados em Windows que não têm os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados. A verificação não necessita de autenticação (isto é, não é necessário fornecer credenciais válidas no computador remoto). A ferramenta KB824146scan.exe não afecta a estabilidade do sistema operativo de destino a verificar.

Pode utilizar a ferramenta KB824146scan.exe a partir de um computador com o Windows Server 2003, Windows XP ou Windows 2000. Pode utilizá-la para verificar computadores baseados em Windows Server 2003, Windows XP, Windows 2000 ou Windows NT 4.0, na rede.

Informações de transferência e instalação

Para transferir a ferramenta KB824146scan.exe, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=pt-pt
Transfira o pacote de instalação Dcom-kb827363-x86-enu.exe. Para instalar a ferramenta KB824146scan.exe, faça duplo clique no pacote de instalação Dcom-kb827363-x86-ptg.exe transferido. A ferramenta é um utilitário da linha de comandos que é instalado na subpasta KB824146scan da pasta Programas (Program Files) ou na subpasta KB824146scan da pasta Program Files (X86), em versões de 64 bits do Windows XP ou Windows Server 2003.

Informações de utilização

Para executar a ferramenta KB824146scan.exe, siga estes passos:
  1. Clique em Iniciar (Start) e clique em Executar (Run).
  2. Na caixa Abrir (Open), escreva cmd e clique em OK.
  3. Numa linha de comandos, escreva cd %programfiles%\kb824146scan e prima ENTER.
  4. Escreva kb824146scan parâmetros.
Para obter informações sobre os parâmetros disponíveis para utilização com a ferramenta KB824146scan.exe, escreva KB824146scan.exe /?. São mostradas as informações que se seguem:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

Targets can take any of the following forms:

    a.b.c.d             - IP address
    a.b.c.d-i.j.k.l     - IP address range
    a.b.c.d/mask        - IP address with CIDR mask
    host                - unqualified hostname
    host.domain.com     - fully-qualified domain name
    localhost           - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. The
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
for most networks. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.

Exemplo de resultado

Segue-se um exemplo do resultado da linha de comandos mostrado pelo KB824146Scan.exe quando o utiliza para verificar um intervalo de endereços IP (10.1.1.0 a 10.1.1.255, neste exemplo).
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Mensagens de erro, estado e estatísticas

  • Um estado "unpatched" indica que o anfitrião verificado é um anfitrião Windows, mas não tem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados. Para proteger este computador, tem de instalar o patch de segurança 824146 (MS03-039).
  • Um estado "patched with KB823980" indica que o anfitrião foi verificado e que tem o patch de segurança 823980 (MS03-026) instalado. O computador não tem o patch de segurança 824146 (MS03-039) instalado. Para proteger este computador, tem de instalar o patch de segurança 824146 (MS03-039).
  • Um estado "patched with KB824146 and KB823980" indica que o anfitrião foi verificado e que tem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados.
  • Uma mensagem de erro "host unreachable" indica que o anfitrião não existe no endereço IP (protocolo Internet) especificado. Além disso, routers ou firewalls que "absorvam" pacotes, como um Firewall de ligação à Internet (ICF, Internet Connection Firewall), também devolvem uma mensagem de erro "host unreachable".
  • Um estado "DCOM is disabled on this host" indica que o DCOM foi desactivado no computador anfitrião de destino. O DCOM pode ter sido desactivado para protecção contra as vulnerabilidades corrigidas pelos patches de segurança 823980 (MS03-026) e 824146 (MS03-039). Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    825750 How to Disable DCOM Support in Windows
  • Uma mensagem de erro "address is not valid in this context" ou "connection failure" indica que ocorreu um problema ao ligar ao computador remoto. Para determinar se foi aplicado o patch nos computadores de destino, terá de inspecioná-los manualmente.
  • Uma mensagem de erro "connection refused" indica que não existe um serviço em escuta na porta TCP 135 ou que esta está a ser filtrada (pela pilha de TCP/IP do Windows ou por um firewall ou router). Para determinar se foi aplicado o patch nos computadores de destino, terá de inspecioná-los manualmente.
  • Uma mensagem de erro "this host needs further investigation" indica que ocorreu algum problema ao verificar o anfitrião remoto. Para determinar se foi aplicado o patch nos computadores de destino, terá de inspecioná-los manualmente.
  • Uma mensagem de erro "connection failure, error 67 (0x00000043)" indica que não é possível localizar o nome de rede. Para determinar a causa de mensagens de erro semelhantes, escreva o seguinte numa linha de comandos, em quenn é o número de erro decimal:
    net helpmsgnn
  • A indicação estatística "Patched with KB824146 and KB823980" é uma contagem dos computadores de destino que foram marcados com a mensagem de estado "patched with KB824146 and KB823980".
  • A indicação estatística "Patched with KB823980" é uma contagem dos computadores de destino que foram marcados com a mensagem de estado "patched with KB823980".
  • A indicação estatística "Unpatched" é uma contagem dos computadores de destino que foram marcados com a mensagem de estado "unpatched".
  • A indicação estatística "TOTAL HOSTS SCANNED" é um total das estatísticas "Patched with KB824146 and KB823980", "Patched with KB823980" e "Unpatched".
  • A indicação estatística "DCOM Disabled" é uma contagem dos computadores de destino que foram marcados com a mensagem de estado "DCOM is disabled on this host".
  • A indicação estatística "Needs Investigation" é uma contagem dos computadores de destino que foram marcados com a mensagem de estado "this host needs further investigation".
  • A indicação estatística "Connection refused" é uma contagem dos computadores de destino que foram marcados com a mensagem de estado "connection refused".
  • A indicação estatística "Host unreachable" é uma contagem dos computadores de destino que foram marcados com a mensagem de estado "host unreachable".
  • A indicação estatística "Other Errors" é uma contagem dos computadores de destino que foram marcados com outras mensagens de erro não incluídas na lista.
  • A indicação estatística "TOTAL HOSTS SKIPPED" é um total das estatísticas "DCOM Disabled", "Needs Investigation", "Connection refused", "Host unreachable" e "Other Errors".
  • A indicação estatística "TOTAL ADDRESSES SCANNED" é um total das estatísticas "TOTAL HOSTS SCANNED" e "TOTAL HOSTS SKIPPED".

Ficheiros de registo criados pela ferramenta KB824146Scan.exe

Nota: estes ficheiros de registo são criados na pasta de trabalho actual (isto é, a pasta onde executa o KB824146Scan.exe). Por predefinição, esta é a subpasta KB824146scan da pasta Programas (Program Files) ou a subpasta KB824146scan da pasta Program Files (X86), em versões de 64 bits do Windows XP ou Windows Server 2003.
  • KB824146Scan_AAMMDD[a-z][a-z].log: este ficheiro de registo contém informações semelhantes às informações existentes na secção "Exemplo de resultado" deste artigo.
  • Vulnerable_AAMMDD[a-z][a-z].log: este ficheiro contém uma lista dos endereços IP dos computadores existentes na rede que não têm o patch de segurança 824146 (MS03-039) instalado. Pode utilizar o ficheiro Vulnerable_AAMMDD[a-z][a-z] sem alterações como ficheiro de entrada (Ipfile.txt) para o script Patchinstall.vbs descrito no artigo 827227 da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base). Se executar o KB824146Scan.exe mais do que uma vez por dia para efectuar uma verificação, as letras [a-z][a-z] serão adicionadas ao nome do ficheiro Vulnerable_AAMMDD[a-z][a-z] , após a data. Por exemplo, se executar o KB824146Scan.exe cinco vezes em 21 de Agosto de 2003, serão criados os seguintes ficheiros de registo, por esta ordem:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    Em relação ao exemplo de resultado descrito na secção "Exemplo de resultado" deste artigo, o ficheiro de registo Vulnerable_AAMMDD[a-z][a-z].log conteria as seguintes entradas:
    10.1.1.2
    10.1.1.8

Problemas conhecidos

  • Se o acesso remoto ou a partilha de ficheiros estiverem activados, a ferramenta KB824146scan.exe poderá indicar incorrectamente que as versões do Windows que se seguem estão vulneráveis:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Segunda Edição
    • Microsoft Windows Millennium Edition
  • A versão original da ferramenta KB824146scan.exe (1.00.0249) não consegue determinar se os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) estão instalados num computador baseado no Windows NT 4.0 que tenha o valor RestrictAnonymous definido como 1 na seguinte chave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    Neste caso, a ferramenta KB824146scan.exe indica o seguinte estado de erro para o computador de destino: ?cannot get workstation info: error 997 (0x000003E5).? Para determinar se foram aplicados os patches a estes computadores, utilize a versão 1.00.0257 de KB824146scan.exe, ou inspeccione manualmente todos os computadores baseados em Windows NT 4.0 que tenham o valor RestrictAnonymous activado.
  • Não pode utilizar caracteres do conjunto de caracteres de dois bytes (DBCS, Double-Byte Character Set) no caminho dos ficheiros de entrada, saída ou registo, nem no caminho do computador anfitrião, quando utiliza a ferramenta KB824146scan.exe.

Propriedades

Artigo: 827363 - Última revisão: 11 de julho de 2005 - Revisão: 4.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP 64-Bit Edition Versão 2002
  • Microsoft Windows XP 64-Bit Edition Versão 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbfirewall KB827363

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com