Como usar a ferramenta de exame KB 824146 para identificar computadores host que não possuem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados

Traduções deste artigo Traduções deste artigo
ID do artigo: 827363 - Exibir os produtos aos quais esse artigo se aplica.
Observação Em 7 de outubro de 2003, a Microsoft publicou uma versão atualizada (1.00.0257) da ferramenta de exame KB 824146 (KB824146scan.exe) que incorpora diversos pedidos de recursos com base no retorno de clientes. As principais modificações na versão 1.00.0257 incluem o seguinte:
  • A habilidade em examinar computadores com Microsoft Windows NT 4.0 que estão com o valor RestrictAnonymous ativado no Registro
  • Categorias de saída aperfeiçoadas que ajudam a esclarecer o nível do patch de segurança de computadores examinados
  • O nome de saída NetBIOS para computadores examinados
Expandir tudo | Recolher tudo

Neste artigo

Sumário

A Microsoft lançou a ferramenta de exame KB 824146 (KB824146scan.exe) que os administradores de rede podem usar para identificar computadores host em suas redes que não tenham os patches de seguranças 823980 (MS03-026) e 824146 (MS03-039) instalados. Essa ferramenta substitui a ferramenta de exame KB 823980 (KB823980scan.exe).

Observação Se a ferramenta KB823980scan.exe for usada para varrer um computador que tenha o patch de segurança instalado, ela irá informar que o computador não tem o patch de segurança 823980 (MS03-026). A Microsoft incentiva os clientes a executar a ferramenta KB824146scan.exe a fim de determinar se os computadores host em suas redes têm os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados. Para obter informações adicionais sobre o patch de segurança 824146 (MS03-039), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
824146 MS03-039: Uma saturação do buffer no RPCSS poderia permitir a um invasor a execução de programas mal-intencionados
Para obter informações adicionais sobre o patch de segurança 823980 (MS03-026), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
823980 MS03-026: Saturação do buffer na interface RPC pode permitir a execução de código
Para obter informações adicionais sobre um novo vírus que tenta explorar a vulnerabilidade DCOM RPC corrigida pelo patch de segurança 823980 (MS03-026), clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
826955 Alerta de vírus sobre o worm Blaster e suas variantes
Para informações adicionais sobre como os administradores de rede podem usar os scripts da Instrumentação de gerenciamento do Windows para instalar o patch de segurança do 823980 (MS03-026) em computadores sem patch em seu domínio do Windows NT, Windows 2000 ou Windows Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
827227 Como usar o Visual Basic Script para instalar o patch de segurança 824146 (MS03-039) ou 823980 (MS03-026) em computadores host remotos

Mais Informações

A ferramenta KB824146scan.exe pode examinar computadores remotos a fim de ajudar os administradores de rede a identificar os computadores com Windows que não têm os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados. O exame não requer autenticação (isto é, não é necessário fornecer credenciais válidas no computador remoto). A ferramenta KB824146scan.exe não afeta a estabilidade do sistema operacional sob exame.

É possível usar a ferramenta KB824146scan.exe de um computador que esteja executando Windows Server 2003, Windows XP ou Windows 2000. É possível usá-la para examinar computadores com Windows Server 2003, Windows XP, Windows 2000 ou Windows NT 4.0 em sua rede.

Informações sobre o download e instalação

Para baixar a ferrmenta KB824146scan.exe tool, visite o seguinte site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=13AE421B-7BAB-41A2-843B-FAD838FE472E
Baixe o pacote de instalação Dcom-kb827363-x86-PTB.exe. Para instalar a ferramenta KB824146scan.exe, clique duas vezes no pacote de instalação Dcom-kb827363-x86-PTB.exe baixado. A ferramenta é um utilitário de linha de comando instalado na subpasta KB824146scan da pasta Arquivos de programas ou na subpasta KB824146scan da pasta Arquivos de programas (X86) para as versões de 64 bits do Windows XP ou Windows Server 2003.

Informações de uso

Para executar a ferramenta KB824146scan.exe, execute estas etapas:
  1. Clique em Iniciar e em Executar.
  2. Na caixa Abrir, digite cmd e clique em OK.
  3. No prompt de comando, digite cd %programfiles%\kb824146scan e pressione ENTER.
  4. Digite kb824146scanopções.
Para obter informações sobre as opções disponíveis para uso com a ferramenta KB824146scan.exe, digite KB824146scan.exe /?. As seguintes informações são exibidas:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

Targets can take any of the following forms:

    a.b.c.d             - IP address
    a.b.c.d-i.j.k.l     - IP address range
    a.b.c.d/mask        - IP address with CIDR mask
    host                - unqualified hostname
    host.domain.com     - fully-qualified domain name
    localhost           - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. The
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
for most networks. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.

Resultado de exemplo

O seguinte é um exemplo do resultado da linha de comando mostrado pelo KB824146Scan.exe ao usá-lo para examinar um intervalo de endereços IP (10.1.1.0 a 10.1.1.255 nesse exemplo).
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Mensagens de erro, status e estatísticas

  • Um status "unpatched" indica que o host examinado é um host do Windows, mas que não tem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados . Para ajudar a proteger este computador, é necessário instalar o patch de segurança 824146 (MS03-039).
  • Um status "patched with KB823980" indica que o host foi examinado e que ele tem o patch de segurança 823980 (MS03-026) instalado. O computador não tem o patch de segurança 824146 (MS03-039) instalado. Para ajudar a proteger este computador, é necessário instalar o patch de segurança 824146 (MS03-039).
  • Um status "patched with KB824146 and KB823980" indica que o host foi examinado e que ele tem os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) instalados.
  • A mensagem de erro "host unreachable" indica que não há um host presente o endereço IP (Internet Protocol) especificado. Além disso, os roteadores buracos negros ou firewalls que derrubam pacotes, como o ICF (Firewall de conexão com a Internet), também retornam uma mensagem de erro "host unreachable".
  • Um status "DCOM is disabled on this host" indica que o DCOM foi desativado no computador host de destino. O DCOM pode ter sido desativado para proteção contra as vulnerabilidades mencionadas nos patches de segurança 823980 (MS03-026) e 824146 (MS03-039). Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    825750 Como desativar o suporte DCOM no Windows
  • Uma mensagem de erro "address is not valid in this context" ou "connection failure" indica que houve algum problema na conexão com o computador remoto. Para determinar se os computadores de destino foram corrigidos, será necessário inspecioná-los manualmente.
  • Uma mensagem de erro "connection refused" indica que não há serviço escutando na porta TCP 135 ou que essa mesma porta está sendo filtrada (pela pilha TCP/IP do Windows, por um firewall ou por um roteador). Para determinar se os computadores de destino foram corrigidos, será necessário inspecioná-los manualmente.
  • Uma mensagem de erro "this host needs further investigation" indica que houve algum problema na verificação do host remoto. Para determinar se os computadores de destino foram corrigidos, será necessário inspecioná-los manualmente.
  • Uma mensagem de erro "connection failure, error 67 (0x00000043)" indica que o nome da rede não pôde ser encontrado. Para determinar a causa de mensagens de erro similares, digite o seguinte no prompt de comando, no qual nn é o número de erro decimal:
    net helpmsgnn
  • A estatística "Patched with KB824146 e KB823980" é uma contagem dos computadores de destino que foram marcados com a mensagem de status "patched with KB824146 and KB823980".
  • A estatística "Patched with KB823980" é uma contagem dos computadores de destino que foram marcados com a mensagem de status "patched with KB823980".
  • A estatística "Unpatched" é uma contagem dos computadores de destino que foram marcados com a mensagem de status "unpatched".
  • A estatística "TOTAL HOSTS SCANNED" é o total das estatísticas "Patched with KB824146 and KB823980", "Patched with KB823980" e "Unpatched".
  • A estatística "DCOM Disabled" é uma contagem dos computadores de destino que foram marcados com a mensagem "DCOM is disabled on this host".
  • A estatística "Needs Investigation" é uma contagem dos computadores de destino que foram marcados com a mensagem de status "this host needs further investigation".
  • A estatística "Connection refused" é uma contagem dos computadores de destino que foram marcados com a mensagem de status "connection refused".
  • A estatística "Host unreachable" é uma contagem dos computadores de destino que foram marcados com a mensagem de status "host unreachable".
  • A estatística "Other Errors" é uma contagem dos computadores de destino que foram marcados com qualquer outra mensagem de erro não inclusa nesta lista.
  • A estatística "TOTAL HOSTS SKIPPED" é o total das estatísticas "DCOM Disabled", "Needs Investigation", "Connection refused", "Host unreachable" e "Other Errors".
  • A estatística "TOTAL ADDRESSES SCANNED" é o total das estatísticas "TOTAL HOSTS SCANNED" e "TOTAL HOSTS SKIPPED".

Arquivos de log criados pela ferramenta KB824146Scan.exe

Observação Esses arquivos de log são criados na pasta de trabalho atual (ou seja, a pasta de onde a KB824146Scan.exe é executada). Por padrão, essa é a subpasta KB824146scan da pasta Arquivos de programas ou a KB824146scan da pasta Arquivos de programas (X86) para as versões de 64 bits do Windows XP ou Windows Server 2003.
  • KB824146Scan_YYMMDD[a-z][a-z].log: Esse arquivo de log contém informações iguais às da seção "Resultado de exemplo" deste artigo.
  • Vulnerable_YYMMDD[a-z][a-z].log: Esse arquivo de log contém uma lista de endereços IP para computadores de sua rede que não têm o patch de segurança 824146 (MS03-039) instalado. É possível usar o arquivo Vulnerable_YYMMDD[a-z][a-z] sem modificação como o arquivo de entrada (Ipfile.txt) do script Patchinstall.vbs descrito no artigo 827227 da Base de Dados de Conhecimento da Microsoft. Se a KB824146Scan.exe for executada mais de uma vez por dia para fins de exame, as letras [a-z][a-z] serão adicionadas ao nome de arquivo Vulnerable_YYMMDD[a-z][a-z] após a data. Por exemplo, se você executar o KB824146Scan.exe cinco vezes no dia 21 de agosto de 2003, os seguintes arquivos de log serão criados nesta ordem:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    Para o resultado de exemplo descrito na seção "Resultado de exemplo" deste artigo, o arquivo de log Vulnerable_YYMMDD[a-z][a-z].log teria as seguintes entradas:
    10.1.1.2
    10.1.1.8

Problemas conhecidos

  • Se o acesso remoto ou o compartilhamento de arquivo estiver ativado, a ferramenta KB824146scan.exe poderá informar incorretamente que as seguintes versões do Windows são vulneráveis:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • A versão original da ferramenta KB824146scan.exe (1.00.0249 ) não pode determinar se os patches de segurança 823980 (MS03-026) e 824146 (MS03-039) estão instalados em um computador com Windows NT 4.0 que tenha o valor RestrictAnonymous definido como 1 na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    Nesse caso, a ferramenta KB824146scan.exe informa o seguinte status de erro para o computador de destino: ?cannot get workstation info: error 997 (0x000003E5).? Para determinar se os patches foram instalados nesses computadores, use a versão 1.00.0257 da KB824146scan.exe, ou verifique manualmente todos os computadores com Windows NT 4.0 que tenham o valor RestrictAnonymous ativado.
  • Não é possível usar conjuntos de caracteres de dois bytes (DBCS) no caminho para os arquivos de entrada, de saída ou de log, ou no computador host ao utilizar a ferramenta KB824146scan.exe.

Propriedades

ID do artigo: 827363 - Última revisão: segunda-feira, 11 de julho de 2005 - Revisão: 4.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palavras-chave: 
kbfirewall KB827363

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com