Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)

Переводы статьи Переводы статьи
Код статьи: 827363 - Vizualiza?i produsele pentru care se aplic? acest articol.
Примечание. 7 октября 2003 г. корпорация Майкрософт выпустила обновленную версию (1.00.0257) средства сканирования KB824146 (программа KB824146scan.exe), при разработке которой были учтены некоторые замечания пользователей. К числу основных изменений в новой версии программы следует отнести следующие.
  • Возможность сканирования компьютеров под управлением Windows NT 4.0, на которых используется параметр реестра RestrictAnonymous.
  • Улучшенное представление результатов сканирования, облегчающее определение установленных на компьютере исправлений безопасности.
  • Отображение имен NetBIOS проверенных компьютеров.
Развернуть все | Свернуть все

В этой статье

Аннотация

Корпорация Майкрософт выпустила средство сканирования KB 824146 (KB824146scan.exe), которое может быть использовано сетевыми администраторами для определения узлов сети, на которых не установлены исправления безопасности 823980 (MS03-026) и 824146 (MS03-039). Это средство сканирования заменяет средство KB 823980 (KB823980scan.exe).

Примечание. При использовании средства KB823980scan.exe для сканирования компьютера, на котором установлено исправление безопасности 824146, может по ошибке появиться сообщение об отсутствии на компьютере исправления безопасности 823980 (MS03-026). Корпорация Майкрософт рекомендует пользователям применять средство KB824146scan.exe для определения узлов, на которых установлены исправления безопасности 823980 (MS03-026) и 824146 (MS03-039). Дополнительные сведения об исправлении безопасности 824146 (MS03-039) см. в следующей статье базы знаний Майкрософт:
824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
Дополнительные сведения об исправлении безопасности 823980 (MS03-026) см. в следующей статье базы знаний Майкрософт:
823980 MS03-026: Переполнение буфера интерфейса RPC может допустить запуск кода
Дополнительные сведения о новом компьютерном черве, использующем уязвимость в службе DCOM RPC, для устранения которой было выпущено исправление безопасности 823980 (MS03-026), см. в следующей статье базы знаний Майкрософт:
826955 Сообщение о черве W32.Blaster.Worm и его разновидностях
Инструкции по использованию сценариев инструментария управления Windows для установки исправления безопасности 823980 (MS03-026) на компьютеры в доменах Windows NT, Windows 2000 и Windows Server 2003 см. в следующей статье базы знаний Майкрософт:
827227 Использование сценария Visual Basic для установки исправлений безопасности 824146 (MS03-039) и 823980 (MS03-026) на удаленных узлах сети

Дополнительная информация

Средство KB824146scan.exe может быть использовано для сканирования удаленных компьютеров, что позволяет администраторам находить компьютеры под управлением Windows, на которых не установлены исправления безопасности 823980 (MS03-026) и 824146 (MS03-039). Для сканирования удаленных компьютеров не требуется выполнять проверку подлинности (для получения доступа к удаленному компьютеру не нужно указывать учетные данные). Использование средства KB824146scan.exe никак не влияет на стабильность работы сканируемой операционной системы.

Средство KB824146scan.exe запускается с компьютера под управлением Windows Server 2003, Windows XP или Windows 2000 для сканирования компьютеров сети под управлением Windows Server 2003, Windows XP, Windows 2000 или Windows NT 4.0.

Сведения о загрузке и установке

Для загрузки средства сканирования KB824146scan.exe обратитесь на веб-узел корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=13AE421B-7BAB-41A2-843B-FAD838FE472E
Загрузите пакет Dcom-kb827363-x86-RUS.exe. Чтобы установить средство KB824146scan.exe, дважды щелкните загруженный пакет. Средство сканирования с интерфейсом командной строки устанавливается в папке Program Files/KB824146scan или Program Files (X86)/KB824146scan (для 64-разрядных версий Windows XP и Windows Server 2003).

Сведения об использовании

Чтобы запустить средство KB824146scan.exe, выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите команду Выполнить.
  2. В поле Открыть введите команду cmd и нажмите кнопку .
  3. Введите в командной строке cd %programfiles%\kb824146scan и нажмите клавишу ВВОД.
  4. Введите команду kb824146scan параметры.
Для получения сведений о параметрах командной строки, которые используются при запуске средства KB824146scan.exe, введите команду KB824146scan.exe /?. Будут отображены следующие сведения.
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

Targets can take any of the following forms:

    a.b.c.d             - IP address
    a.b.c.d-i.j.k.l     - IP address range
    a.b.c.d/mask        - IP address with CIDR mask
    host                - unqualified hostname
    host.domain.com     - fully-qualified domain name
    localhost           - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. The
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
for most networks. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.

Примерный результат выполнения программы

Ниже приведены результаты сканирования с помощью программы KB824146Scan.exe IP-адресов в диапазоне от 10.1.1.0 до 10.1.1.255.
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Сообщения об ошибках, состояние и статистика

  • Состояние «unpatched». Сканируемый узел является узлом Windows, но на нем не установлены исправления безопасности 823980 (MS03-026) и 824146 (MS03-039). Для защиты этого компьютера необходимо установить исправление безопасности 824146 (MS03-039).
  • Состояние «patched with KB823980». Узел проверен, на нем установлено исправление безопасности 823980 (MS03-026), но отсутствует исправление безопасности 824146 (MS03-039). Для защиты этого компьютера необходимо установить исправление безопасности 824146 (MS03-039).
  • Состояние «patched with KB824146 and KB823980». Узел проверен, на нем установлены исправления безопасности 823980 (MS03-026) и 824146 (MS03-039).
  • Сообщение об ошибке «host unreachable». По указанному IP-адресу узел отсутствует. Кроме того, сообщение «host unreachable» возвращается маршрутизаторами «черная дыра» и брандмауэрами, которые блокируют пакеты, например брандмауэром подключения к Интернету.
  • Состояние «DCOM is disabled on this host». На узле назначения отключен интерфейс DCOM, например с целью защиты от уязвимостей, для устранения которых предназначены исправления безопасности 823980 (MS03-026) и 824146 (MS03-039). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    825750 Отключение поддержки DCOM в Windows
  • Сообщения об ошибке «address is not valid in this context» и «connection failure». При подключении к удаленному компьютеру возникли проблемы. Чтобы определить наличие исправлений на конечных компьютерах, необходимо проверить их вручную.
  • Сообщение об ошибке «connection refused». Ни одна из служб не ведет прослушивание TCP-порта 135 или TCP-порт 135 фильтруется (с помощью стека TCP/IP Windows, брандмауэра или маршрутизатора). Чтобы определить наличие исправлений на конечных компьютерах, необходимо проверить их вручную.
  • Сообщение об ошибке «this host needs further investigation». При сканировании удаленного узла возникли неполадки. Чтобы определить наличие исправлений на конечных компьютерах, необходимо проверить их вручную.
  • Сообщение об ошибке «connection failure, error 67 (0x00000043)». Сетевое имя не было найдено. Для определения причины появления такого сообщения введите в командной строке (хх — номер ошибки в десятичном формате):
    net helpmsg хх
  • Строка «Patched with KB824146 and KB823980». Данные о количестве конечных компьютеров, имеющих состояние «patched with KB824146 and KB823980».
  • Строка «Patched with KB823980». Данные о количестве конечных компьютеров, имеющих состояние «patched with KB823980».
  • Строка «Unpatched». Данные о количестве конечных компьютеров, имеющих состояние «unpatched».
  • Строка «TOTAL HOSTS SCANNED». Итоговые данные по строкам «Patched with KB824146 and KB823980», «Patched with KB823980» и «Unpatched».
  • Строка «DCOM Disabled». Данные о количестве конечных компьютеров, имеющих состояние «DCOM is disabled on this host».
  • Строка «Needs Investigation». Данные о количестве конечных компьютеров, имеющих состояние «this host needs further investigation».
  • Строка «Connection refused». Данные о количестве конечных компьютеров, имеющих состояние «connection refused».
  • Строка «Host unreachable». Данные о количестве конечных компьютеров, имеющих состояние «host unreachable».
  • Строка «Other Errors». Данные о количестве конечных компьютеров, для которых было получено сообщение об ошибке, отличное от рассмотренных выше.
  • Строка «TOTAL HOSTS SKIPPED». Итоговые данные по строкам «DCOM Disabled», «Needs Investigation», «Connection refused», «Host unreachable» и «Other Errors».
  • Строка «TOTAL ADDRESSES SCANNED». Итоговые данные по строкам «TOTAL HOSTS SCANNED» и «TOTAL HOSTS SKIPPED».

Файлы журнала, создаваемые средством KB824146Scan.exe

Примечание. Файлы журналов создаются в текущей рабочей папке (т. е. в папке, из которой запускается средство KB824146Scan.exe). По умолчанию это папка Program Files/KB824146scan или Program Files (X86)/KB824146scan (в 64-разрядных версиях Windows XP и Windows Server 2003).
  • KB824146Scan_ГГММДД[a-z][a-z].log. Этот файл содержит данные, подобные приведенным в разделе «Примерный результат выполнения программы» этой статьи.
  • Vulnerable_ГГММДД[a-z][a-z].log. Журнал содержит список IP-адресов компьютеров сети, на которых не установлено исправление безопасности 824146 (MS03-039). Файл Vulnerable_ГГММДД[a-z][a-z] можно использовать в исходном виде в качестве входного файла (Ipfile.txt ) для сценария Patchinstall.vbs, описанного в статье 827227 базы знаний Майкрософт. Если средство KB824146Scan.exe запускается несколько раз в течение одного дня, после даты в имя файла Vulnerable_ГГММДД[a-z][a-z] добавляются буквы [a-z][a-z]. Предположим, что 21 августа 2003 г. средство KB824146Scan.exe было запущено пять раз. При этом создаются файлы журнала в следующем порядке:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    В примере, приведенном в разделе «Примерный результат выполнения программы», журнал Vulnerable_ГГММДД[a-z][a-z].log должен содержать следующие записи:
    10.1.1.2
    10.1.1.8

Известные проблемы

  • Если включен удаленный доступ или общий доступ к файлам, средство KB824146scan.exe может ошибочно сообщить об уязвимости следующих версий Windows:
    • Windows 95
    • Windows 98
    • Windows 98 второго издания
    • Windows Millennium Edition
  • С помощью исходной версии средства KB824146scan.exe (1.00.0249) невозможно определить наличие исправлений безопасности 823980 (MS03-026) и 824146 (MS03-039) на компьютере под управлением Windows NT 4.0, если параметру RestrictAnonymous в следующем разделе реестра присвоено значение 1:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    В этом случае средство KB824146scan.exe возвращает следующее сообщение об ошибке: «cannot get workstation info: error 997 (0x000003E5)». Сканирование компьютера под управлением Windows NT 4.0 с активированным параметром RestrictAnonymous осуществляется в ручном режиме или с помощью средства KB824146scan.exe версии 1.00.0257.
  • Средство KB824146scan.exe не поддерживает использование набора двухбайтовых символов (DBSC) в пути к входному файлу, выходному файлу, файлу журнала или узлу сети.

Свойства

Код статьи: 827363 - Последний отзыв: 11 июля 2005 г. - Revision: 4.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Ключевые слова: 
kbfirewall kbhowto KB827363

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com