Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)

Artikelöversättning Artikelöversättning
Artikel-id: 827363 - Visa produkter som artikeln gäller.
Obs! Den 7 oktober 2003 släppte Microsoft en uppdaterad version (1.00.0257) av sökverktyget KB 824146 (KB824146scan.exe) med flera nya funktioner som införts efter synpunkter från våra kunder. De viktigaste ändringarna i version 1.00.0257 är följande:
  • Möjlighet att söka igenom datorer med Microsoft Windows NT 4.0 där värdet RestrictAnonymous i registret har aktiverats.
  • Förbättrade utdatakategorier som bidrar till att klargöra de genomsökta datorernas säkerhetskorrigeringsnivå.
  • NetBIOS-namnutdata för genomsökta datorer
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Microsoft har publicerat sökverktyget KB 824146 (KB824146scan.exe), som kan användas av nätverksadministratörer för att identifiera värddatorer i nätverket som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039). Det här verktyget ersätter sökverktyget KB 823980 (KB823980scan.exe).

Obs! Om du använder KB823980scan.exe för att söka igenom en dator med säkerhetskorrigering 824146 rapporteras felaktigt att säkerhetskorrigering 823980 (MS03-026) saknas. Microsoft uppmanar sina kunder att köra verktyget KB824146scan.exe för att fastställa om säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039) är installerade på värddatorerna i nätverket. Om du vill veta mer om säkerhetskorrigering 824146 (MS03-039) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
Om du vill veta mer om säkerhetskorrigering 823980 (MS03-026) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC-gränssnitt möjliggör körning av kod
Om du vill veta mer om ett nytt maskvirus som utnyttjar RPC-säkerhetsproblemet i DCOM, vilket korrigeras genom säkerhetskorrigering 823980 (MS03-026), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
826955 Virusvarning för masken Blaster med varianter
Om du vill veta mer om hur nätverksadministratörer kan använda Windows Management Instrumentation-skript för att installera säkerhetskorrigering 823980 (MS03-026) på datorer som saknar denna säkerhetskorrigering i en Microsoft Windows NT-, Microsoft Windows 2000- eller Microsoft Windows Server 2003-domän, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
827227 Använda ett Visual Basic-skript för att installera säkerhetskorrigering 824146 (MS03-039) eller 823980 (MS03-026) på fjärrvärddatorer

Mer Information

Med hjälp av KB824146scan.exe kan nätverksadministratörer fastställa vilka fjärrdatorer med Windows som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039). Sökningen kräver ingen autentisering. (Det är alltså inte nödvändigt att ange giltig identifieringsinformation på fjärrdatorn.) KB824146scan.exe påverkar inte stabiliteten hos det måloperativsystem som söks igenom.

KB824146scan.exe kan användas från en dator med Windows Server 2003, Windows XP eller Windows 2000 för genomsökning av datorer med Windows Server 2003, Windows XP, Windows 2000 eller Windows NT 4.0 i ett nätverk.

Information om hämtning och installation

KB824146scan.exe kan hämtas på följande Microsoft-webbplats:
http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en
Hämta installationspaketet Dcom-kb827363-x86-enu.exe. Installera KB824146scan.exe genom att dubbelklicka på installationspaketet Dcom-kb827363-x86-enu.exe som du har hämtat. Verktyget är ett kommandoradsverktyg som installeras i undermappen KB824146scan i mappen Program, eller i undermappen KB824146scan i mappen Program Files (X86) i 64-bitarsversioner av Windows XP eller Windows Server 2003.

Information om användning

Så här kör du verktyget KB824146scan.exe:
  1. Klicka på Start och sedan på Kör.
  2. Skriv cmd i rutan Öppna och klicka sedan på OK.
  3. Skriv cd %programfiles%\kb824146scan i kommandotolken och tryck på RETUR.
  4. Skriv kb824146scan switches.
Om du vill veta vilka växlar som kan användas med verktyget KB824146scan.exe skriver du KB824146scan.exe /?. Följande information visas:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

KB824146Scan.exe används för att via ett nätverk undersöka om Windows-datorer
har korrigeringsfilerna KB824146 och KB823980. KB824146Scan.exe gör det
möjligt för administratörer att snabbt hitta datorer som saknar korrigeringsfilen i företagsnätverk.

Användning: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] mål ...

Målet kan utgöras av följande:

    a.b.c.d             - IP-adress
    a.b.c.d-i.j.k.l     - IP-adressområde
    a.b.c.d/mask        - IP-adress med CIDR-mask
    host                - icke-kvalificerat värdnamn
    host.domain.com     - fullständigt kvalificerat domännamn
    localhost           - kontrollera lokal dator

Mål kan anges på kommandoraden och i användardefinierade indatafiler.
Indatafilens format är ett mål per rad.

Det finns en loggfil för KB824146Scan.exe i den aktuella katalogen om växeln /l
anges på kommandoraden. (Annars skickas utdata endast till
skärmen.) Loggfilerna har formen KB824146Scan_ÅÅMMDD[a-z][a-z].log, där ÅÅ
är året med två siffror, MM är månaden med två siffror och DD är dagen med två
siffror. [a-z][a-z] tillfogas till loggfilens namn när ytterligare genomsökningar
genomförs samma dag. Observera att loggutdata endast
innehåller nödvändig information. Om fullständig information önskas ska växeln
/v anges för detaljerad loggning.

Genom KB824146Scan.exe skapas en lista över sårbara datorer (datorer utan och med
KB823980) i den aktuella arbetskatalogen. Loggfilerna
har formen Vulnerable_ÅÅMMDD[a-z][a-z].log, där ÅÅ
är året med två siffror, MM är månaden med två siffror och DD är dagen med två siffror. Filen 
[a-z][a-z] tillfogas till loggfilens namn när ytterligare genomsökningar genomförs
samma dag. Namnet kan ändras med växeln /o.

KB824146Scan.exe matchar IP-adresser med DNS-namn om växeln /r anges
på kommandoraden. Detta kan medföra en prestandaförsämring om
DNS-servrarna svarar långsamt.

KB824146Scan.exe matchar IP-adresser med NetBIOS-namn om växeln /n anges
på kommandoraden. Detta kan medföra en prestandaförsämring om
fjärr-NetNIOS-anslutningen svarar långsamt.

KB824146Scan.exe har ett standardtimeout-värde på fem sekunder, vilket passar
för de flesta nätverk. Om nätverket är långsamt eller IPSec är aktiverat kan
timeout-värdet ökas till tio sekunder eller mer. Använd /t för att ange
antalet sekunder för timeout.

Exempel på utdata

Följande är ett exempel på kommandoradsutdata som visas med KB824146Scan.exe när det används för att söka igenom ett intervall av IP-adresser (10.1.1.0 till och med 10.1.1.255 i detta exempel).
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
  Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Felmeddelanden, status och statistik

  • Status "unpatched" anger att den värddator som sökts igenom är en Windows-värddator som saknar säkerhetskorrigering 823980 (MS03-026) och 824146 (MS03-039). För att datorn ska skyddas måste säkerhetskorrigering 824146 (MS03-039) installeras.
  • Status "patched with KB823980" innebär att säkerhetskorrigering 823980 (MS03-026) är installerad på värddatorn. Säkerhetskorrigering 824146 (MS03-039) är inte installerad på datorn. För att datorn ska skyddas måste säkerhetskorrigering 824146 (MS03-039) installeras.
  • Status "patched with KB824146 and KB823980" innebär att säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039) är installerade på värddatorn.
  • Felmeddelandet "host unreachable" anger att det inte finns någon värd på den angivna IP-adressen (Internet Protocol). Routrar som är svarta hål, eller brandväggar som tappar paket, till exempel Brandvägg för Internetanslutning, returnerar också felmeddelandet "host unreachable".
  • Status "DCOM is disabled on this host" innebär att DCOM har inaktiverats på målvärddatorn. DCOM kan ha inaktiverats som skydd mot de säkerhetsproblem som åtgärdas genom säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039). Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825750 Inaktivera DCOM-stöd i Windows
  • Felmeddelandet "address is not valid in this context" (adressen är inte giltig i den här kontexten) eller "connection failure" (anslutningsfel) anger att det har uppstått problem vid anslutning till fjärrdatorn. För att fastställa om korrigeringsfilerna har installerats på måldatorerna måste du inspektera dem manuellt.
  • Felmeddelandet "connection refused" (anslutning nekad) anger att ingen tjänst lyssnar på TCP-port 135 eller att TCP-port 135 filtreras (av Windows TCP/IP-stacken, en brandvägg eller en router). För att fastställa om korrigeringsfilerna har installerats på måldatorerna måste du inspektera dem manuellt.
  • Felmeddelandet "this host needs further investigation" (värden behöver genomsökas ytterligare) anger att det har uppstått ett problem vid genomsökning av fjärrvärddatorn. För att fastställa om korrigeringsfilerna har installerats på måldatorerna måste du inspektera dem manuellt.
  • Felmeddelandet "connection failure, error 67 (0x00000043)" anger att nätverksnamnet inte kan hittas. För att fastställa orsaken till liknande felmeddelanden skriver du följande i Kommandotolken, därnn är decimaltalet för felet:
    net helpmsg nn
  • Siffran vid "Patched with KB824146 and KB823980" anger det antal måldatorer som har markerats med statusmeddelandet "patched with KB824146 and KB823980".
  • Siffran vid "Patched with KB823980" anger det antal måldatorer som har markerats med statusmeddelandet "patched with KB823980".
  • Siffran vid "Unpatched" anger det antal måldatorer som har markerats med statusmeddelandet "unpatched".
  • Siffran vid "TOTAL HOSTS SCANNED" är summan av "Patched with KB824146 and KB823980","Patched with KB823980" och "Unpatched".
  • Siffran vid "DCOM Disabled" anger det antal måldatorer som har markerats med statusmeddelandet "DCOM is disabled on this host".
  • Siffran vid "Needs Investigation" anger det antal måldatorer som har markerats med statusmeddelandet "this host needs further investigation".
  • Siffran vid "Connection refused" anger det antal måldatorer som har markerats med statusmeddelandet "connection refused".
  • Siffran vid "Host unreachable" anger det antal måldatorer som har markerats med statusmeddelandet "host unreachable".
  • Siffran vid "Other Errors" anger det antal måldatorer som har markerats med andra felmeddelanden än de som ingår i denna lista.
  • Siffran vid "TOTAL HOSTS SKIPPED" är summan av "DCOM Disabled", "Needs Investigation", "Connection refused", "Host unreachable" och "Other Errors".
  • Siffran vid "TOTAL ADDRESSES SCANNED" är summan av "TOTAL HOSTS SCANNED" och "TOTAL HOSTS SKIPPED".

Loggfiler som skapas av KB824146Scan.exe

Obs! Dessa loggfiler skapas i den aktuella arbetsmappen (det vill säga den mapp där KB824146Scan.exe körs). Som standard är detta undermappen KB824146scan i mappen Program eller undermappen KB824146scan i mappen Program Files (X86) för 64-bitarsversioner av Windows XP eller Windows Server 2003.
  • KB824146Scan_ÅÅMMDD[a-z][a-z].log: Denna loggfil innehåller information av liknande slag som i "Exempel på utdata" ovan.
  • Vulnerable_ÅÅMMDD[a-z][a-z].log: Denna loggfil innehåller en lista över IP-adresser till datorer i nätverket som saknar säkerhetskorrigering 824146 (MS03-039). Du kan använda filen Vulnerable_ÅÅMMDD[a-z][a-z] utan ändringar som indatafil (Ipfile.txt) för skriptet Patchinstall.vbs som beskrivs i artikel 827227 i Microsoft Knowledge Base. Om du kör KB824146Scan.exe mer än en gång om dagen för att utföra en sökning läggs bokstäverna [a-z][a-z] till efter filnamnet Vulnerable_ÅÅMMDD[a-z][a-z] efter datumet. Om du till exempel kör KB824146Scan.exe fem gånger den 21 augusti 2003 skapas följande loggfiler i denna ordning:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    För det exempel som beskrivs i "Exempel på utdata" i denna artikel innehåller loggfilen Vulnerable_ÅÅMMDD[a-z][a-z].log följande poster:
    10.1.1.2
    10.1.1.8

Kända problem

  • Om fjärråtkomst eller fildelning har aktiverats kan följande Windows-versioner felaktigt rapporteras som sårbara:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98, andra utgåvan
    • Microsoft Windows Millennium Edition
  • Den ursprungliga versionen av verktyget KB824146scan.exe (1.00.0249 ) kan inte användas för att fastställa om säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039) har installerats på en dator med Windows NT 4.0 och värdet 1 för RestrictAnonymous i följande registernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    I detta fall rapporteras följande felstatus för måldatorn: ?cannot get workstation info: error 997 (0x000003E5).? Fastställ med hjälp av version 1.00.0257 av KB824146scan.exe om korrigeringen har installerats på dessa datorer, eller undersök manuellt alla datorer med Windows NT 4.0 där värdet RestrictAnonymous har aktiverats.
  • DBCS-teckenuppsättningar kan inte användas i sökvägen för indatafilen, utdatafilen, loggfilen eller värddatorn när KB824146scan.exe används.

Egenskaper

Artikel-id: 827363 - Senaste granskning: den 11 juli 2005 - Revision: 4.3
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Nyckelord: 
kbfirewall KB827363

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com