如何使用 KB 824146 掃描工具,找出沒有安裝 823980 (MS03-026) 和 824146 (MS03-039) 安全性補充程式的主機電腦

文章翻譯 文章翻譯
文章編號: 827363 - 檢視此文章適用的產品。
注意 2003 年 10 月 7 日,Microsoft 發行了 KB 824146 掃描工具 (KB824146scan.exe) 的更新版本 (1.00.0257),此工具結合數種以客戶意見反應為基礎的功能要求。1.00.0257 中的主要變更包括:
  • 掃描在登錄中開啟 RestrictAnonymous 值的 Microsoft Windows NT 4.0 電腦的能力
  • 改善的輸出類別,有助於確認掃描電腦的安全性補充程式層級
  • 掃描電腦的 NetBIOS 名稱輸出
全部展開 | 全部摺疊

在此頁中

結論

Microsoft 所發行的 KB 824146 掃描工具,可供網路系統管理員用來找出其網路上未安裝 823980 (MS03-026) 及 824146 (MS03-039) 安全性補充程式的主機電腦。此工具將取代 KB 823980 掃描工具 (KB823980scan.exe)。

注意 如果您使用 KB823980scan.exe 工具掃描已安裝 824146 安全性補充程式的電腦,此工具將報告不正確的資訊:電腦遺失 823980 安全性補充程式 (MS03-026)。Microsoft 建議客戶執行 KB824146scan.exe 工具,以判斷其網路上的主機電腦是否已安裝 823980 (MS03-026) 及 824146 (MS03-039) 安全性補充程式。 如需有關 824146 安全性補充程式 (MS03-039) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146 MS03-039:RPCSS 緩衝區滿溢可能會使攻擊者執行惡意的程式
如需有關 823980 安全性補充程式 (MS03-026) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
823980 MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行
如需有關新的蠕蟲病毒嘗試利用在 823980 安全性補充程式 (MS03-026) 中獲得修正的 DCOM RPC 弱點的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
826955 關於 Blaster 蠕蟲及變種的病毒警告
如需有關網路系統管理員如何使用 Windows Management Instrumentation 指令碼,在其 Microsoft Windows NT、Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域中未執行補充程式的電腦上安裝 823980 安全性補充程式 (MS03-026) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827227 如何在遠端主機電腦上,使用 Visual Basic 指令碼安裝 824146 (MS03-039) 或 823980 (MS03-026) 安全性補充程式

其他相關資訊

KB824146scan.exe 工具可掃描遠端電腦,協助網路系統管理員找出哪一部 Windows 電腦未安裝 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式。掃描不需要驗證 (也就是,您不需在遠端電腦上提供有效的認證)。 KB824146scan.exe 工具不會影響所掃描的目標作業系統的穩定性。

您可以從執行 Windows Server 2003、Windows XP 或 Windows 2000 的電腦中使用 KB824146scan.exe 工具,以掃描您網路上的 Windows Server 2003、Windows XP、Windows 2000、或 Windows NT 4.0 電腦。

下載及安裝資訊

如果要下載 KB824146scan.exe 工具,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=13ae421b-7bab-41a2-843b-fad838fe472e
下載 Dcom-kb827363-x86-enu.exe 安裝套件。如果要安裝 KB824146scan.exe 工具,請按兩下您下載的 Dcom-kb827363-x86-enu.exe 安裝套件。此工具是一種命令列公用程式,安裝於 Program Files 資料夾的 KB824146scan 子資料夾中,或安裝於 64 位元版本 Windows XP 或 Windows Server 2003 中 Program Files (X86) 資料夾的 KB824146scan 子資料夾中。

使用資訊

如果要執行 KB824146scan.exe 工具,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]
  2. [開啟] 方塊中,輸入 cmd,然後按一下 [確定]
  3. 在命令提示字元中輸入 cd %programfiles%\kb824146scan,再按 ENTER 鍵。
  4. 輸入 kb824146scan switches.
如需有關 KB824146scan.exe 工具可使用的參數詳細資訊,請輸入 KB824146scan.exe /?。會顯示下列資訊:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

KB824146Scan.exe 的用途是稽核網路上 Windows 系統中
KB824146 與 KB823980patch 的相容性。KB824146Scan.exe 使
系統管理員可以快速掃描企業網路,以找出未執行補充程式的系統。

使用方式:KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
                        [/o:out_file] [/r] [/t:timeout] [/v] target ...

目標可以使用下列任何形式:

a.b.c.d - IP 位址
a.b.c.d-i.j.k.l     - IP 位址範圍
a.b.c.d/mask        - 使用 CIDR 遮罩的 IP 位址
host                - 不合格的主機名稱
    host.domain.com     - 完整格式的網域名稱
localhost           - 檢查本機電腦

目標可在命令列及使用者指定的輸入檔中指定。
輸入檔的格式是每行一個目標。

如果在命令列指定 /l
參數,KB824146Scan.exe 會在目前的目錄中維持一個記錄檔  (否則,輸出只會傳送到
畫面中)。記錄檔的格式將是 KB824146Scan_YYMMDD[a-z][a-z].log,
其中,YY 是兩位數的年份,MM 是兩位數的月份,而 DD 是兩
位數的日期。[a-z][a-z] 將附加到記錄檔名稱,因為
同一天中也將會完成其它的掃描。請注意,記錄輸出將只
包含必要的資訊。如果要擷取完整資訊,請指定
/v 參數以獲得詳細資訊記錄。

KB824146Scan.exe 將在目前的工作目錄建立有弱點的系統 (未執行補充程式的系統與
安裝 KB823980 的系統) 的清單。記錄
檔的格式將是 Vulnerable_YYMMDD[a-z][a-z].log,其中 YY 是
兩位數的年份,MM 是兩位數的月份,而 DD 是兩位數的日期。
[a-z][a-z] 將附加到記錄檔名稱,因為
同一天中也將會完成其它的掃描。您可以使用 /o 參數變更其名稱。

如果在命令列指定 /r 參數,KB824146Scan.exe 會將 IP 位址
解析為 DNS 名稱。如果您的 DNS
伺服器回應速度緩慢,這可能會使效能大打折扣。

如果在命令列指定 /n 參數,KB824146Scan.exe 會將 IP 位址
解析為 NetBIOS 名稱。如果遠端 NetBIOS 連線回應速度緩慢,
這可能會使效能大打折扣。

KB824146Scan.exe 預設的逾時為 5 秒,應該適用於
大多數網路。如果您的網路速度緩慢或啟用 IPSec,您
可以將逾時增加到 10 秒以上。請使用 /t 指定
逾時的秒數。

範例輸出

下列是當您使用 KB824146Scan.exe 來掃描某個範圍的 IP 位址 (在此範例中是 10.1.1.0 到 10.1.1.255) 時所顯示的命令列輸出範例。
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

錯誤訊息、狀態及統計

  • 「未執行補充程式」(unpatched) 狀態表示,您掃描的主機是 Windows 主機,但該主機未安裝 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式。為保護此電腦,您必須安裝 824146 (MS03-039) 安全性補充程式。
  • 「已執行 KB823980 補充程式」(patched with KB823980) 狀態表示已掃描主機,且該主機已安裝 823980 (MS03-026) 安全性補充程式。電腦未安裝 824146 (MS03-039) 安全性補充程式。 為保護此電腦,您必須安裝 824146 (MS03-039) 安全性補充程式。
  • 「已執行 KB824146 與 KB823980 補充程式」(patched with KB824146 and KB823980) 狀態表示已掃描主機,且該主機已安裝 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式。
  • host unreachable (無法連線到主機) 錯誤訊息表示,指定的網際網路通訊協定 (IP) 位址沒有任何主機存在。此外,黑洞路由器或、捨棄封包的防火牆 (例如「網際網路連線防火牆」(ICF)) 也會傳回「無法連線到主機」錯誤訊息。
  • 「此主機停用 DCOM」(DCOM is disabled on this host) 狀態表示目標主機電腦上停用 DCOM。DCOM 可能已經停用,以保護免受 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式所解決弱點的侵害。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    825750 如何在 Windows 中停用 DCOM 支援
  • address is not valid in this context (此內容中的位址無效) 或 connection failure (連線失敗) 錯誤訊息表示,連線到遠端電腦時發生問題。 如果要判斷目標電腦是否已執行補充程式,您必須手動檢查。
  • connection refused (拒絕連結) 錯誤訊息表示,TCP 連接埠 135 上沒有監聽中的服務,或正在篩選 TCP 連接埠 135 (可能是由 Windows TCP/IP 堆疊、防火牆或路由器所執行)。 如果要判斷目標電腦是否已執行補充程式,您必須手動檢查。
  • this host needs further investigation (此主機需要進一步檢查) 錯誤訊息表示,掃描遠端主機時發生問題。如果要判斷目標電腦是否已執行補充程式,您必須手動檢查。
  • connection failure, error 67 (0x00000043) (連線失敗,錯誤 (0x00000043)) 錯誤訊息表示,找不到網路名稱。如果要判斷類似錯誤訊息的原因,請在命令提示字元中輸入下列內容,其中 nn 是十進位的錯誤號碼:
    net helpmsg nn
  • 「已執行 KB824146 與 KB823980 補充程式」(Patched with KB824146 and KB823980) 統計是目標電腦的個數,這些電腦都標示著「已執行 KB824146 與 KB823980 補充程式」狀態訊息。
  • 「已執行 KB823980 補充程式」(Patched with KB823980) 統計是目標電腦的個數,這些電腦都標示著「已執行 KB823980 補充程式」狀態訊息。
  • 「未執行補充程式」(Unpatched) 統計是目標電腦的個數,這些電腦都標示著「未執行補充程式」狀態訊息。
  • 「掃描的主機總數」(TOTAL HOSTS SCANNED) 統計是「已執行 KB824146 與 KB823980 補充程式」、「已執行 KB823980 補充程式」以及「未執行補充程式」統計的總和。
  • 「停用 DCOM」(DCOM Disabled) 統計是目標電腦的個數,這些電腦都標示著「此主機停用 DCOM」狀態訊息。
  • 「需要檢查」(Needs Investigation) 統計是目標電腦的個數,這些電腦都標示著「此主機需要進一步檢查」狀態訊息。
  • 「拒絕連結」(Connection refused) 統計是目標電腦的個數,這些電腦都標示著「拒絕連結」狀態訊息。
  • 「無法連線到主機」(Host unreachable) 統計是目標電腦的個數,這些電腦都標示著「無法連線到主機」狀態訊息。
  • 「其他錯誤」(Other Errors) 統計是是目標電腦的個數,這些電腦標示著此清單中未包含的任何其他錯誤訊息。
  • 「略過的主機總數」(TOTAL HOSTS SKIPPED) 統計值是「停用 DCOM」、「需要檢查」、「拒絕連結」、「無法連線到主機」以及「其他錯誤」等統計的總和。
  • 「掃描的位址總數」(TOTAL ADDRESSES SCANNED) 統計是「掃描的主機總數」與「略過的主機總數」的總和。

KB824146Scan.exe 工具建立的記錄檔

注意 這些記錄檔建立在目前的工作資料夾中 (也就是您執行 KB824146Scan.exe 的資料夾)。根據預設,這是 64 位元版本 Windows XP 或 Windows Server 2003 的 Program Files 資料夾的 KB824146scan 子資料夾,或 Program Files (X86) 資料夾的 KB824146scan 子資料夾。
  • KB824146Scan_YYMMDD[a-z][a-z].log: 此記錄檔包含的資訊和本文<範例輸出>一節中的資訊類似。
  • Vulnerable_YYMMDD[a-z][a-z].log: 此記錄檔包含您網路上未安裝 824146 (MS03-039) 安全性補充程式的電腦的 IP 位址清單。您可以使用未經修改的 Vulnerable_YYMMDD[a-z][a-z] 檔案做為輸入檔 (Ipfile.txt),以當作「Microsoft 知識庫」文件 827227 中說明的 Patchinstall.vbs 指令碼。如果您一天執行超過一次的 KB824146Scan.exe 以執行掃描,字母 [a-z][a-z] 會新增到 Vulnerable_YYMMDD[a-z][a-z] 檔案名稱中的日期之後。例如,如果您在 2003 年 8 月 21 日執行 KB824146Scan.exe 5 次,會依序建立下列記錄檔:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    至於本文<範例輸出>一節中所說明的範例輸出,Vulnerable_YYMMDD[a-z][a-z].log 記錄檔會包含下列項目:
    10.1.1.2
    10.1.1.8

已知問題

  • 如果啟用遠端存取或檔案共用,KB824146scan.exe 工具可能會報告不正確的資訊,說明下列版本的 Windows 容易遭受攻擊:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • KB824146scan.exe 工具的原始版本 (1.00.0249 ) 無法判斷 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式,是否已安裝在已將下列登錄機碼中的 RestrictAnonymous 值設為 1 的 Windows NT 4.0 電腦中:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    在此狀況下,KB824146scan.exe 工具會針對目標電腦報告下列錯誤狀態:cannot get workstation info: error 997 (0x000003E5). (無法取得工作站資訊:錯誤997 (0x000003E5)) 如果要判斷這些電腦是否已執行補充程式,請使用 1.00.0257 版本的 KB824146scan.exe,或手動檢查所有已開啟 RestrictAnonymous 值的 Windows NT 4.0 電腦。
  • 當您使用 KB824146scan.exe 工具時,不能在輸入檔、輸出檔、記錄檔或主機電腦的路徑中使用雙位元組字元集 (DBCS) 字元。

屬性

文章編號: 827363 - 上次校閱: 2005年7月11日 - 版次: 4.3
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
關鍵字:?
kbfirewall KB827363
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com