Verwendung der KB824146SCAN Scan Tools Hostcomputern, die nicht 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert sind

Hinweis Am 7. Oktober 2003 hat Microsoft eine aktualisierte Version (1.00.0257) des KB824146scan Scan-Tool (KB824146scan.exe), das integriert, die auf Kundenfeedback. Die folgenden: Änderungen in Version 1.00.0257
  • Die Möglichkeit, Microsoft Windows NT 4.0-Computer überprüfen, den Wert RestrictAnonymous in der Registrierung aktiviert
  • Verbesserte, die die Ebene des Sicherheitspatch der durchsuchten Computer geklärt
  • NetBIOS-name Ausgabe für überprüfte Computer

Zusammenfassung

Das Tool KB824146scan.exe Scannen remote Computer Netzwerk Administratoren zu unterstützen die Windows-basierte Computer nicht 823980 (MS03-026) und 824146 (MS03-039)-Sicherheitspatches, installiert. Dieser Scan erfordert keine Authentifizierung (d. h. Sie keinen gültigen Anmeldeinformationen auf dem Remotecomputer). KB824146scan.exe Tool wirkt sich nicht auf die Stabilität des Ziels aus, die gescannt wird.

Sie können KB824146scan.exe Tool auf einem Computer, auf dem Windows Server 2003, Windows XP oder Windows 2000 ausgeführt wird. Scannen von Windows Server 2003-basierten Windows XP-, Windows 2000- oder Windows NT 4.0-Computern können in Ihrem Netzwerk.
Microsoft hat KB 824146 Scan-Tool (KB824146scan.exe), mit dem Netzwerkadministratoren Hostcomputer auf ihren Netzwerken identifizieren, die nicht 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert. Dieses Tool ersetzt das Scanprogramm KB 823980 (KB823980scan.exe).

Hinweis Verwenden Sie das Tool KB823980scan.exe zum Überprüfen eines Computers, das Sicherheitspatch 824146 installiert ist, wird das Tool fälschlicherweise, dass der Computer den Sicherheitspatch 823980 (MS03-026) fehlt. Microsoft empfiehlt dringend, die KB824146scan.exe ausführen, um festzustellen, ob die Hostcomputer auf ihren Netzwerken 823980 (MS03-026) und 824146 (MS03-039)-Sicherheitspatches, installiert haben. Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

824146 MS03-039: Puffer Pufferüberlauf in RPCSS kann Ausführung von böswilligem ermöglichen

Weitere Informationen zum Sicherheitspatch 823980 (MS03-026) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

823980 MS03-026: Pufferüberlauf in RPC-Schnittstelle kann Ausführung von Code ermöglichen

Zusatzinformationen zu einem neuen Wurmvirus, das versucht, die DCOM RPC-Schwachstelle, die durch den Sicherheitspatch 823980 (MS03-026) behoben wird, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

826955 Warnung Blaster-Wurmvirus und seine Varianten

Weitere Informationen über die Verwendung Netzwerkadministratoren WMI scripting 823980 installieren Sicherheitspatch (MS03-026) auf nicht gepatchte Computer in ihre Microsoft Windows NT, Microsoft Windows 2000 oder Microsoft Windows Server 2003-Domäne auf die folgenden Artikelnummer der Microsoft Knowledge Base:

Informationen zu Download und Installation

Zum Downloaden des Tools KB824146scan.exe finden Sie auf der folgenden Microsoft-Website:Dcom-kb827363-X86-enu.exe Installationspaket herunterladen Doppelklicken Sie zum Installieren des Programms KB824146scan.exe Dcom-kb827363-X86-enu.exe Installationspaket, das Sie heruntergeladen haben. Das Tool ist ein Befehlszeilenprogramm, das im Unterordner "KB824146scan" Ordner oder Unterordner "KB824146scan" des (X86) Ordner für 64-Bit-Versionen von Windows XP oder Windows Server 2003 installiert ist.

Informationen zur Verwendung

Führen Sie das Tool KB824146scan.exe folgendermaßen Sie vor:
  1. Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
  2. Geben Sie im Feld Öffnen cmd ein , und klicken Sie dann auf OK.
  3. Geben Sie in der Befehlszeile cd %programfiles%\kb824146scanund drücken Sie dann die EINGABETASTE.
  4. Geben Sie kb824146scan Switches.
Geben Sie Informationen zu den verfügbaren Befehlszeilenoptionen KB824146scan.exe Tool mit KB824146scan.exe /?. Die folgenden Informationen angezeigt:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
[/o:out_file] [/r] [/t:timeout] [/v] target ...

Targets can take any of the following forms:

a.b.c.d - IP address
a.b.c.d-i.j.k.l - IP address range
a.b.c.d/mask - IP address with CIDR mask
host - unqualified hostname
host.domain.com - fully-qualified domain name
localhost - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. The
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
for most networks. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.

Ausgabe

Folgendes ist ein Beispiel für die Befehlszeilenausgabe die KB824146Scan.exe angezeigt, wenn Sie es verwenden, um ein Bereich von IP-Adressen (10.1.1.0 bis 10.1.1.255 in diesem Beispiel).
C:\>kb824146scan 10.1.1.1/24
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Fehlermeldungen, Status und Statistik

  • Der Status "unpatched" gibt an, dass Host, der durchsucht einen Windows-Server ist jedoch der Host nicht 823980 (MS03-026) und 824146 (MS03-039)-Sicherheitspatches, installiert haben. Um diesen Computer zu schützen, müssen Sie den Sicherheitspatch 824146 (MS03-039) installieren.
  • Der Status "patched with KB823980" zeigt an, dass der Host durchsucht wurde und dieser Host den Sicherheitspatch der 823980 (MS03-026) installiert. Der Computer hat nicht die 824146 (MS03-039) Sicherheitspatch installiert. Um diesen Computer zu schützen, müssen Sie den Sicherheitspatch 824146 (MS03-039) installieren.
  • Der Status "patched with KB824146 and KB823980" zeigt an, dass der Host durchsucht wurde und der Host 823980 (MS03-026) und 824146 (MS03-039)-Sicherheitspatches, installiert.
  • Eine Fehlermeldung "Host unreachable" zeigt an, dass kein Host an der angegebenen Adresse (IP = Internet Protocol) vorhanden ist. Black Hole-Router oder Firewalls, die Pakete, wie Internet Connection Firewall (ICF) zurückgeben darüber hinaus auch die Fehlermeldung "host unreachable".
  • Status "DCOM disabled on this Host" zeigt an, dass DCOM auf dem Ziel-Host-Computer deaktiviert wurde. DCOM kann deaktiviert worden sein, um die Sicherheitslücken zu schützen, die durch die 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches richten. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    825750 zum Deaktivieren von DCOM-Unterstützung in Windows

  • Ein "Adresse ist in diesem Kontext ungültig" oder eine Fehlermeldung "Connection Failure" zeigt an, gab es ein Problem mit dem Remotecomputer verbinden. Um festzustellen, ob der Zielcomputer Patches installiert wurden, müssen Sie manuell überprüfen.
  • Eine Fehlermeldung "Connection refused" zeigt an, dass kein Dienst an TCP-Port 135 wartet, oder dass TCP-Port 135 gefiltert wird (durch den Windows-DLL oder durch eine Firewall oder einen Router). Um festzustellen, ob der Zielcomputer Patches installiert wurden, müssen Sie manuell überprüfen.
  • Eine Fehlermeldung "this Host needs Untersuchung" zeigt an, dass Probleme beim Durchsuchen des Remotehosts aufgetreten. Um festzustellen, ob der Zielcomputer Patches installiert wurden, müssen Sie manuell überprüfen.
  • Eine Fehlermeldung "Connection Failure, Error 67 (0 x 00000043)" zeigt an, dass der Netzwerkname nicht gefunden werden kann. Ermitteln Sie die Ursache der Fehlermeldungen Geben Sie Folgendes an der Befehlszeile, wobei Nn decimal Fehlernummer ist:
    Net Helpmsg nn
  • Die Statistik "Patches mit KB824146 und KB823980" ist die Anzahl der Zielcomputer mit dem Statuscode "gepatcht with KB824146 and KB823980." markiert wurden
  • Die Statistik "Gepatcht KB823980" ist die Anzahl der Zielcomputer mit dem Statuscode "mit KB823980 gepatcht" gekennzeichnet wurden
  • Die Statistik "Unpatched" ist die Anzahl der Zielcomputer mit dem Statuscode "GEFÄHRDED" gekennzeichnet wurden
  • Die Statistik "TOTAL HOSTS überprüft" ist die "Patch mit KB824146 und KB823980," der "Patches mit KB823980" und "Unpatched" Statistiken.
  • Die Statistik "DCOM deaktiviert" ist die Anzahl der Zielcomputer, die markiert wurden, mit den Status Nachricht "DCOM is disabled auf diesem Host."
  • Die Statistik "Needs Investigation" ist die Anzahl der Zielcomputer mit dem Statuscode gekennzeichnet wurden "dieser Host weitere Untersuchung erforderlich."
  • Die Statistik "Verbindung abgelehnt" ist die Anzahl der Zielcomputer, die markiert wurden, mit "der Status Nachricht abgelehnt Verbindung."
  • Die Statistik "Host unreachable" ist die Anzahl der Zielcomputer mit dem Statuscode "Host nicht erreichbar." markiert wurden
  • Die Statistik "Other Errors" ist die Anzahl der Zielcomputer, die mit sonstigen Fehlermeldungen gekennzeichnet wurden, die nicht in dieser Liste enthalten ist.
  • Die Statistik "TOTAL HOSTS übersprungen" ist die "DCOM deaktiviert" der "Needs Investigation," der "Connection refused," der "Host unreachable" und "Other Errors" Statistiken.
  • Statistik "TOTAL Adressen überprüft" ist die Summe der "TOTAL HOSTS überprüft" und "TOTAL HOSTS übersprungen" Statistik.

KB824146Scan.exe Tool erstellte Protokolldateien

Hinweis Diese Protokolldateien werden im aktuellen Arbeitsordner (d. h. den Ordner KB824146Scan.exe Ausführungsort) erstellt. Standardmäßig ist diese Unterordner "KB824146scan" des Ordner oder Unterordner "KB824146scan" des (X86) Ordner für 64-Bit-Versionen von Windows XP oder Windows Server 2003.
  • KB824146Scan_JJMMTT [a-Z] [a-Z].log: Diese Datei enthält Informationen, wie die Informationen im Abschnitt "Beispielausgabe" in diesem Artikel.
  • Vulnerable_JJMMTT [a-Z] [a-Z].log: Diese Datei enthält eine Liste der IP-Adressen für Computer in Ihrem Netzwerk, die nicht den Sicherheitspatch der 824146 (MS03-039) installiert. Die Datei "Vulnerable_JJMMTT [a-Z] [a-Z] " unverändert als Eingabedatei (Ipfile.txt) können für das Skript "Patchinstall.vbs", die im Microsoft Knowledge Base-Artikel 827227 verwendet beschrieben. KB824146Scan.exe ausgeführt werden mehrmals täglich auszuführenden Scan Buchstaben [a-Z] [a-Z] nach dem Datum Vulnerable_JJMMTT [a-Z] [a-Z] Dateinamen hinzugefügt. Wenn Sie KB824146Scan.exe am 21. August 2003 fünf Mal ausführen, werden die folgenden Protokolldateien in dieser Reihenfolge erstellt:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    Für die Beispielausgabe, die im Abschnitt "Beispielausgabe" in diesem Artikel beschrieben wird, würde die Protokolldatei Vulnerable_JJMMTT [a-Z] [a-Z].log folgende Einträge enthalten:
    10.1.1.2
    10.1.1.8

Bekannte Probleme

  • Wenn Remotezugriff oder Dateifreigabe aktiviert ist, kann KB824146scan.exe Tool fälschlicherweise, dass die folgenden Versionen von Windows sind:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • Die ursprüngliche Version des Dienstprogramms KB824146scan.exe (1.00.0249) kann nicht feststellen, ob 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches auf einem Windows NT 4.0-Computer installiert werden, der Wert RestrictAnonymous in folgendem Registrierungsschlüssel auf 1 gesetzt ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    In diesem Fall meldet das Tool KB824146scan.exe folgenden Fehlerstatus für den Zielcomputer: "Workstation-Info kann nicht abgerufen werden: Fehler 997 (0x000003E5)." Bestimmen, ob diese Computer gepatcht wurde, verwenden Sie die Version 1.00.0257 von KB824146scan.exe oder Überprüfen Sie manuell alle Windows NT 4.0-basierten Computer, die Wert RestrictAnonymous aktiviert haben.
  • Sie können keine Doppelbyte-Zeichensatz (DBCS) Zeichen im Pfad für die Eingabedatei, die Ausgabedatei, die Protokolldatei oder dem Host-Computer verwenden, wenn KB824146scan.exe Tool verwenden.
Eigenschaften

Artikelnummer: 827363 – Letzte Überarbeitung: 16.01.2017 – Revision: 2

Feedback