Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Verwendung des Scan-Tools "KB824146Scan" zur Identifikation von Hostcomputern, auf denen die Sicherheitspatches 823980 (MS03-026)und 824146 (MS03-039) nicht installiert sind

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
827363 How to Use the KB 824146 Scanning Tool to Identify Host Computers That Do Not Have the 823980 (MS03-026) and the 824146 (MS03-039) Security Patches Installed
Hinweis: Am 7. Oktober 2003 hat Microsoft eine aktualisierte Version (1.00.0257) des Scan-Tools KB 824146 (KB824146scan.exe) zur Verfügung gestellt, in die zahlreiche Funktionen entsprechend den Wünschen der Kunden integriert wurden. Folgende hauptsächliche Änderungen wurden in Version 1.00.0257 vorgenommen:
  • Die Möglichkeit, Microsoft Windows NT 4.0-Computer zu durchsuchen, auf denen der Wert RestrictAnonymous in der Registrierung aktiviert ist
  • Verbesserte Ausgabekategorien, die helfen, die Ebene des Sicherheitspatches der durchsuchten Computer zu definieren
  • NetBIOS-Namenausgabe für überprüfte Computer
Zusammenfassung
Microsoft hat das Scan-Tool "KB 823980" (KB823980scan.exe) zur Verfügung gestellt. Dieses Programm können Netzwerkadministratoren dazu nutzen, in ihrem Netzwerk Hostcomputer zu identifizieren, auf denen die Sicherheitspatches 823980 (MS02-026) und 824146 (MS03-039) nicht installiert sind. Dieses Tool ersetzt das Scan-Tool "KB823980" (KB823980scan.exe).

Hinweis: Wenn Sie das Programm "KB823980scan.exe" zum Durchsuchen eines Computers verwenden, auf dem der Sicherheitspatch 824146 installiert ist, meldet das Programm fälschlich zurück, dass auf dem Computer der Sicherheitspatch 823980 (MS03-026) fehlt. Microsoft empfiehlt, mit dem Programm "KB824146scan.exe" zu ermitteln, ob die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) auf den Hostcomputern in ihrem Netzwerk installiert sind. Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
824146 MS03-039: Pufferüberlauf in RPCSS kann Ausführung von böswilligem Programmcode ermöglichen
Weitere Informationen zum Sicherheitspatch 823980 (MS03-026) finden Sie in folgendem Artikel der Microsoft Knowledge Base:
823980 MS03-026: Pufferüberlauf in RPC kann Ausführung von Code ermöglichen
Informationen zu einem neuen Wurmvirus, das versucht, die DCOM-RPC-Anfälligkeit auszunutzen, die durch den Sicherheitspatch 823980 (MS03-026) behoben wird, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
826955 Viruswarnung zum Blaster-Wurmvirus und dessen Varianten
Weitere Informationen dazu, wie Netzwerkadministratoren per WMI-Skripting (WMI = Windows Management Instrumentation; Windows-Verwaltungsinstrumentation) den Sicherheitspatch 823980 in ihrer Microsoft Windows NT-, Microsoft Windows 2000- oder Microsoft Windows Server 2003-Domäne auf Computern installieren können, die diesen Patch nicht haben, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
827227 Verwenden eines Visual Basic Skripts zum Installieren des Sicherheitspatch 824146 (MS03-039) oder 823980 (MS03-026) auf Remote-Hostcomputern
Weitere Informationen
Mit dem Programm "KB824146scan.exe" können Netzwerkadministratoren Remotecomputer durchsuchen, um Windows-Computer zu ermitteln, auf denen die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) nicht installiert sind. Dieser Scan erfordert keine Authentifizierung (d. h. Sie benötigen keine gültigen Anmeldeinformationen für den Remotecomputer). Die Verwendung des Programms "KB824146scan.exe" beeinträchtigt die Stabilität des durchsuchten Zielbetriebssystems nicht.

Dieses Programm können Sie von einem Computer mit Windows Server 2003, Windows XP oder Windows 2000 aus verwenden. Sie können damit Windows Server 2003-, Windows XP-, Windows 2000- oder Windows NT 4.0-Computer durchsuchen.

Informationen zu Download und Installation

Das Programm "KB824146scan.exe" steht auf folgender Microsoft-Website zum Download zur Verfügung:Laden Sie das Installationspaket "Dcom-kb827363-x86-deu.exe" herunter. Doppelklicken Sie auf das heruntergeladene Installationspaket "Dcom-kb827363-x86-deu.exe", um das Programm "KB824146scan.exe" zu installieren. Es handelt sich um ein Befehlszeilenprogramm, das im Unterordner "KB824146scan" des Ordners "Programme" oder (bei 64-Bit-Versionen von Windows XP oder Windows Server 2003) des Ordners "Programme (X86)" installiert wird.

Verwendung

Gehen Sie folgendermaßen vor, um das Programm "KB824146scan.exe" auszuführen:
  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie in das Feld Öffnen cmd ein. Klicken Sie anschließend auf OK.
  3. Geben Sie an der Eingabeaufforderung cd %programfiles%\kb824146scan ein, und drücken Sie die [EINGABETASTE].
  4. Geben Sie kb824146scan Optionen ein.
Geben Sie KB824146scan.exe /? ein, um Informationen zu den Optionen zu erhalten, die für das Programm zur Verfügung stehen. Die folgenden Informationen werden angezeigt:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86Copyright (c) Microsoft Corporation 2003. All rights reserved.The purpose of KB824146Scan.exe is to audit Windows systems over the networkfor KB824146 and KB823980patch compliance. KB824146Scan.exe allowsadministrators to quickly scan enterprise networks for unpatched systems.Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]                        [/o:out_file] [/r] [/t:timeout] [/v] target ...Targets can take any of the following forms:    a.b.c.d             - IP address    a.b.c.d-i.j.k.l     - IP address range    a.b.c.d/mask        - IP address with CIDR mask    host                - unqualified hostname    host.domain.com     - fully-qualified domain name    localhost           - check local machineTargets can be specified on the command line & in user-specified input files.The format of the input file is one target per line.KB824146Scan.exe maintains a log file in the current directory if the /lswitch is specified on the command line. (Otherwise output is only sent to thescreen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,where YY is the two digit year, MM is the two digit month, and DD is the twodigit day. The [a-z][a-z] will be appended to the log file name as additionalscans are completed on the same day. Please note that the log output will onlycontain essential information. To capture full information, please specify the/v switch for verbose logging.KB824146Scan.exe will create a list of vulnerable systems (unpatched as wellas those with KB823980 installed) in the current working directory. The logfiles will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is thetwo digit year, MM is the two digit month, and DD is the two digit day. The[a-z][a-z] will be appended to the log file name as additional scans arecompleted on the same day. Its name can be changed with the /o switch.KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch isgiven on the command line. This may incur a performance penalty if your DNSservers are slow in responding.KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switchis given on the command line. This may incur a performance penalty if theremote NetBIOS connection is slow in responding.KB824146Scan.exe has a default timeout of 5 seconds, which should be finefor most networks. If your network is slow or has IPSec enabled then youmight want to increase the timeout to 10 seconds or more. Use /t to specifythe number of seconds for the timeout.

Beispielausgabe

Das folgende Beispiel zeigt die Daten, die "KB824146Scan.exe" ausgibt, wenn Sie das Programm zum Durchsuchen eines Bereichs von IP-Adressen verwenden (in diesem Beispiel 10.1.1.0 bis 10.1.1.255).
C:\>kb824146scan 10.1.1.1/24Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86  Copyright (c) Microsoft Corporation 2003. All rights reserved.<+> Starting scan (timeout = 5000 ms)Checking 10.1.1.0 - 10.1.1.25510.1.1.1: unpatched10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)10.1.1.3: Patched with only KB823980 (MS03-026)10.1.1.4: host unreachable10.1.1.5: DCOM is disabled on this host10.1.1.6: address not valid in this context10.1.1.7: connection failure: error 51 (0x00000033)10.1.1.8: connection refused10.1.1.9: this host needs further investigation<-> Scan completedStatistics:Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1Patched with only KB823980 (MS03-026) ............................ 1Unpatched ............................. 1TOTAL HOSTS SCANNED ................... 3DCOM Disabled ......................... 1Needs Investigation ................... 1Connection refused .................... 1Host unreachable ...................... 248Other Errors .......................... 2TOTAL HOSTS SKIPPED ................... 253TOTAL ADDRESSES SCANNED ............... 256

Fehlermeldungen, Status und Statistik

  • Der Status "unpatched" zeigt an, dass der Host, der durchsucht wurde, ein Windows-Host ist, auf dem die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) nicht installiert wurden. Sie müssen den Sicherheitspatch 824146 (MS03-039) installieren, um diesen Computer zu schützen.
  • Der Status "patched with KB823980" zeigt an, dass der Host durchsucht wurde und der Sicherheitspatch 823980 (MS03-026) auf diesem Host installiert ist. Auf diesem Computer ist der Sicherheitspatch 824146 (MS03-039) nicht installiert. Sie müssen den Sicherheitspatch 824146 (MS03-039) installieren, um diesen Computer zu schützen.
  • Der Status "patched with KB824146 and KB823980" zeigt an, dass der Host durchsucht wurde und die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) auf diesem Host installiert sind.
  • Eine Meldung "host unreachable" zeigt an, dass unter der angegebenen IP-Adresse (IP = Internet Protocol) kein Host existiert. Auch Black-Hole-Router oder Firewalls, die Pakete verwerfen, wie beispielsweise die Internetverbindungsfirewall, geben eine Fehlermeldung "host unreachable" zurück.
  • Der Status "DCOM is disabled on this host" zeigt an, dass DCOM auf dem Zielhostcomputer deaktiviert wurde. DCOM wurde möglicherweise zum Schutz gegen die Sicherheitsanfälligkeiten deaktiviert, die von den Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) behoben werden. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    825750 Deaktivieren der DCOM-Unterstützung in Windows
  • Eine Fehlermeldung "address is not valid in this context" oder "connection failure" zeigt an, dass beim Versuch, eine Verbindung zum Remotecomputer herzustellen, ein Problem aufgetreten ist. Sie müssen die Zielcomputer manuell darauf überprüfen, ob die Patches installiert wurden.
  • Eine Fehlermeldung "connection refused" zeigt an, dass entweder kein Dienst an TCP-Port 135 wartet, oder dass TCP-Port 135 gefiltert wird (durch den Windows-TCP/IP-Stack, eine Firewall oder einen Router). Sie müssen die Zielcomputer manuell darauf überprüfen, ob die Patches installiert wurden.
  • Eine Fehlermeldung "this host needs further investigation" zeigt an, dass Probleme beim Durchsuchen des Remotehosts aufgetreten sind. Sie müssen die Zielcomputer manuell darauf überprüfen, ob die Patches installiert wurden.
  • Eine Fehlermeldung "connection failure, error 67 (0x00000043)" zeigt an, dass der Netzwerkname nicht gefunden werden kann. Geben Sie an der Eingabeaufforderung Folgendes ein, um die Ursache ähnlicher Fehlermeldungen zu bestimmen. Hierbei steht nn für die dezimale Fehlernummer.
    net helpmsg nn
  • Der Statistikwert "Patched with KB824146 and KB823980" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "patched with KB824146 and KB823980" gekennzeichnet wurden.
  • Der Statistikwert "Patched with KB823980" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "patched with KB823980" gekennzeichnet wurden.
  • Der Statistikwert "Unpatched" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "unpatched" gekennzeichnet wurden.
  • Der Statistikwert "TOTAL HOSTS SCANNED" gibt die Gesamtanzahl der Computer an, die mit der Statusmeldung "Patched with KB824146 and KB823980," the "Patched with KB823980" oder "Unpatched" versehen wurden.
  • Der Statistikwert "DCOM Disabled" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "DCOM is disabled on this host" gekennzeichnet wurden.
  • Der Statistikwert "Needs Investigation" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "this host needs further investigation" gekennzeichnet wurden.
  • Der Statistikwert "Connection refused" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "Connection refused" gekennzeichnet wurden.
  • Der Statistikwert "Host unreachable" gibt die Anzahl der Zielcomputer an, die mit der Statusmeldung "host unreachable" gekennzeichnet wurden.
  • Der Statistikwert "Other Errors" gibt die Anzahl der Zielcomputer an, die mit sonstigen Fehlermeldungen gekennzeichnet wurden, die nicht in dieser Liste enthalten sind.
  • Der Statistikwert "TOTAL HOSTS SKIPPED" gibt die Gesamtanzahl der Computer an, die mit den Meldungen "DCOM Disabled," "Needs Investigation," "Connection refused," "Host unreachable" und "Other Errors" gekennzeichnet wurden.
  • Der Statistikwert "TOTAL ADDRESSES SCANNED" ist die Summe von "TOTAL HOSTS SCANNED" und "TOTAL HOSTS SKIPPED".

Von "KB824146Scan.exe" erstellte Protokolldateien

Hinweis: Diese Protokolldateien werden im aktuellen Arbeitsordner erstellt (d. h. in dem Ordner, aus dem Sie "KB824146Scan.exe") ausführen). Standardmäßig ist das der Unterordner "KB824146scan" des Ordners "Programme" oder (bei 64-Bit-Versionen von Windows XP oder Windows Server 2003) des Ordners "Programme (X86)".
  • KB824146Scan_JJMMTT[a-z][a-z].log: Diese Protokolldatei enthält Informationen, die den Informationen im Abschnitt "Beispielausgabe" in diesem Artikel entsprechen.
  • Vulnerable_JJMMTT[a-z][a-z].log: Diese Protokolldatei enthält eine Liste der IP-Adressen von Computern in Ihrem Netzwerk, auf denen der Sicherheitspatch 824146 (MS03-039) nicht installiert ist. Sie können die Datei "Vulnerable_JJMMTT[a-z][a-z]" unverändert als Eingabedatei (Ipfile.txt) für das Skript "Patchinstall.vbs" verwenden, das im Microsoft Knowledge Base-Artikel 827227 verwendet wird. Wenn Sie öfter als einmal am Tag einen Scan mit "KB824146Scan.exe" ausführen, werden die Buchstaben [a-z][a-z] nach dem Datum zur Datei "Vulnerable_JJMMTT[a-z][a-z]" hinzugefügt. Wenn Sie z. B. "KB824146Scan.exe" am 21. August 2003 fünf Mal ausführen, werden die folgenden Protokolldateien in der angegebenen Reihenfolge erstellt:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    Für die Beispielausgabe im entsprechenden Abschnitt in diesem Artikel würde die Protokolldatei "Vulnerable_JJMMTT[a-z][a-z].log" folgende Einträge enthalten:
    10.1.1.2
    10.1.1.8

Bekannte Probleme

  • Wenn Remotezugriff oder Dateifreigabe aktiviert sind, kann es vorkommen, dass das Programm "KB824146scan.exe" bei folgenden Windows-Versionen fälschlich eine Anfälligkeit zurückmeldet:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • Die Originalversion des Programms KB824146scan.exe (1.00.0249) kann nicht feststellen, ob die Sicherheitspatches 823980 (MS03-026) und 824146 (MS03-039) installiert sind, wenn es einen Windows NT 4.0-Computer durchsucht, auf dem der Wert RestrictAnonymous in folgendem Registrierungsschlüssel auf 1 gesetzt ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    In diesem Fall meldet das Programm KB824146scan.exe folgenden Fehlerstatus für den Zielcomputer zurück: “cannot get workstation info: error 997 (0x000003E5).” Verwenden Sie die Version 1.00.0257 von KB824146scan.exe oder überprüfen Sie manuell sämtliche Windows NT 4.0-Computer, auf denen der Wert RestrictAnonymous aktiviert ist, um zu bestimmten, ob auf diesen Computern der Patch installiert ist.
  • Bei Verwendung des Programms "KB824146scan.exe" können Sie im Pfad für die Eingabedatei, die Ausgabedatei, die Protokolldatei oder den Hostcomputer keine DBCS-Zeichen verwenden (DBCS = Double-Byte Character Set).
dcomscan ms03-026 rpc dcom patch scanner 1.0 exploit vulnerability patch rpcss
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 827363 – Letzte Überarbeitung: 07/11/2005 05:19:19 – Revision: 4.3

  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • kbfirewall KB827363
Feedback