KB 824146 -skannaustyökalun käyttäminen tunnistamaan isäntätietokoneet, joissa ei ole asennettuna suojauskorjauksia 823980 (MS03-026) ja 824146 (MS03-039)

Huomautus Microsoft julkaisi 7.10.2003 päivitetyn version (1.00.0257) KB 824146 -skannaustyökalusta (KB824146scan.exe). Tässä versiossa on toteutettu eräitä asiakaspalautteeseen perustuvia ominaisuuksia. Version 1.00.0257 tärkeimmät muutokset ovat seuraavat:
 • Kyky tarkistaa Microsoft Windows NT 4.0 -tietokoneita, joiden rekisterissä on käytössä RestrictAnonymous-arvo
 • Parannetut tulosteluokat, joiden avulla on helpompi selvittää tarkistettujen tietokoneiden suojauskorjauksen taso
 • Tarkistettujen tietokoneiden NetBIOS-nimen tuloste

Yhteenveto

KB824146scan.exe-työkalun avulla verkonvalvojat voivat skannata etätietokoneita ja tunnistaa, missä Windows-tietokoneissa ei ole suojauskorjauksia 823980 (MS03-026) ja 824146 (MS03-039) asennettuina. Skannaus ei edellytä todennusta (eli sinun ei tarvitse välittää etätietokoneelle kelvollisia käyttäjätietoja). KB824146scan.exe-työkalun käyttäminen ei vaikuta skannattavan kohdekäyttöjärjestelmän vakauteen.

Voit käyttää KB824146scan.exe-työkalua Windows Server 2003-, Windows XP- tai Windows 2000 -tietokoneesta. Sen avulla voit skannata verkkosi Windows Server 2003-, Windows XP-, Windows 2000- tai Windows NT 4.0 -tietokoneet.
Microsoft on julkaissut KB 824146 -skannaustyökalun (KB824146scan.exe), jonka avulla verkonvalvojat voivat tunnistaa verkkonsa isäntätietokoneita, joissa ei ole asennettuna suojauskorjauksia 823980 (MS03-026) ja 824146 (MS03-039). Tämä työkalu korvaa KB 823980 -skannaustyökalun (KB823980scan.exe).

Huomautus Jos skannaat KB823980scan.exe-työkalulla tietokoneen, jossa on suojauskorjaus 824146 asennettuna, työkalu ilmoittaa virheellisesti, että tietokoneesta puuttuu suojauskorjaus 823980 (MS03-026). Microsoft suosittelee, että asiakkaat suorittavat KB824146scan.exe-työkalun ja määrittävät, onko verkkojen isäntätietokoneissa suojauskorjaukset 823980 (MS03-026) ja 824146 (MS03-039) asennettuina. Saat lisätietoja suojauskorjauksesta 824146 (MS03-039) napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

824146 MS03-039: RPCSS:n puskurin ylivuoto saattaa antaa hyökkääjän suorittaa haitallisiksi suunniteltuja ohjelmia

Saat lisätietoja suojauskorjauksesta 823980 (MS03-026) napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

823980 MS03-026: RPC-käyttöliittymän puskuriylivuoto saattaa sallia koodin suorittamisen

Saat lisätietoja suojauskorjauksen 823980 (MS03-026) korjaaman DCOM RPC -heikkouden hyödyntämistä yrittävästä uudesta matoviruksesta napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

826955 Blaster-matoviruksen ja sen muunnosten virusvaroitus

Saat lisätietoja siitä, miten verkonvalvojat voivat käyttää Windows Management Instrumentation -komentosarjoja asentaessaan suojauskorjauksen 823980 (MS03-026) Microsoft Windows NT-, Microsoft Windows 2000- tai Microsoft Windows Server 2003 -toimialueidensa tietokoneisiin, joissa sitä ei vielä ole asennettuna, napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

827227 Suojauskorjauksen 824146 (MS03-039) tai 823980 (MS03-026) asentaminen etätietokoneisiin Visual Basic -komentosarjan avulla

Lataamis- ja asentamistiedot

Jos haluat ladata KB824146scan.exe-työkalun, käy seuraavassa Microsoftin Web-sivustossa:Lataa Dcom-kb827363-x86-enu.exe-asennuspaketti. Voit asentaa KB824146scan.exe-työkalun kaksoisnapsauttamalla lataamaasi Dcom-kb827363-x86-enu.exe-asennuspakettia. Tämä työkalu on komentoriviapuohjelma, joka asentuu Program Files -kansion KB824146scan-alikansioon tai Program Files (X86) -kansion KB824146scan-alikansioon Windows XP:n tai Windows Server 2003:n 64-bittisissä versioissa.

Käyttötiedot

Voit suorittaa KB824146scan.exe-työkalun seuraavasti:
 1. Napsauta Käynnistä-painiketta ja valitse sitten Suorita.
 2. Kirjoita Avaa-ruutuun cmd ja valitse sitten OK.
 3. Kirjoita komentokehotteeseen cd %programfiles%\kb824146scan ja paina sitten ENTER-näppäintä.
 4. Kirjoita kb824146scan valitsimet.
Saat lisätietoja KB824146scan.exe-työkalussa käytettävistä valitsimista kirjoittamalla KB824146scan.exe /?. Näyttöön tulevat seuraavat tiedot:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

The purpose of KB824146Scan.exe is to audit Windows systems over the network
for KB824146 and KB823980patch compliance. KB824146Scan.exe allows
administrators to quickly scan enterprise networks for unpatched systems.

Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]
[/o:out_file] [/r] [/t:timeout] [/v] target ...

Kohteet voivat olla seuraavanmuotoisia:

a.b.c.d - IP-osoite
a.b.c.d-i.j.k.l - IP-osoitealue
a.b.c.d/mask - IP address with CIDR mask
host - unqualified hostname
host.domain.com - fully-qualified domain name
localhost - check local machine

Targets can be specified on the command line & in user-specified input files.
The format of the input file is one target per line.

KB824146Scan.exe maintains a log file in the current directory if the /l
switch is specified on the command line. (Otherwise output is only sent to the
screen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,
where YY is the two digit year, MM is the two digit month, and DD is the two
digit day. The [a-z][a-z] will be appended to the log file name as additional
scans are completed on the same day. Please note that the log output will only
contain essential information. To capture full information, please specify the
/v switch for verbose logging.

KB824146Scan.exe will create a list of vulnerable systems (unpatched as well
as those with KB823980 installed) in the current working directory. The log
files will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is the
two digit year, MM is the two digit month, and DD is the two digit day. Tässä
[a-z][a-z] will be appended to the log file name as additional scans are
completed on the same day. Its name can be changed with the /o switch.

KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch is
given on the command line. This may incur a performance penalty if your DNS
servers are slow in responding.

KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switch
is given on the command line. This may incur a performance penalty if the
remote NetBIOS connection is slow in responding.

KB824146Scan.exe has a default timeout of 5 seconds, which should be fine
for most networks. If your network is slow or has IPSec enabled then you
might want to increase the timeout to 10 seconds or more. Use /t to specify
the number of seconds for the timeout.

Mallituloste

Seuraavassa on komentorivimallituloste, jonka KB824146Scan.exe-työkalu tuo näyttöön, kun käytät sitä IP-osoitealueen (tässä esimerkissä 10.1.1.0 - 10.1.1.255) tarkistamiseen.
C:\>kb824146scan 10.1.1.1/24

Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 10.1.1.0 - 10.1.1.255
10.1.1.1: unpatched
10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)
10.1.1.3: Patched with only KB823980 (MS03-026)
10.1.1.4: host unreachable
10.1.1.5: DCOM is disabled on this host
10.1.1.6: address not valid in this context
10.1.1.7: connection failure: error 51 (0x00000033)
10.1.1.8: connection refused
10.1.1.9: this host needs further investigation

<-> Scan completed

Statistics:

Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1
Patched with only KB823980 (MS03-026) ............................ 1
Unpatched ............................. 1
TOTAL HOSTS SCANNED ................... 3

DCOM Disabled ......................... 1
Needs Investigation ................... 1
Connection refused .................... 1
Host unreachable ...................... 248
Other Errors .......................... 2
TOTAL HOSTS SKIPPED ................... 253

TOTAL ADDRESSES SCANNED ............... 256

Virhesanomat, tila ja tilastot

 • Unpatched-tila ilmaisee, että skannattu isäntä on Windows-isäntä, mutta isännässä ei ole suojauskorjauksia 823980 (MS03-026) ja 824146 (MS03-039) asennettuna. Sinun on asennettava suojauskorjaus 824146 (MS03-039) parantamaan tietokoneen suojausta.
 • Patched with KB823980 -tila ilmaisee, että isäntä skannattiin ja että siinä on suojauskorjaus 823980 (MS03-026) asennettuna. Tietokoneessa ei ole suojauskorjausta 824146 (MS03-039) asennettuna. Sinun on asennettava suojauskorjaus 824146 (MS03-039) parantamaan tietokoneen suojausta.
 • Patched with KB824146 and KB823980 -tila ilmaisee, että isäntä skannattiin ja että siinä on suojauskorjaukset 823980 (MS03-026) ja 824146 (MS03-039) asennettuina.
 • Host unreachable -virhesanoma ilmaisee, että määritetyssä IP (Internet Protocol) -osoitteessa ei ole isäntää. Myös Black Hole -reitittimet ja paketteja palauttamattomat palomuurit, kuten Internet-yhteyden palomuuri (ICF), palauttavat Host unreachable -virhesanoman.
 • DCOM is disabled on this host -tila ilmaisee, että DCOM on poistettu käytöstä kohdetietokoneessa. DCOM on saatettu poistaa käytöstä edistämään suojautumista suojauskorjausten 823980 (MS03-026) ja 824146 (MS03-039) käsittelemiä heikkouksia vastaan. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

  825750 DCOM-tuen poistaminen käytöstä Windowsissa (tämä artikkeli saattaa sisältää linkkejä englanninkieliseen sisältöön, jota ei vielä ole käännetty)

 • Address is not valid in this context- tai Connection failure -virhesanoma ilmaisee, että yhteyden muodostamisessa etätietokoneeseen oli ongelma. Sinun on tarkistettava manuaalisesti, onko kohdetietokoneisiin asennettu korjaustiedostoja.
 • Connection refused -virhesanoma ilmaisee, että mikään palvelu ei kuuntele TCP-porttia 135 tai että TCP-portissa 135 on käytössä suodatus (Windows TCP/IP -pinon, palomuurin tai reitittimen suorittama). Sinun on tarkistettava manuaalisesti, onko kohdetietokoneisiin asennettu korjaustiedostoja.
 • This host needs further investigation -virhesanoma ilmaisee, että etätietokoneen skannaamisessa ilmeni ongelma. Sinun on tarkistettava manuaalisesti, onko kohdetietokoneisiin asennettu korjaustiedostoja.
 • Connection failure, error 67 (0x00000043) -virhesanoma ilmaisee, että verkkonimeä ei löytynyt. Voit määrittää samanlaisten virhesanomien syyn kirjoittamalla komentokehotteeseen seuraavan komennon, jossa nn on virheen desimaalinumero:
  net helpmsg nn
 • Patched with KB824146 and KB823980 -tilasto on niiden kohdetietokoneiden määrä, joiden tilasanoma oli Patched with KB824146 and KB823980.
 • Patched with KB823980 -tilasto on niiden kohdetietokoneiden määrä, joiden tilasanoma oli Patched with KB823980.
 • Unpatched-tilasto on niiden kohdetietokoneiden määrä, joiden tilasanoma oli Unpatched.
 • TOTAL HOSTS SCANNED -tilasto on tilastojen Patched with KB824146 and KB823980, Patched with KB823980 ja Unpatched summa.
 • DCOM Disabled -tilasto on niiden kohdetietokoneiden määrä, joiden tilasanoma oli DCOM is disabled on this host.
 • Needs Investigation -tilasto on niiden kohdetietokoneiden määrä, joiden tilasanoma oli This host needs further investigation.
 • Connection refused -tilasto on niiden kohdetietokoneiden määrä, joiden tilasanoma oli Connection refused.
 • Host unreachable -tilasto on niiden kohdetietokoneiden määrä, joiden tilasanoma oli Host unreachable.
 • Other Errors -tilasto on niiden kohdetietokoneiden määrä, joiden virhesanoma ei ole tässä luettelossa.
 • TOTAL HOSTS SKIPPED -tilasto on tilastojen DCOM Disabled, Needs Investigation, Connection refused, Host unreachable ja Other Errors summa.
 • TOTAL ADDRESSES SCANNED -tilasto on tilastojen TOTAL HOSTS SCANNED ja TOTAL HOSTS SKIPPED summa.

KB824146Scan.exe-työkalun luomat lokitiedostot

Huomautus Nämä lokitiedostot luodaan nykyiseen työkansioon (eli kansioon, jossa suoritat KB824146Scan.exe-työkalun). Tämä on oletusarvoisesti Program Files -kansion KB824146scan-alikansio tai Program Files (X86) -kansion KB824146scan-alikansio Windows XP:n tai Windows Server 2003:n 64-bittisissä versioissa.
 • KB824146Scan_VVKKPP[a-z][a-z].log: Tämä lokitiedosto sisältää tietoja, jotka ovat tämän artikkelin Mallituloste-kohdan tietojen kaltaisia.
 • Vulnerable_VVKKPP[a-z][a-z].log: Tämä lokitiedosto sisältää kaikkien niiden verkkosi tietokoneiden IP-osoitteet, joissa ei ole suojauskorjausta 824146 (MS03-039) asennettuna. You can use the Vulnerable_VVKKPP[a-z][a-z] -tiedostoa muokkaamattomana syötetiedostona (Ipfile.txt) Patchinstall.vbs-komentosarjalle, joka on kuvattu Microsoft Knowledge Base -tietokannan artikkelissa 827227. Jos suoritat skannauksen KB824146Scan.exe-työkalun avulla useammin kuin kerran päivässä, Vulnerable_VVKKPP[a-z][a-z] -tiedostonimeen lisätään kirjaimia ([a-z][a-z]) päivämäärän jälkeen. Jos esimerkiksi suoritat KB824146Scan.exe-työkalun viisi kertaa 21.8.2003, luodaan seuraavat lokitiedostot mainitussa järjestyksessä:
  1. Vulnerable_030821.log
  2. Vulnerable_030821a.log
  3. Vulnerable_030821b.log
  4. Vulnerable_030821c.log
  5. Vulnerable_030821d.log
  Tämän artikkelin Mallituloste-kohdassa kuvatun mallitulosteen kohdalla Vulnerable_VVKKPP[a-z][a-z].log-lokitiedosto sisältää seuraavat merkinnät:
  10.1.1.2
  10.1.1.8

Tunnetut ongelmat

 • Jos etäkäyttö tai tiedostojen jakaminen on otettu käyttöön, KB824146scan.exe-työkalu saattaa ilmoittaa virheellisesti, että seuraavissa Windows-versioissa on heikkous:
  • Microsoft Windows 95
  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
 • KB824146scan.exe-työkalun alkuperäinen versio (1.00.0249) ei pysty määrittämään, onko suojauskorjauksia 823980 (MS03-026) ja 824146 (MS03-039) asennettu Windows NT 4.0 -tietokoneeseen, jonka seuraavan rekisteriavaimen RestrictAnonymous-arvoksi on määritetty 1:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


  Tässä tapauksessa KB824146scan.exe-työkalu ilmoittaa seuraavan kohdetietokoneen virhetilan: “cannot get workstation info: error 997 (0x000003E5).” Voit tarkistaa manuaalisesti, onko tietokoneisiin asennettu korjaustiedosto, käyttämällä KB824146scan.exe-työkalun versiota 1.00.0257 tai tarkistamalla manuaalisesti kaikki Windows NT 4.0 -tietokoneet, joiden RestrictAnonymous-arvo on käytössä.
 • Et pysty käyttämään DBCS (Double-Byte Character Set) -merkkejä syötetiedoston, tulostetiedoston, lokitiedoston tai isäntätietokoneen polussa, kun käytät KB824146scan.exe-työkalua.
Ominaisuudet

Artikkelin tunnus: 827363 – Viimeisin tarkistus: 5.6.2009 – Versio: 1

Palaute