Al momento sei offline in attesa che la connessione Internet venga ristabilita

Utilizzo dello strumento di scansione KB 824146 per individuare i computer host in cui non sono installate le patch di protezione 823980 (MS03-026) e 824146 (MS03-039)

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Nota In data 7 ottobre 2003, Microsoft ha rilasciato una versione aggiornata (1.00.0257) dello strumento di scansione KB 824146 (KB824146scan.exe) che incorpora numerose funzionalità realizzate in base ai commenti ricevuti dai clienti. Le principali modifiche della versione 1.00.0257 includono:
  • Capacità di eseguire la scansione dei computer basati su Microsoft Windows NT 4.0 nel cui Registro di configurazione è attivato il valore RestrictAnonymous
  • Miglioramento delle categorie di output che consente di verificare con maggiore chiarezza il livello delle patch di protezione nei computer analizzati
  • Output del nome NetBIOS per i computer analizzati
Sommario
Microsoft ha rilasciato lo strumento di scansione KB 824146 (KB824146scan.exe) che gli amministratori di rete possono utilizzare per identificare computer host in rete in cui non sono state installate le patch di protezione 823980 (MS03-026) e 824146 (MS03-039). Questo strumento sostituisce lo strumento di scansione KB 823980 (KB823980scan.exe).

Nota Se si utilizza lo strumento KB823980scan.exe per eseguire la scansione di un computer in cui è stata installata la patch di protezione 824146, verrà erroneamente visualizzato un rapporto che indicherà la mancanza della patch di protezione 823980 (MS03-026). Si consiglia di eseguire lo strumento KB824146scan.exe per determinare se nei computer host della rete sono state installate le patch di protezione 823980 (MS03-026) e 824146 (MS03-039). Per ulteriori informazioni sulla patch di protezione 824146 (MS03-039), fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
824146 MS03-039: Un sovraccarico del buffer in RPCSS potrebbe consentire a un utente malintenzionato di eseguire programmi dannosi
Per ulteriori informazioni sulla patch di protezione 823980 (MS03-026), fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823980 MS03-026: Il sovraccarico di un buffer in RPC può consentire l'esecuzione di codice
Per ulteriori informazioni sul nuovo virus worm che sfrutta il problema di protezione RPC DCOM risolto dalla patch di protezione 823980 (MS03-026), fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
826955 Avviso relativo al virus worm Blaster e relative varianti
Per ulteriori informazioni sull'utilizzo da parte di amministratori di rete di script di Strumentazione gestione Windows per installare la patch di protezione 823980 (MS03-026) su computer vulnerabili nel loro dominio Microsoft Windows NT, Microsoft Windows 2000 o Microsoft Windows Server 2003, fare clic sul numero seguente per visualizzare il relativo articolo nella Microsoft Knowledge Base:
827227 Utilizzo di uno script Visual Basic per installare la patch di protezione 824146 (MS03-039) o 823980 (MS03-026) su computer host remoti
Informazioni
Lo strumento KB824146scan.exe consente di eseguire la scansione di computer remoti per fare in modo che gli amministratori di rete possano identificare in quali computer basati su Windows non sono state installate le patch di protezione 823980 (MS03-026) e 824146 (MS03-039). La scansione non richiede l'autenticazione, il che significa che non è necessario fornire credenziali valide nel computer remoto. Lo strumento KB824146scan.exe non influisce sulla stabilità del sistema operativo del computer sottoposto a scansione.

È possibile utilizzare lo strumento KB824146scan.exe da un computer in cui è installato Windows Server 2003, Windows XP o Windows 2000 per esaminare computer della rete basati su Windows Server 2003, Windows XP, Windows 2000 o Windows NT 4.0.

Informazioni sul download e sull'installazione

Per scaricare lo strumento KB824146scan.exe, visitare il seguente sito Web Microsoft:Eseguire il download del pacchetto di installazione DCOM-KB827363-X86-ITA.exe. Per installare lo strumento KB824146scan.exe, fare doppio clic sul pacchetto di installazione DCOM-KB827363-X86-ITA.exe scaricato. Questo strumento è un'utilità della riga di comando che viene installata nella sottocartella KB824146scan della cartella Programmi o, nelle versioni a 64 bit di Windows XP e Windows Server 2003, della cartella Programmi (x86).

Utilizzo

Per eseguire lo strumento KB824146scan.exe, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd, quindi scegliere OK.
  3. Al prompt dei comandi digitare cd %programfiles%\kb824146scan, quindi premere INVIO.
  4. Digitare kb824146scan parametri.
Per informazioni sui parametri disponibili per lo strumento KB824146scan.exe, digitare KB824146scan.exe /?. Verranno visualizzate le seguenti informazioni:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86Copyright (c) Microsoft Corporation 2003. All rights reserved.The purpose of KB824146Scan.exe is to audit Windows systems over the networkfor KB824146 and KB823980patch compliance. KB824146Scan.exe allowsadministrators to quickly scan enterprise networks for unpatched systems.Usage: KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]                        [/o:out_file] [/r] [/t:timeout] [/v] target ...Targets can take any of the following forms:    a.b.c.d             - IP address    a.b.c.d-i.j.k.l     - IP address range    a.b.c.d/mask        - IP address with CIDR mask    host                - unqualified hostname    host.domain.com     - fully-qualified domain name    localhost           - check local machineTargets can be specified on the command line & in user-specified input files.The format of the input file is one target per line.KB824146Scan.exe maintains a log file in the current directory if the /lswitch is specified on the command line. (Otherwise output is only sent to thescreen.) The log files will take the form of KB824146Scan_YYMMDD[a-z][a-z].log,where YY is the two digit year, MM is the two digit month, and DD is the twodigit day. The [a-z][a-z] will be appended to the log file name as additionalscans are completed on the same day. Please note that the log output will onlycontain essential information. To capture full information, please specify the/v switch for verbose logging.KB824146Scan.exe will create a list of vulnerable systems (unpatched as wellas those with KB823980 installed) in the current working directory. The logfiles will take the form of Vulnerable_YYMMDD[a-z][a-z].log, where YY is thetwo digit year, MM is the two digit month, and DD is the two digit day. The[a-z][a-z] will be appended to the log file name as additional scans arecompleted on the same day. Its name can be changed with the /o switch.KB824146Scan.exe will resolve IP addresses to DNS names if the /r switch isgiven on the command line. This may incur a performance penalty if your DNSservers are slow in responding.KB824146Scan.exe will resolve IP addresses to NetBIOS names if the /n switchis given on the command line. This may incur a performance penalty if theremote NetBIOS connection is slow in responding.KB824146Scan.exe has a default timeout of 5 seconds, which should be finefor most networks. If your network is slow or has IPSec enabled then youmight want to increase the timeout to 10 seconds or more. Use /t to specifythe number of seconds for the timeout.

Esempio di output

Quello riportato di seguito è un esempio di output della riga di comando visualizzato quando lo strumento KB824146Scan.exe viene utilizzato per eseguire la scansione di un intervallo di indirizzi IP, da 10.1.1.0 a 10.1.1.255 in questo caso.
C:\>kb824146scan 10.1.1.1/24Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86  Copyright (c) Microsoft Corporation 2003. All rights reserved.<+> Starting scan (timeout = 5000 ms)Checking 10.1.1.0 - 10.1.1.25510.1.1.1: unpatched10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)10.1.1.3: Patched with only KB823980 (MS03-026)10.1.1.4: host unreachable10.1.1.5: DCOM is disabled on this host10.1.1.6: address not valid in this context10.1.1.7: connection failure: error 51 (0x00000033)10.1.1.8: connection refused10.1.1.9: this host needs further investigation<-> Scan completedStatistics:Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1Patched with only KB823980 (MS03-026) ............................ 1Unpatched ............................. 1TOTAL HOSTS SCANNED ................... 3DCOM Disabled ......................... 1Needs Investigation ................... 1Connection refused .................... 1Host unreachable ...................... 248Other Errors .......................... 2TOTAL HOSTS SKIPPED ................... 253TOTAL ADDRESSES SCANNED ............... 256

Messaggi di errore, informazioni sullo stato e sulle statistiche

  • Uno stato "unpatched" indica che l'host sottoposto a scansione si basa su Windows, ma che non dispone delle patch di protezione 823980 (MS03-026) e 824146 (MS03-039). Per proteggere il computer, è necessario installare la patch di protezione 824146 (MS03-039).
  • Uno stato "patched with KB823980" indica che la scansione è stata eseguita e che nell'host è installata la patch di protezione 823980 (MS03-026). Il computer non dispone della patch di protezione 824146 (MS03-039). Per proteggere il computer, è necessario installare la patch di protezione 824146 (MS03-039).
  • Uno stato "patched with KB824146 and KB823980" indica che la scansione è stata eseguita e che nell'host sono installate le patch di protezione 823980 (MS03-026) e 824146 (MS03-039).
  • Un messaggio di errore "host unreachable" indica che all'indirizzo IP specificato non è presente alcun host. Questo messaggio viene visualizzato anche quando all'indirizzo specificato corrisponde un firewall che blocca i pacchetti, quale Windows Firewall.
  • Uno stato "DCOM is disabled on this host" indica che la funzionalità DCOM è disabilitata nel computer host di destinazione. Tale funzionalità può essere disabilitata per impedire problemi di protezione che verranno risolti dalle patch di protezione 823980 (MS03-026) e 824146 (MS03-039). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    825750 Disattivazione del supporto DCOM in Windows
  • Un messaggio di errore "address is not valid in this context" o "connection failure" indica che si è verificato un problema di connessione al computer remoto. Per determinare se nei computer di destinazione sono state installate le patch, è necessario eseguire una verifica manuale.
  • Un messaggio "connection refused" indica che sulla porta TCP 135 non è in ascolto alcun servizio o che alla porta TCP 135 è applicato un filtro (tramite lo stack Windows TCP/IP oppure tramite un firewall o un router). Per determinare se nei computer di destinazione sono state installate le patch, è necessario eseguire una verifica manuale.
  • Un messaggio di errore "this host needs further investigation" indica che si è verificato un problema di scansione nell'host remoto. Per determinare se nei computer di destinazione sono state installate le patch, è necessario eseguire una verifica manuale.
  • Un messaggio di errore "connection failure, error 67 (0x00000043)" indica che non è possibile trovare il nome della rete. Per determinare la causa di messaggi di errore analoghi, digitare quanto segue al prompt dei comandi, dove nn è il numero decimale dell'errore:
    net helpmsg nn
  • La statistica "Patched with KB824146 and KB823980" rappresenta un calcolo dei computer di destinazione contrassegnati con il messaggio di stato "patched with KB824146 and KB823980".
  • La statistica "Patched with KB823980" rappresenta un calcolo dei computer di destinazione contrassegnati con il messaggio di stato "patched with KB823980".
  • La statistica "Unpatched" rappresenta un calcolo dei computer di destinazione contrassegnati con il messaggio di stato "unpatched".
  • La statistica "TOTAL HOSTS SCANNED" indica il totale delle statistiche "Patched with KB824146 and KB823980", "Patched with KB823980" e "Unpatched".
  • La statistica "DCOM Disabled" rappresenta un calcolo dei computer di destinazione contrassegnati con il messaggio di stato "DCOM is disabled on this host".
  • La statistica "Needs Investigation" rappresenta un calcolo dei computer di destinazione contrassegnati con il messaggio di stato "this host needs further investigation".
  • La statistica "Connection refused" rappresenta un calcolo dei computer di destinazione contrassegnati con il messaggio di stato "connection refused".
  • La statistica "Host unreachable" rappresenta un calcolo dei computer di destinazione contrassegnati con il messaggio di stato "host unreachable".
  • La statistica "Other Errors" rappresenta un calcolo dei computer di destinazione contrassegnati con qualsiasi altro messaggio di errore non incluso nel presente elenco.
  • La statistica "TOTAL HOSTS SKIPPED" indica il totale delle statistiche "DCOM Disabled", "Needs Investigation", "Connection refused", "Host unreachable" e "Other Errors".
  • La statistica "TOTAL ADDRESSES SCANNED" indica il totale delle statistiche "TOTAL HOSTS SCANNED" e "TOTAL HOSTS SKIPPED".

File registro creati dallo strumento KB824146Scan.exe

Nota Questi file registro vengono creati nella cartella di lavoro corrente, vale a dire la cartella in cui è stato eseguito lo strumento KB824146Scan.exe. Per impostazione predefinita, si tratta della sottocartella KB824146scan della cartella Programmi o, nelle versioni a 64 bit di Windows XP o Windows Server 2003, della cartella Programmi (X86).
  • KB824146Scan_AAMMGG[a-z][a-z].log: questo file registro contiene informazioni simili a quelle contenute nella sezione "Esempio di output" del presente articolo.
  • Vulnerable_AAMMGG[a-z][a-z].log: questo file registro contiene un elenco degli indirizzi IP relativi ai computer presenti sulla rete in cui non è installata la patch di protezione 824146 (MS03-039). È possibile utilizzare il file Vulnerable_AAMMGG[a-z][a-z], senza modificarlo, come file di input (Ipfile.txt) per lo script Patchinstall.vbs descritto nell'articolo 827227 della Microsoft Knowledge Base. Se si esegue lo strumento KB824146Scan.exe più volte al giorno per effettuare una scansione, al nome del file verranno aggiunte le lettere [a-z][a-z] Vulnerable_AAMMGG[a-z][a-z], subito dopo la data. Se, per esempio, si esegue lo strumento KB824146Scan.exe cinque volte il 21 agosto 2003, i file registro riportati di seguito verranno creati nell'ordine indicato:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    In base all'esempio di output descritto nella sezione "Esempio di output" del presente articolo, il file registro Vulnerable_AAMMGG[a-z][a-z].log dovrebbe contenere le seguenti voci:
    10.1.1.2
    10.1.1.8

Problemi noti

  • Se è abilitato l'accesso remoto o la condivisione dei file, l'esecuzione dello strumento KB824146scan.exe potrebbe erroneamente segnalare che le seguenti versioni di Windows sono vulnerabili:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Seconda Edizione
    • Microsoft Windows Millennium Edition
  • La versione originale dello strumento KB824146scan.exe (1.00.0249) non è in grado di determinare se le patch di protezione 823980 (MS03-026) e 824146 (MS03-039) sono installate in un computer basato su Windows NT 4.0 in cui il valore RestrictAnonymous è impostato su 1 nella seguente chiave di registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    In questo caso verrà segnalato il seguente stato di errore per il computer di destinazione: "cannot get workstation info: error 997 (0x000003E5)". Per determinare se a questi computer è stata applicata la patch, utilizzare la versione 1.00.0257 di KB824146scan.exe oppure controllare manualmente tutti i computer basati su Windows NT 4.0 nei quali è attivato il valore RestrictAnonymous.
  • Quando si utilizza lo strumento KB824146scan.exe non è possibile utilizzare caratteri DBCS (Double-Byte Character Set) nel percorso relativo al file di input, al file di output, al file registro o al computer host.
dcomscan ms03-026 rpc dcom patch scanner 1.0 exploit vulnerability patch rpcss
Proprietà

ID articolo: 827363 - Ultima revisione: 07/11/2005 05:56:28 - Revisione: 4.4

Microsoft Windows Server 2003 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP 64-Bit Edition versione 2002, Microsoft Windows XP 64-Bit Edition versione 2003, Microsoft Windows XP Home Edition, Microsoft Windows XP Media Center Edition, Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows NT Server 4.0, Terminal Server Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbhowto atdownload kbfirewall KB827363
Feedback