你目前正处于脱机状态,正在等待 Internet 重新连接

如何获取和使用企业扫描工具

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

概要
本文介绍如何获取和使用某些安全公告版本中包含的企业扫描工具。它介绍了从何处可以获取最新企业扫描工具。随后,本文讨论了如何分析由该工具创建的 Results.xml 文件的内容。接下来,如果您希望在运行该工具后合并来自多台计算机的数据,我们会向您提供一些小建议。本文还介绍如何卸载企业扫描工具,并讨论使用该工具的一些限制。本文结尾是常见问题 (FAQ) 部分。首先列出的是一般常见问题。在一般常见问题之后,列出了特定于公告版本的企业扫描工具的常见问题。接下来列出有关 Microsoft System Management Server (SMS) 版企业扫描工具的常见问题。最后讨论了一些已知的常见问题。
简介
本文分步介绍了如何使用某些安全公告版本中提供的企业扫描工具。如果随 Microsoft 安全响应中心 (MSRC) 公告一同发布的更新不能使用 Microsoft System Management Server 或其他企业管理解决方案进行管理,则可以使用该工具扫描这些更新。本文所提供的步骤均为示例步骤。您可能需要根据具体环境的要求和限制调整这些步骤。
更多信息

使用企业扫描工具

特定于每个安全公告发布周期的企业扫描工具可能有自已的命令行开关和 XML 输出架构。下列步骤适用于所有版本的企业扫描工具。要使用该工具,请按照下列步骤操作:
  1. 运行从下载中心或 Microsoft 产品支持部门获取的程序包。
  2. 出现提示时,指定提取文件的目标位置。

    在提取文件所在的文件夹中,可以看到以下文件:
    • Readme.rtf
    • Updatescan.exe
    • Updatescan.xml
  3. 使用自述文件中介绍的命令行开关运行 Updatescan.exe 文件。此文件与企业扫描工具打包在一起。

    企业扫描工具版本与 MSRC 发布周期中的具体公告相关联。对于不同的企业扫描工具版本,这些命令行开关可能会有所不同。请经常查看与企业扫描工具版本相关的自述文件,以获取最新信息。
  4. 要查看扫描结果,请查看通过使用可选开关创建的日志。然后查看 Results.xml 文件。

    该日志被写入当前工作目录中。不过,Results.xml 文件会写入运行该工具的文件夹中。对于不同的企业扫描工具版本,XML 输出架构可能会有所不同。有关更多信息,请参阅与企业扫描工具版本相关的自述文件中的“分析工具输出”部分。

可用的企业扫描工具

2007 年 10 月 9 日版企业扫描工具 (MS07-056)

要获取 2007 年 10 月 9 日版企业扫描工具 (MS07-056),请访问下面的 Microsoft 网站:

2007 年 9 月 11 日版企业扫描工具(MS07-052、MS07-053)

要获取 2007 年 9 月 11 日版企业扫描工具(MS07-052、MS07-053),请访问下面的 Microsoft 网站:

2007 年 8 月 14 日版企业扫描工具(MS07-043、MS07-047、MS07-049 和 MS07-050)

要获取 2007 年 8 月 14 日版企业扫描工具(MS07-043、MS07-047、MS07-049 和 MS07-050),请访问下面的 Microsoft 网站:

2007 年 7 月 10 日版企业扫描工具 (MS07-040)

要获取 2007 年 7 月 10 日版企业扫描工具 (MS07-040),请访问下面的 Microsoft 网站:

2007 年 6 月 12 日版企业扫描工具 (MS07-034)

要获取 2007 年 6 月 12 日版企业扫描工具 (MS07-034),请访问下面的 Microsoft 网站:

2007 年 5 月 8 日版企业扫描工具(MS07-028)

要获取 2007 年 5 月 8 日版企业扫描工具 (MS07-028),请访问下面的 Microsoft 网站:

2007 年 2 月 13 日版企业扫描工具(MS07-005、MS07-009、MS07-012)

要获取 2007 年 2 月 13 日版企业扫描工具(MS07-005、MS07-009、MS07-012),请访问下面的 Microsoft 网站:

2007 年 1 月 9 日版企业扫描工具 (MS07-004)

要获取 2007 年 1 月 9 日版企业扫描工具 (MS07-004),请访问下面的 Microsoft 网站:

2006 年 12 月 12 日版企业扫描工具(MS06-073、MS06-076、MS06-077、MS06-078)

要获取 2006 年 12 月 12 日版企业扫描工具(MS06-073、MS06-076、MS06-077、MS06-078),请访问下面的 Microsoft 网站:

2006 年 11 月 14 日版企业扫描工具 (MS06-069)

要获取 2006 年 11 月 14 日版企业扫描工具 (MS06-069),请访问下面的 Microsoft 网站:

2006 年 10 月 10 日版企业扫描工具 (MS06-056)

要获取 2006 年 10 月 10 日版企业扫描工具 (MS06-056),请访问下面的 Microsoft 网站:

2006 年 9 月 26 日版企业扫描工具 (MS06-055)

要获取 2006 年 9 月 26 日版企业扫描工具 (MS06-055),请访问下面的 Microsoft 网站:

2006 年 8 月 8 日版企业扫描工具 (MS06-043)

要获取 2006 年 8 月 8 日版企业扫描工具 (MS06-043),请访问下面的 Microsoft 网站:

2006 年 7 月 11 日版企业扫描工具 (MS06-033)

要获取 2006 年 7 月 11 日版企业扫描工具 (MS06-033),请访问下面的 Microsoft 网站:

2006 年 6 月 13 日版企业扫描工具(MS06-023、MS06-024)

要获取 2006 年 6 月 13 日版企业扫描工具(MS06-023、MS06-024),请访问下面的 Microsoft 网站:

2006 年 5 月 9 日版企业扫描工具 (MS06-020)

要获取 2006 年 5 月 9 日版企业扫描工具 (MS06-020),请访问下面的 Microsoft 网站:

2006 年 4 月 11 日版企业扫描工具(MS06-014、MS06-016、MS06-017)

要获取 2006 年 4 月 11 日版企业扫描工具(MS06-014、MS06-016、MS06-017),请访问下面的 Microsoft 网站:

2006 年 2 月 14 日版企业扫描工具 (MS06-005)

要获取 2006 年 2 月 14 日版企业扫描工具 (MS06-005),请访问下面的 Microsoft 网站:

2005 年 10 月 11 日版企业扫描工具(MS05-044、MS05-050)

要获取 2005 年 10 月 11 日版企业扫描工具(MS05-044、MS05-050),请访问下面的 Microsoft 网站:

2005 年 6 月 14 日版企业扫描工具(MS05-029、MS05-030、MS05-031、MS05-033、MS05-034)

要获取 2005 年 6 月 14 日版企业扫描工具(MS05-029、MS05-030、MS05-031、MS05-033、MS05-034),请访问下面的 Microsoft 网站:

2005 年 4 月 12 日版企业扫描工具(MS05-022、MS05-023)

要获取 2005 年 4 月 12 日版企业扫描工具(MS05-022、MS05-023),请访问下面的 Microsoft 网站:

2005 年 2 月 8 日版企业扫描工具(MS05-004、MS05-006 和 MS05-009)

要获取 2005 年 2 月 8 日版企业扫描工具,请访问下面的 Microsoft 网站:

2004 年 10 月 12 日版企业扫描工具 (MS04-028)

要获取 2004 年 10 月 12 日版企业扫描工具 (MS04-028),请访问下面的 Microsoft 网站:

分析 Results.xml 文件

该文件位于计算机上运行该扫描工具的文件夹中。您可以使用 Results.xml 文件来收集企业中有关更新的数据。特别是“状态”字段,该字段表明特定更新是处于“适用”状态还是处于“已安装”状态。如果某一安全更新标记为“适用”,则表明系统需要该更新而它尚未安装。如果该安全更新标记为“已安装”,则表明该更新已安装并且已位于目标计算机中。输出的格式类似于以下内容。未来版本中对输出格式所做的任何更改都会被记录下来。
<ScanResults><ScanDateTime>9/16/2004 2:40:30 PM</ScanDateTime><XMLDataVersion>2004.12.14.0</XMLDataVersion><ScannedBy>COMPUTER_A \ SYSTEM</ScannedBy><Machine><MachineName>COMPUTER_A</MachineName><Domain>MYDOMAIN</Domain><Product><ProductName>WINDOWS 2000 ADVANCED SERVER</ProductName><Item><LocaleID>1033</LocaleID><ItemClass>Patch</ItemClass><BulletinID>MS0x-00x</BulletinID><BulletinTitle>Buffer Overrun Could Allow Code Execution (999999)</BulletinTitle><SQNumber>999999</SQNumber><BulletinUrl>http://www.microsoft.com/technet/security/bulletin/MS0x-00x.mspx</BulletinUrl><DownloadURL>n/a</DownloadURL><Description></Description><Status>Applicable</Status><ItemType></ItemType><DatePosted></DatePosted><DateRevised></DateRevised><UnattendSyntax>/q /z</UnattendSyntax></Item></Product></Machine></ScanResults>

合并来自多台计算机的输出数据

为了提供报告或进行遵从性检查,企业客户可能需要将来自多台计算机的输出数据合并为易读的报告、数据库或其他格式。由于客户的要求多种多样,Microsoft 没有随该工具提供一种集中式报告解决方案。不过,您可以将该扫描工具保存的 XML 文件导入到数据库中,以便生成集中式报告。

卸载企业扫描工具

要从客户端计算机卸载该工具,应删除最初安装该工具时使用的文件夹。

限制

  • 必须在具有本地管理权限的帐户下或在系统环境下运行企业扫描工具。
  • 该工具只在受支持的产品和配置中测试过。如果在不受支持的操作系统上运行该工具,则会收到以下消息:
    没有适用于此系统的检查
  • 该工具的输出结果为英语。不过,会针对受到每月发布的更新影响的每一种语言提供检测功能。
  • 该工具执行本地扫描。
  • 如果第三方应用程序使用了受影响组件的缺陷版本,则该工具不对该应用程序提供检测。
  • 根据 Microsoft 软件许可条款,禁止对该工具或检测清单进行任何修改或自定义。

    注意:检测清单为 XML 文件。
  • 该工具仅在受支持的操作系统以及受影响的支持产品版本中测试过。它可能会错误地报告或无法报告有关不受支持的产品的信息。有关受支持的产品版本的更多信息,请访问下面的 Microsoft 网站:
  • 在运行该工具的所有计算机上,必须有 Microsoft XML 分析器 (MSXML) 3.0。MSXML 3.0 由 Microsoft Internet Explorer 6 和 Internet Explorer 6 Service Pack 1 安装。MSXML 3.0 也是 Microsoft Windows Server 2003 的一部分。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    269238Microsoft XML 分析器 (MSXML) 的版本列表

常见问题

一般常见问题

  • 什么是企业扫描工具?

    作为不断提供公告级安全更新检测工具的承诺的一部分,Microsoft 为 MSRC 发布周期中无法由 Microsoft Baseline Security Analyzer (MBSA) 或 Office 检测工具 (ODT) 检测的公告提供了一种独立的检测工具。此独立工具称为企业扫描工具 (EST)。该工具是为企业管理员设计的。在为特定公告创建检测工具后,客户可以在命令提示符处运行该工具,然后查看 XML 输出文件的结果。该工具附带有详细的文档。还有一个为 System Management Server (SMS) 客户提供的工具版本,该版本可以为 SMS 管理员带来一种集成体验。
  • 为什么提供该工具?

    Microsoft 为 MSRC 发布周期中 MBSA 或 ODT 无法检测的某些公告提供了该工具。每个工具版本都是特定于 MSRC 发布周期的。
  • 是否每次都会更新该工具?该工具都一样吗?是否会发布新的 XML?

    不是。企业扫描工具是一种与特定 MSRC 发布周期相关的独立工具。只有在 MBSA 或 ODT 不能提供公告检测时,才会创建企业扫描工具。如果 MBSA 或 ODT 可以检测公告,则不会发布用于该公告的企业扫描工具。XML 输出架构与该工具紧密结合在一起。对于不同的企业扫描工具,命令行开关可能会有所不同。因此,客户必须下载与每个 MSRC 发布周期相关联的企业扫描工具。
  • Microsoft 计划为该工具提供多长时间的支持?

    企业扫描工具是 Microsoft 承诺为公告级安全更新提供检测工具的一部分。当 MBSA 或 ODT 不能提供检测时,可以使用该工具。将来,Microsoft Windows Update Server 中的安全更新基础结构将会被合并。Microsoft 最终能够使用 Microsoft 目录提供全面的检测,该目录包括使用 Windows Update Server 基础结构的所有扫描工具。这些工具包括 MBSA 2.0 版、Microsoft Operations Manager (MOM) 以及用于 Microsoft Updates 的 Microsoft Systems Management Server 2003 清单工具。当 Microsoft 目录填满后,将不再需要企业扫描工具。
  • MBSA 和 ODT 为什么不能检测此更新?

    MBSA 和 ODT 可能无法全面检测 MSRC 发布周期中的某些公告。不能提供全面检测的原因有:受检测引擎限制或者 MBSA 或 ODT 不支持受影响的产品。我们正在努力解决 Windows Update Server 基础结构中 MBSA 未来版本存在的这一问题。在此期间,企业扫描工具可用来帮助 MBSA 和 ODT 执行安全更新检测。只要 MBSA 或 ODT 无法提供检测,我们就会计划发布企业扫描工具。
  • 如何获取对企业扫描工具的支持?

    企业扫描工具通过 Microsoft 产品支持服务 (PSS) 获得支持。要与 Microsoft PSS 联系,请访问下面的 Microsoft 网站:
  • 企业扫描工具与 MBSA 有何不同?

    企业扫描工具是对 MBSA 扫描功能的补充。只有在 MBSA 或 ODT 无法检测 MSRC 发布周期中的某些公告时,才会发布企业扫描工具。MBSA 可用于信息技术的各个领域,并具有易于使用的接口。MBSA 还具有内置报告功能,并可提供累积性安全更新扫描。企业扫描工具仅用于特定的公告。该工具不能提供用于报告的用户界面。企业扫描工具旨在供企业管理员在脚本解决方案或 SMS 中使用。
  • 如何验证是否已将全部更新应用于计算机?

    在运行该工具检测到所需更新并安装这些更新后,再次运行该工具即可验证是否已安装这些更新。在将所有适用的更新全部成功安装到计算机上后,Results.xml 文件应包含以下信息:
    未检测到缺少的更新
    注意:如果某一更新要求重新启动计算机,则只有在重新启动计算机后该工具才指出已安装此更新。

有关特定于公告版本的企业扫描工具的常见问题

  • 从何处获取该工具?

    在应用企业扫描工具的 MSRC 公告中提供了指向下载中心的链接。
  • 该工具有哪些命令行开关?

    每个企业扫描工具版本都具有不同的命令行开关。在每个企业扫描工具版本的自述文件中对适用于各版本的命令行开关进行了介绍。
  • 如何在一台计算机上使用该独立工具?

    可以在命令提示符处运行企业扫描工具,并使用适当的开关(如果适用)。必须对 XML 输出结果进行分析,以确定计算机是否缺少重要更新。
  • 如何理解输出结果?

    XML 输出文件的架构可以从一个企业扫描工具版本更改为另一个企业扫描工具版本。必须查看每个企业扫描工具版本的自述文件才能获得有关如何理解输出结果的指导。通常,如果 XML 输出显示某一更新处于“适用”状态,则表明此更新尚未安装并且需要此更新。如果 XML 输出显示更新处于“已安装”状态,则表明该更新已安装。
  • 是否可以在多台计算机上使用该工具?

    该工具在设计上不具备在多台计算机上运行的能力。必须为运行在每台计算机上的企业扫描工具编写脚本。然后,必须将来自多台计算机的输出数据合并为数据库或其他格式以便提供报告或进行遵从性检查。如果使用 SMS 进行安全更新检测,则可以下载与 SMS 兼容的版本。要获得此版本,请访问下面的 Microsoft 网站:
  • 是否可以从 Microsoft 获取示例代码?

    每个企业扫描工具版本的自述文件中都包含 XML 输出示例。可运行命令行程序的任何脚本语言都可以运行企业扫描工具。不过,Microsoft 不提供自动运行企业扫描工具的示例代码,以便该工具可以对多台计算机进行扫描并合并来自这些计算机的报告。
  • 有哪些常见错误,如何纠正这些错误?

    自述文件中介绍了一些常见错误以及纠正这些错误的方法。可以通过查看并遵守自述文件中所述的系统要求来纠正最常见的错误。该工具可以创建一个用于纠正错误的日志文件。

有关 Microsoft System Management Server 版企业扫描工具的常见问题

  • 从何处获取该工具?

    可以从每个发布周期的 SMS 网站获取该工具的 System Management Server (SMS) 版。SMS 允许您在同一 SMS 程序包中同时运行多个扫描工具。
  • 该工具如何与 SMS 集成?

    SMS 版的安装程序允许 SMS 管理员将该工具安装到 SMS 网站服务器上。该安装程序还允许 SMS 管理员自动更新 SMS 程序包,以扫描新的内容。SMS 会按调度运行扫描并使用结果,其方式类似于 SMS 所使用的其他工具采用的方式。这些工具包括安全更新清单工具、用于更新的 Office 清单工具以及其他一些工具。
  • 如何在 SMS 中使用 SMS 分发软件更新向导批准更新?

    执行扫描后,SMS 中会自动显示清单。之后,管理员可以审批要部署的更新、配置命令行选项并强制实施调度。
  • 用户是否知道用来查找部署更新的 URL?

    只要可能,会随时提供更新程序包的 URL,以便分发软件更新向导可以自动获取更新并将其包含在 SMS 程序包中。有时,这些位置无法与版本同时提供。因此,必须通过手动方法获取这些位置。Microsoft 网站上的公告文档或 Microsoft 下载中心的文档中提供了相关说明。
  • 在使用企业扫描工具时,应考虑哪些特殊问题?

    有时,企业扫描工具检测到的更新还可能会被安全更新清单工具或用于更新的 Office 清单工具检测到。在这些极少数的情况下,应使用分发软件更新向导只批准其中的一个更新。此外,这些现有工具所提供的数据应优先于企业扫描工具提供的结果。利用该数据,可将许多更新分组为数目最少的程序包,从而管理计算机的重新启动。
  • 如何处理多个程序包或计算机的重新启动?

    SMS 代理会处理包含在同一 SMS 部署程序包中的所有更新。SMS 代理会自动将更新链接在一起,以便在安装更新后,只需重新启动一次计算机。如果在批准安全更新清单工具中某一更新的同时,批准了 SMS 版企业扫描工具中的另一更新,则无法合并计算机重新启动的次数。这就是为什么在企业扫描工具提供重复的检测时,您更愿意使用标准的 SMS 工具而不是企业扫描工具。
  • 从何处可以获得支持?

    通过与所有 SMS 产品支持问题相同的渠道提供支持。
  • 有哪些常见错误?

    Microsoft Systems Management Server 网站中提供了有关技术方面的常见问题。其中包括下列常见错误:
    • 更新时使用不正确的命令行开关。
    • 在尝试执行手动下载步骤时下载了错误的更新。
    有关更多信息,请访问下面的 Microsoft 网站:

已知常见问题

  • Results.xml 报告为什么指出“没有适用于此系统的检查”?

    如果此系统上未安装 MS05-004、MS05-006 和 MS05-009 公告中所列出的存在漏洞的产品,则可能会收到下面的消息。或者,如果在公告中未列出的操作系统上运行该工具,则也可能会收到下面的消息:
    没有适用于此系统的检查。
    如果操作系统和 Service Pack 的组合不受支持或没有漏洞,则会收到此信息。

    重要说明:如果收到此消息,则必须验证您运行的操作系统是否受支持。如果您运行的操作系统不受该工具支持,则您可能安装了不会被该工具更新的有漏洞的产品。
  • 该工具为什么不输出结果?

    确保客户端计算机符合“限制”一节中列出的所有先决条件。
WUS
属性

文章 ID:894193 - 上次审阅时间:10/12/2007 10:45:00 - 修订版本: 23.1

Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Service Pack 1, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Service Pack 3

  • kbhowto kbsecurity kbupdate KB894193
反馈