您目前已離線,請等候您的網際網路重新連線

如何使用 KB 824146 掃描工具,找出沒有安裝 823980 (MS03-026) 和 824146 (MS03-039) 安全性補充程式的主機電腦

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

注意 2003 年 10 月 7 日,Microsoft 發行了 KB 824146 掃描工具 (KB824146scan.exe) 的更新版本 (1.00.0257),此工具結合數種以客戶意見反應為基礎的功能要求。1.00.0257 中的主要變更包括:
  • 掃描在登錄中開啟 RestrictAnonymous 值的 Microsoft Windows NT 4.0 電腦的能力
  • 改善的輸出類別,有助於確認掃描電腦的安全性補充程式層級
  • 掃描電腦的 NetBIOS 名稱輸出
結論
Microsoft 所發行的 KB 824146 掃描工具,可供網路系統管理員用來找出其網路上未安裝 823980 (MS03-026) 及 824146 (MS03-039) 安全性補充程式的主機電腦。此工具將取代 KB 823980 掃描工具 (KB823980scan.exe)。

注意 如果您使用 KB823980scan.exe 工具掃描已安裝 824146 安全性補充程式的電腦,此工具將報告不正確的資訊:電腦遺失 823980 安全性補充程式 (MS03-026)。Microsoft 建議客戶執行 KB824146scan.exe 工具,以判斷其網路上的主機電腦是否已安裝 823980 (MS03-026) 及 824146 (MS03-039) 安全性補充程式。 如需有關 824146 安全性補充程式 (MS03-039) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146MS03-039:RPCSS 緩衝區滿溢可能會使攻擊者執行惡意的程式
如需有關 823980 安全性補充程式 (MS03-026) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
823980MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行
如需有關新的蠕蟲病毒嘗試利用在 823980 安全性補充程式 (MS03-026) 中獲得修正的 DCOM RPC 弱點的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
826955關於 Blaster 蠕蟲及變種的病毒警告
如需有關網路系統管理員如何使用 Windows Management Instrumentation 指令碼,在其 Microsoft Windows NT、Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域中未執行補充程式的電腦上安裝 823980 安全性補充程式 (MS03-026) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827227 如何在遠端主機電腦上,使用 Visual Basic 指令碼安裝 824146 (MS03-039) 或 823980 (MS03-026) 安全性補充程式
其他相關資訊
KB824146scan.exe 工具可掃描遠端電腦,協助網路系統管理員找出哪一部 Windows 電腦未安裝 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式。掃描不需要驗證 (也就是,您不需在遠端電腦上提供有效的認證)。 KB824146scan.exe 工具不會影響所掃描的目標作業系統的穩定性。

您可以從執行 Windows Server 2003、Windows XP 或 Windows 2000 的電腦中使用 KB824146scan.exe 工具,以掃描您網路上的 Windows Server 2003、Windows XP、Windows 2000、或 Windows NT 4.0 電腦。

下載及安裝資訊

如果要下載 KB824146scan.exe 工具,請造訪下列 Microsoft 網站:下載 Dcom-kb827363-x86-enu.exe 安裝套件。如果要安裝 KB824146scan.exe 工具,請按兩下您下載的 Dcom-kb827363-x86-enu.exe 安裝套件。此工具是一種命令列公用程式,安裝於 Program Files 資料夾的 KB824146scan 子資料夾中,或安裝於 64 位元版本 Windows XP 或 Windows Server 2003 中 Program Files (X86) 資料夾的 KB824146scan 子資料夾中。

使用資訊

如果要執行 KB824146scan.exe 工具,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]
  2. [開啟] 方塊中,輸入 cmd,然後按一下 [確定]
  3. 在命令提示字元中輸入 cd %programfiles%\kb824146scan,再按 ENTER 鍵。
  4. 輸入 kb824146scan switches.
如需有關 KB824146scan.exe 工具可使用的參數詳細資訊,請輸入 KB824146scan.exe /?。會顯示下列資訊:
Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86Copyright (c) Microsoft Corporation 2003. All rights reserved.KB824146Scan.exe 的用途是稽核網路上 Windows 系統中KB824146 與 KB823980patch 的相容性。KB824146Scan.exe 使系統管理員可以快速掃描企業網路,以找出未執行補充程式的系統。使用方式:KB824146Scan.exe [/?] [/i:input_file] [/l[:log_file]] [/n]                        [/o:out_file] [/r] [/t:timeout] [/v] target ...目標可以使用下列任何形式:a.b.c.d - IP 位址a.b.c.d-i.j.k.l     - IP 位址範圍a.b.c.d/mask        - 使用 CIDR 遮罩的 IP 位址host                - 不合格的主機名稱    host.domain.com     - 完整格式的網域名稱localhost           - 檢查本機電腦目標可在命令列及使用者指定的輸入檔中指定。輸入檔的格式是每行一個目標。如果在命令列指定 /l參數,KB824146Scan.exe 會在目前的目錄中維持一個記錄檔  (否則,輸出只會傳送到畫面中)。記錄檔的格式將是 KB824146Scan_YYMMDD[a-z][a-z].log,其中,YY 是兩位數的年份,MM 是兩位數的月份,而 DD 是兩位數的日期。[a-z][a-z] 將附加到記錄檔名稱,因為同一天中也將會完成其它的掃描。請注意,記錄輸出將只包含必要的資訊。如果要擷取完整資訊,請指定/v 參數以獲得詳細資訊記錄。KB824146Scan.exe 將在目前的工作目錄建立有弱點的系統 (未執行補充程式的系統與安裝 KB823980 的系統) 的清單。記錄檔的格式將是 Vulnerable_YYMMDD[a-z][a-z].log,其中 YY 是兩位數的年份,MM 是兩位數的月份,而 DD 是兩位數的日期。[a-z][a-z] 將附加到記錄檔名稱,因為同一天中也將會完成其它的掃描。您可以使用 /o 參數變更其名稱。如果在命令列指定 /r 參數,KB824146Scan.exe 會將 IP 位址解析為 DNS 名稱。如果您的 DNS伺服器回應速度緩慢,這可能會使效能大打折扣。如果在命令列指定 /n 參數,KB824146Scan.exe 會將 IP 位址解析為 NetBIOS 名稱。如果遠端 NetBIOS 連線回應速度緩慢,這可能會使效能大打折扣。KB824146Scan.exe 預設的逾時為 5 秒,應該適用於大多數網路。如果您的網路速度緩慢或啟用 IPSec,您可以將逾時增加到 10 秒以上。請使用 /t 指定逾時的秒數。

範例輸出

下列是當您使用 KB824146Scan.exe 來掃描某個範圍的 IP 位址 (在此範例中是 10.1.1.0 到 10.1.1.255) 時所顯示的命令列輸出範例。
C:\>kb824146scan 10.1.1.1/24Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86Copyright (c) Microsoft Corporation 2003. All rights reserved.<+> Starting scan (timeout = 5000 ms)Checking 10.1.1.0 - 10.1.1.25510.1.1.1: unpatched10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)10.1.1.3: Patched with only KB823980 (MS03-026)10.1.1.4: host unreachable10.1.1.5: DCOM is disabled on this host10.1.1.6: address not valid in this context10.1.1.7: connection failure: error 51 (0x00000033)10.1.1.8: connection refused10.1.1.9: this host needs further investigation<-> Scan completedStatistics:Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1Patched with only KB823980 (MS03-026) ............................ 1Unpatched ............................. 1TOTAL HOSTS SCANNED ................... 3DCOM Disabled ......................... 1Needs Investigation ................... 1Connection refused .................... 1Host unreachable ...................... 248Other Errors .......................... 2TOTAL HOSTS SKIPPED ................... 253TOTAL ADDRESSES SCANNED ............... 256

錯誤訊息、狀態及統計

  • 「未執行補充程式」(unpatched) 狀態表示,您掃描的主機是 Windows 主機,但該主機未安裝 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式。為保護此電腦,您必須安裝 824146 (MS03-039) 安全性補充程式。
  • 「已執行 KB823980 補充程式」(patched with KB823980) 狀態表示已掃描主機,且該主機已安裝 823980 (MS03-026) 安全性補充程式。電腦未安裝 824146 (MS03-039) 安全性補充程式。 為保護此電腦,您必須安裝 824146 (MS03-039) 安全性補充程式。
  • 「已執行 KB824146 與 KB823980 補充程式」(patched with KB824146 and KB823980) 狀態表示已掃描主機,且該主機已安裝 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式。
  • host unreachable (無法連線到主機) 錯誤訊息表示,指定的網際網路通訊協定 (IP) 位址沒有任何主機存在。此外,黑洞路由器或、捨棄封包的防火牆 (例如「網際網路連線防火牆」(ICF)) 也會傳回「無法連線到主機」錯誤訊息。
  • 「此主機停用 DCOM」(DCOM is disabled on this host) 狀態表示目標主機電腦上停用 DCOM。DCOM 可能已經停用,以保護免受 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式所解決弱點的侵害。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    825750 如何在 Windows 中停用 DCOM 支援
  • address is not valid in this context (此內容中的位址無效) 或 connection failure (連線失敗) 錯誤訊息表示,連線到遠端電腦時發生問題。 如果要判斷目標電腦是否已執行補充程式,您必須手動檢查。
  • connection refused (拒絕連結) 錯誤訊息表示,TCP 連接埠 135 上沒有監聽中的服務,或正在篩選 TCP 連接埠 135 (可能是由 Windows TCP/IP 堆疊、防火牆或路由器所執行)。 如果要判斷目標電腦是否已執行補充程式,您必須手動檢查。
  • this host needs further investigation (此主機需要進一步檢查) 錯誤訊息表示,掃描遠端主機時發生問題。如果要判斷目標電腦是否已執行補充程式,您必須手動檢查。
  • connection failure, error 67 (0x00000043) (連線失敗,錯誤 (0x00000043)) 錯誤訊息表示,找不到網路名稱。如果要判斷類似錯誤訊息的原因,請在命令提示字元中輸入下列內容,其中 nn 是十進位的錯誤號碼:
    net helpmsg nn
  • 「已執行 KB824146 與 KB823980 補充程式」(Patched with KB824146 and KB823980) 統計是目標電腦的個數,這些電腦都標示著「已執行 KB824146 與 KB823980 補充程式」狀態訊息。
  • 「已執行 KB823980 補充程式」(Patched with KB823980) 統計是目標電腦的個數,這些電腦都標示著「已執行 KB823980 補充程式」狀態訊息。
  • 「未執行補充程式」(Unpatched) 統計是目標電腦的個數,這些電腦都標示著「未執行補充程式」狀態訊息。
  • 「掃描的主機總數」(TOTAL HOSTS SCANNED) 統計是「已執行 KB824146 與 KB823980 補充程式」、「已執行 KB823980 補充程式」以及「未執行補充程式」統計的總和。
  • 「停用 DCOM」(DCOM Disabled) 統計是目標電腦的個數,這些電腦都標示著「此主機停用 DCOM」狀態訊息。
  • 「需要檢查」(Needs Investigation) 統計是目標電腦的個數,這些電腦都標示著「此主機需要進一步檢查」狀態訊息。
  • 「拒絕連結」(Connection refused) 統計是目標電腦的個數,這些電腦都標示著「拒絕連結」狀態訊息。
  • 「無法連線到主機」(Host unreachable) 統計是目標電腦的個數,這些電腦都標示著「無法連線到主機」狀態訊息。
  • 「其他錯誤」(Other Errors) 統計是是目標電腦的個數,這些電腦標示著此清單中未包含的任何其他錯誤訊息。
  • 「略過的主機總數」(TOTAL HOSTS SKIPPED) 統計值是「停用 DCOM」、「需要檢查」、「拒絕連結」、「無法連線到主機」以及「其他錯誤」等統計的總和。
  • 「掃描的位址總數」(TOTAL ADDRESSES SCANNED) 統計是「掃描的主機總數」與「略過的主機總數」的總和。

KB824146Scan.exe 工具建立的記錄檔

注意 這些記錄檔建立在目前的工作資料夾中 (也就是您執行 KB824146Scan.exe 的資料夾)。根據預設,這是 64 位元版本 Windows XP 或 Windows Server 2003 的 Program Files 資料夾的 KB824146scan 子資料夾,或 Program Files (X86) 資料夾的 KB824146scan 子資料夾。
  • KB824146Scan_YYMMDD[a-z][a-z].log: 此記錄檔包含的資訊和本文<範例輸出>一節中的資訊類似。
  • Vulnerable_YYMMDD[a-z][a-z].log: 此記錄檔包含您網路上未安裝 824146 (MS03-039) 安全性補充程式的電腦的 IP 位址清單。您可以使用未經修改的 Vulnerable_YYMMDD[a-z][a-z] 檔案做為輸入檔 (Ipfile.txt),以當作「Microsoft 知識庫」文件 827227 中說明的 Patchinstall.vbs 指令碼。如果您一天執行超過一次的 KB824146Scan.exe 以執行掃描,字母 [a-z][a-z] 會新增到 Vulnerable_YYMMDD[a-z][a-z] 檔案名稱中的日期之後。例如,如果您在 2003 年 8 月 21 日執行 KB824146Scan.exe 5 次,會依序建立下列記錄檔:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    至於本文<範例輸出>一節中所說明的範例輸出,Vulnerable_YYMMDD[a-z][a-z].log 記錄檔會包含下列項目:
    10.1.1.2
    10.1.1.8

已知問題

  • 如果啟用遠端存取或檔案共用,KB824146scan.exe 工具可能會報告不正確的資訊,說明下列版本的 Windows 容易遭受攻擊:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • KB824146scan.exe 工具的原始版本 (1.00.0249 ) 無法判斷 823980 (MS03-026) 與 824146 (MS03-039) 安全性補充程式,是否已安裝在已將下列登錄機碼中的 RestrictAnonymous 值設為 1 的 Windows NT 4.0 電腦中:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    在此狀況下,KB824146scan.exe 工具會針對目標電腦報告下列錯誤狀態:cannot get workstation info: error 997 (0x000003E5). (無法取得工作站資訊:錯誤997 (0x000003E5)) 如果要判斷這些電腦是否已執行補充程式,請使用 1.00.0257 版本的 KB824146scan.exe,或手動檢查所有已開啟 RestrictAnonymous 值的 Windows NT 4.0 電腦。
  • 當您使用 KB824146scan.exe 工具時,不能在輸入檔、輸出檔、記錄檔或主機電腦的路徑中使用雙位元組字元集 (DBCS) 字元。
dcomscan ms03-026 rpc dcom patch scanner 1.0 exploit vulnerability patch rpcss
內容

文章識別碼:827363 - 最後檢閱時間:07/11/2005 05:33:57 - 修訂: 4.3

Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP 64-Bit Edition Version 2002, Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows XP Home Edition (家用版), Microsoft Windows XP Media Center Edition, Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows NT Server 4.0, Terminal Server Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbfirewall KB827363
意見反應
microsoft.com/ms.js">