home *** CD-ROM | disk | FTP | other *** search
/ One Click 11 / OneClick11.iso / Manuntencao / Reparo / SQL Server 2000 Security Tools 8 / SQLCritUpdPkg_ENU.exe / SQLScan / readme_SQLScan.txt next >
Encoding:
Text File  |  2003-02-09  |  12.5 KB  |  283 lines
  1. *******************************************************************
  2.   SQL Server 2000 SQL Scan Tool (Sqlscan.exe) 3.0 for Microsoft SQL  
  3. Server 2000 and Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
  4.                          February 09, 2003
  5. *******************************************************************
  6.              ⌐ Microsoft Corporation 2003. All rights reserved.
  7. *******************************************************************
  8. Contents
  9. 1.0 Liability Disclaimer
  10. 2.0 Introduction
  11. 3.0 Syntax 
  12. 4.0 Examples
  13. 5.0 SQL Scan Messages and Output
  14. 6.0 Language Mapping Tables
  15.  
  16. **********************************************************************
  17. 1.0 Liability Disclaimer
  18. **********************************************************************
  19. Microsoft is providing SQL Scan, to detect computers that are 
  20. vulnerable to the Slammer worm. This tool is provided AS-IS, with no 
  21. warranties of any kind, either express or implied. You should evaluate 
  22. and test the tool before using it in your environment.
  23.  
  24. As a prerequisite to using this tool, you are required to accept the 
  25. End Users License Agreement (EULA). The EULA is located in the root 
  26. directory where you downloaded the SQL Critical Update Package the 
  27. License.txt. 
  28.  
  29. *******************************************************************
  30. 2.0 Introduction
  31. *******************************************************************
  32. *NOTE: This tool is under continuing development. Future versions may 
  33. be released in the near future.
  34.  
  35. SQL Scan (Sqlscan.exe) locates instances of Microsoft SQL Server 2000 
  36. and MSDE 2000 on Windows NT 4.0, Windows 2000, Windows XP Professional 
  37. Edition, or later. SQL Scan scans an individual computer, a Windows 
  38. Domain, or a specific range of IP addresses. In addition SQL Scan 
  39. identifies instances of SQL Server 2000 and MSDE 2000 that may be 
  40. vulnerable to the Slammer worm.
  41.  
  42. *NOTE: SQL Scan must be run against a computer attached to a network; 
  43. stand-alone machines will run the tool, but will not report 
  44. vulnerabilities û instance status will be reported as unknown or 
  45. unreachable.
  46.  
  47. *NOTE: The minimum system requirement to launch SQL Scan is Windows 
  48. 2000. 
  49.  
  50. *NOTE: Shutting down an infected instance may not complete 
  51. successfully. You may need to use system management tools or manual 
  52. intervention to terminate the process.
  53.  
  54. SQL Scan does not locate instances of SQL Server 2000 and MSDE 2000 
  55. that are running on Windows 98, Windows ME, or Windows XP Home 
  56. Edition. In addition, SQL Scan does not detect instances of SQL Server 
  57. that were started from the command prompt. 
  58.  
  59. SQL Scan enumerates all instances of SQL Server 2000 and MSDE 2000 
  60. across a network. SQL Scan requires one of the following items as 
  61. input:
  62. 1) A domain
  63. 2) A range of IP addresses
  64. 3) A single machine name
  65.  
  66. SQL Scan requires the user to be a domain administrator when it is 
  67. used to target remote machines. Otherwise, you must be an 
  68. administrator on the local machine.
  69.  
  70. SQL Scan will not return a conclusive result if either the 
  71. ssnetlib.dll or sqlserver.exe files are renamed. You must name these 
  72. files back to their original names before running this tool.
  73.  
  74. SQL Scan identifies vulnerable SQL Server instances on clustered 
  75. machines, but does not disable them. Disabling and shutting down of 
  76. SQL instances must be managed manually on these machines.
  77.  
  78. SQL Scan attempts to identify the MSDE product code and MSDE package 
  79. code, if applicable to the instance being evaluated. You can find a 
  80. list of recognized MSDE product codes at 
  81. http://support.microsoft.com/default.aspx?kbid=311762 .
  82.  
  83. *******************************************************************
  84. 3.0 Syntax
  85. *******************************************************************
  86. sqlscan [-v] [-c] {-d <domain> | -m <computer> | [-n] [-t 
  87. <milliseconds>] -b <start ip> [-e <end ip> | -k <subnet mask>]} [-s]
  88.  
  89. Parameters and parameter values must be separated by a space.
  90.  
  91. -v  Return verbose results. Verbose results include file version 
  92. information for sqlservr.exe and ssnetlib.dll, instances of SQL Server 
  93. 2000 and MSDE 2000, and instances of SQL Server and MSDE 2000 that are 
  94. not vulnerable to the Slammer worm. *NOTE: Unless verbose results (-v) 
  95. are specified, only vulnerable servers are reported. 
  96.  
  97. -c  CSV output. Output is returned in CSV style text to facilitate the 
  98. loading and analysis of results by spreadsheet and database 
  99. applications. See section "5.0 SQL Scan Messages and Output" for 
  100. details.
  101.  
  102. *NOTE: if you use ûc you do not need to use ûv. Verbose results are 
  103. automatically returned with ûc.
  104.  
  105. -d  <domain> Specifies the domain to scan. SQL Scan uses the current 
  106. domain by default. For computers that are not members of a domain, 
  107. specify a range of IP addresses or a computer name. You should only 
  108. pass in the domain name and not the fully qualified DNS entry. 
  109. Entering a fully qualified DNS name (i.e. 'test.microsoft.com' rather 
  110. than just 'test') results in an error 87 indicating the parameter is 
  111. not valid. If the computer is not in a domain, or if you specify a 
  112. domain that does not exist (for example, a workgroup), you receive the 
  113. following error:
  114. ERROR: error occurred and halted processing 6118
  115. 6118 is defined as ERROR_NO_BROWSER_SERVERS_FOUND and has as a 
  116. description, "The list of servers for this workgroup is not currently 
  117. available."
  118.  
  119. -m  <computer> Specifies the computer to scan.
  120.  
  121. -n  Resolve IP addresses to computer names. This option changes the 
  122. computer name output from an IP address to a computer name. 
  123.  
  124. -t  <milliseconds> Specifies the time to wait (in milliseconds) for 
  125. each IP address resolution. The default is 1000 (10 seconds). NOTE: 
  126. The -t option only works when SQL Scan is run from a computer using 
  127. Windows XP. This parameter is recommended for a large IP address range 
  128. to improve performance.
  129.  
  130. -b  <IP address> Specifies starting IP address of an IP range to scan. 
  131. (Must be lower than the ûe parameter)
  132.  
  133. -e  <IP address> Specifies ending IP address of an IP range to scan. 
  134. (Must be higher than the ûb parameter)
  135.  
  136. -s  Shut down and disable vulnerable instances.
  137.  
  138. *NOTE: Information returned by running SQL Scan is sent to stdout. You 
  139. can redirect the output to a text file by using the redirection 
  140. features of your operating system. For more information see, "Command 
  141. Redirection Operators" in Windows XP Help or "Redirection Overview" in 
  142. Windows 2000 Help.
  143.  
  144. **********************************************************************
  145. 4.0 Example
  146. **********************************************************************
  147. To detect, shut down, and disable all vulnerable instances of SQL 
  148. Server in a domain and record the results in a file called output.txt, 
  149. type the following command in the command prompt window from the 
  150. directory in which you installed Sqlscan.exe:
  151.  
  152. sqlscan ûv -s  -m <servername> > output.txt
  153. To detect, shut down, and disable all vulnerable instances of SQL 
  154. Server in a workgroup with a specific range of IP addresses and record 
  155. the results in a file called output.txt, type the following command in 
  156. the command prompt window from the directory in which you installed 
  157. Sqlscan.exe:
  158.  
  159. sqlscan ûv ûn ûb 146.24.2.1 ûe 146.24.2.5 -s > output.txt
  160.  
  161. To return verbose results in CSV style text to a file called 
  162. output.txt, type the following command in the command prompt window 
  163. from the directory in which you installed sqlscan.exe:
  164.  
  165. sqlscan ûc ûm <servername> > output.txt
  166.  
  167. *******************************************************************
  168. 5.0 SQL Scan Messages and Output
  169. *******************************************************************
  170. For each machine that is scanned, the following is reported:
  171.  
  172. Scanning: <servername> (platform = %s, version = %s)
  173.  
  174. The following sections describe the various output messages that can 
  175. be expected for discovered instances of SQL Server 2000 and MSDE 2000.
  176.  
  177. 5.1 The message below indicates a SQL Server or MSDE instance is 
  178. vulnerable to the Slammer worm. Use the verbose mode switch (-v) to 
  179. receive this level of output:
  180. FOUND: sqlservr.exe @productversion=%s @fileversion=%s found: 
  181. ssnetlib.dll @productversion=%s @fileversion=%s
  182. ACTION REQUIRED FOR THIS INSTANCE! Run the SQL Critical Update 
  183. Utility. See readme for details.
  184. server=%s instance=%s version=%s language=%s MSDEProductCode=%s 
  185. MSDEPackageName=%s platform=%s os=%s
  186.  
  187. 5.2 The message below indicates that a SQL Server or MSDE instance is 
  188. not vulnerable to the Slammer worm, but does not have the recommended 
  189. level of security patches installed:
  190. FOUND: sqlservr.exe @productversion=%s @fileversion=%s found: 
  191. ssnetlib.dll @productversion=%s @fileversion=%s
  192. Action Recommended for this instance. Run the SQL Critical Update 
  193. Utility. See readme for details.
  194. server=%s instance=%s version=%s language=%s MSDEProductCode=%s 
  195. MSDEPackageName=%s platform=%s os=%s
  196.  
  197. 5.3 The message below indicates that a SQL Server or MSDE instance is 
  198. not vulnerable to the Slammer worm and also that it has the 
  199. recommended level of security patches applied:
  200. FOUND: sqlservr.exe @productversion=%s @fileversion=%s found: 
  201. ssnetlib.dll @productversion=%s @fileversion=%s
  202. No need to run the SQL Critical Update utility for this instance at 
  203. this time.
  204. server=%s instance=%s version=%s language=%s MSDEProductCode=%s 
  205. MSDEPackageName=%s platform=%s os=%s
  206.  
  207. 5.4 The message below indicates that SQL Scan was unable to determine 
  208. if a SQL Server or MSDE instance was vulnerable or not vulnerable to 
  209. the Slammer worm:
  210. WARNING: Unable to determine sqlservr version.
  211. server=%s instance=%s version=%s language=%s MSDEProductCode=%s 
  212. MSDEPackageName=%s platform=%s os=%s
  213.  
  214. *NOTE: You may see the above message if you have renamed or replaced 
  215. files in your SQL Server 2000 or MSDE 2000 installation. You may also 
  216. see this message if you are running disconnected from a network.
  217.  
  218. 5.5 The following message is displayed when the user does not have 
  219. permission to scan the machine. SQL Scan requires local administrator 
  220. privileges on computers that it scans. When it scans a domain or range 
  221. of IP addresses, these rights may be individually assigned on every 
  222. computer or included in the rights of a group -- for example, domain 
  223. administrators.
  224. UNREACHABLE: server=%s instance=? version=? language=?  
  225. MSDEProductCode=? MSDEPackageName=? platform=UNKNOWN os=0.0, error 
  226. 0x00000035
  227.  
  228. 5.6 The message below represents the output that you can expect when 
  229. you apply the CSV output switch (-c) to request formatted output:
  230. "Machine Name","Instance Name","Status","SQL Version","Product 
  231. Level","Language","MSDE Product Code","MSDE Package 
  232. Name","sqlservr.exe Product","sqlservr.exe File","ssnetlib.dll 
  233. Product","ssnetlib.dll File","Platform","OS Version"
  234. (The following section repeats for each instance)
  235. "<server name>","<instance name>","<status>","<SQL version>","<product 
  236. level>","<language code>","<MSDE product code>","<MSDE package 
  237. name>","<sqlservr.exe version>","<sqlservr.exe file 
  238. version>","<ssnetlib.dll version>","<ssnetlib.dll file 
  239. version>","<platform>","<OS version>"
  240.  
  241. Example:
  242. "myserver1","MSSQLSERVER","UP TO 
  243. DATE","8.0","SP3","1033","N/A","N/A","8.00.760","2000.080.0760.00","8.
  244. 00.760","2000.080.0760.00","NT","5.1"
  245.  
  246. *NOTE: "Status" will indicate one of the following:
  247. "VULNERABLE" û "ACTION REQUIRED FOR THIS INSTANCE! Run the SQL 
  248. Critical Update Utility. See readme for details."
  249. "UP TO DATE" û "No need to run the SQL Critical Update utility for 
  250. this instance at this time."
  251. "RECOMMEND PATCH" û "Action Recommended for this instance. Run the SQL 
  252. Critical Update Utility. See readme for details."
  253. "UNKNOWN" - "WARNING: Unable to determine sqlservr version."
  254. "Unknown Connection Error" - <there was an error attempting to connect 
  255. to the machine>
  256. "Unknown SSNetLib Version" û "WARNING: Unable to determine ssnetlib 
  257. version."
  258.  
  259. *NOTE: Additional documentation on MSDE Product Code and MSDE Package 
  260. Name can be found at 
  261. http://support.microsoft.com/default.aspx?kbid=321185 and in Appendix 
  262. A of the SQL Critical Update Kit readme.txt.
  263.  
  264. *******************************************************************
  265. 6.0 Language Mapping Tables
  266. *******************************************************************
  267. SQL Scan specifies the language of each instance of SQL Server 2000 
  268. and MSDE 2000 that it identifies. The language is identified by the 
  269. following language codes:
  270.  
  271. Chinese (T) 1028
  272. German 1031
  273. English 1033
  274. Spanish 1034 or 3082
  275. French 1036
  276. Italian 1040
  277. Japanese 1041
  278. Korean 1042
  279. Dutch (Netherlands) 1043
  280. Portuguese (Brazil) 1046
  281. Swedish 1053
  282. Chinese (S) 2052
  283.