Microsoft 安全公告 MS03-045 背景知识

摘要

本公告的目标读者：使用 Microsoft® Windows® 的客户
隐患的影响：本地特权提升
最高严重等级：Important
建议：客户应尽早安装该安全修补程序。
修补程序替换：无
注意事项：无
测试过的软件和修补程序下载位置：
　受影响的软件
　　· Windows NT Workstation 4.0 - 下载修补程序
　　· Windows NT Server 4.0 - 下载修补程序
　　· Windows NT Server 4.0, Terminal Server Edition - 下载修补程序
　　· Windows 2000 Service Pack 3 或 Service Pack 4 - 下载修补程序
　　· Windows 2000 Service Pack 2 - 下载修补程序
　　· Windows XP - 下载修补程序
　　· Windows XP 64 位版本 - 下载修补程序
　　· Windows XP 64 位版本（2003 版） - 下载修补程序
　　· Windows Server 2003 - 下载修补程序
　　· Windows Server 2003 64 位版本 - 下载修补程序
　不受影响的软件
　　· Windows Me

已对上面列出的软件进行了测试，以确定所列出的版本是否受到影响。其他版本不再受支持，它们可能会也可能不会受到影响。

  详细技术资料

技术说明：

存在漏洞的原因是，"列表框"控件和"组合框"控件都调用了同一个函数（该函数位于 User32.dll 文件中），该函数存在缓冲区溢出。该函数不能正确验证从专门制作的 Windows 消息发送的参数。Windows 消息为交互进程响应用户事件（例如击键或鼠标移动）以及与其他交互进程进行通讯提供了一种方法。存在安全漏洞的原因是，向用户提供辅助功能选项列表的函数不能正确验证发送到该函数的 Windows 消息。交互式桌面中的一个进程可以使用特定的 Windows 消息让"列表框"控件和"组合框"控件执行任意代码。只要程序的运行级别是高特权级别（例如，Windows 2000 Utility Manager），任何实现了"列表框"控件或"组合框"控件的程序都允许以管理凭据的高特权级别执行代码。这可能包括第三方应用程序。

能以交互方式登录系统的攻击者可以运行一个程序，该程序能够向任何实现了"列表框"控件或"组合框"控件的应用程序发送专门制作的 Windows 消息，导致该应用程序执行攻击者指定的任何操作。这可能使攻击者通过使用 Windows 2000 Utility Manager 完全控制系统。

减轻影响的因素：

• 攻击者必须拥有有效的登录凭据才能利用此漏洞。此漏洞无法远程利用。
  
• 该漏洞对受正确保护的系统的威胁较小。建议的标准最佳做法是，只允许受信任的用户以交互方式登录系统。
  
• Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003 都受"列表框"控件和"组合框"控件中该漏洞的影响。不过，在 Windows XP 和 Windows Server 2003 中，Utility Manager 在登录用户的上下文中运行，并且不允许特权升级。Windows NT 4.0 没有实现 Utility Manager。

严重等级：

Microsoft Windows NT 4.0	低
Microsoft Windows NT Server 4.0, Terminal Server Edition	低
Microsoft Windows 2000	重要
Microsoft Windows XP	低
Microsoft Windows Server 2003	低

上述评估基于受漏洞影响的系统类型、其典型的部署模式以及利用此漏洞可能对系统产生的影响作出的。
漏洞标识符： CAN-2003-0659

  变通办法

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于封堵已知的攻击矛头。在某些情况下，变通办法可能会导致功能下降--下面就此类情况进行了说明。

• 通过软件策略禁用所有受到影响的系统上的 Utility Manager
  既然 Utility Manager Service 是一个可能的攻击矛头，那就可以使用 Active Directory 中或"本地安全策略"中的软件限制策略来禁用它。Utility Manager 进程的名称是 utilman.exe。您可以使用下面的软件限制策略指南来协助禁止用户访问该文件：
  • Using Software Restriction Policies to Protect Against Unauthorized Software
    （使用软件限制策略保护未经授权的软件）
  • HOW TO: Use Software Restriction Policies in Windows Server 2003 (324036)
    （在 Windows Server 2003 中使用软件限制策略）
  • Protect Your System from Viruses (Using Software Restriction Polices)
    （使用软件限制策略保护系统免遭病毒攻击）
  • To create new software restriction policies（创建新的软件限制策略）

  禁用 Utility Manager 有什么副作用吗？
  有，Utility Manager Service 提供了多种操作系统辅助功能。取消限制后，它们才可用。

常见问题解答

该漏洞的范围有多大？

这是一种缓冲区溢出漏洞。成功利用此 Windows 2000 漏洞的攻击者有可能获得对计算机的完全控制。这会使攻击者可以在系统上执行其希望的任意操作，例如添加、删除或修改数据。这还会使攻击者可以创建或删除用户帐户，或者向本地管理员组添加帐户。
只有具有凭据、可以以交互方式登录该计算机的攻击者才能利用此漏洞。由于受限制的用户一般不允许登录到任务关键的服务器，所以此漏洞主要发生在工作站和终端服务器上。

只要程序的运行级别是高特权级别（例如，Windows 2000 Utility Manager 实用工具），任何实现了"列表框"控件或"组合框"控件（这两个控件在 User32.dll 文件中）的应用程序都允许以高特权级别执行代码。这可能包括第三方应用程序。

此漏洞因何而起？

存在漏洞的原因是，"列表框"控件和"组合框"控件都调用了同一个函数（该函数位于 User32.dll 文件中），该函数存在缓冲区溢出。该函数不能正确验证从专门制作的 Windows 消息发送的参数。

什么是 Utility Manager？

Utility Manager 是一个辅助功能实用程序，它可以使用户检查辅助功能程序如 Microsoft Magnifier（Microsoft 放大镜）、Narrator（讲解者）、On-Screen Keyboard（屏幕键盘）的状态，并启动或停止这些功能。

什么是 Windows 消息？

运行在 Windows 上的进程通过使用消息与系统和其他进程交互。例如，用户每次按键盘上的一个键、移动鼠标或单击控件（如滚动条）时，Windows 都会生成一条信息。该消息的目的是警告程序已发生用户事件，并将该事件中的数据传递到程序中。类似地，程序可以通过生成消息来允许它控制的不同窗口互相通信。

列表框控件处理 Windows 消息的方式存在什么问题？

当"列表框"控件和"组合框"控件向用户提供可用辅助功能函数列表时，"列表框"控件和"组合框"控件使用函数处理消息的方式存在缺陷。被调用的函数不能正确验证发送给它的 Windows 消息。在 Windows 2000 上运行 Utility Manager 时，其他进程可能也在该系统上运行，并且可能向 Utility Manager 发送专门制作的消息。在 Windows 2000 上，Utility Manager 运行在本地系统的上下文中。该上下文拥有比登录用户更高的管理凭据级别，允许执行任意代码。

为什么这会造成安全漏洞？

"列表框"控件和"组合框"控件中的缺陷为进程提供了一种使 Utility Manager 在 Windows 2000 上运行任意代码的方式。虽然它不在最佳做法准则中，但第三方应用程序可能会使用本地系统上下文中的"列表框"控件或"组合框"控件。

攻击者可能利用该漏洞执行什么操作？

要利用此漏洞，攻击者必须首先在 Windows 2000 上启动 Utility Manager，然后运行可以利用"列表框"控件和"组合框"控件中此漏洞的专门设计的应用程序。Windows 2000 的默认配置为：已安装但未运行 Utility Manager。此漏洞允许攻击者获得对 Windows 2000 上的该系统的完全控制。

哪些人可能利用该漏洞？

要利用此漏洞，攻击者必须能够登录到该系统，启动 Utility Manager，并执行一个利用了此漏洞并向 Utility Manager 发送专门制作的消息的程序。

列表框控件或组合框控件的哪些版本容易受到此攻击？

Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003 受此漏洞影响。但是，Windows XP 和 Windows Server 2003 版本的 Utility Manager 不允许权限升级，因为 Utility Manager 是在登录用户上下文中运行的。Windows NT 4.0 没有实现 Utility Manager，但存在该漏洞的函数仍然存在于 User32.dll 文件中。

我正在使用 Windows 2000，但是我没有使用 Utility Manager 或任何辅助功能，我仍然容易受到攻击吗？

是--已默认安装并启用 Utility Manager。

受此漏洞威胁最大的系统是哪些？

工作站和终端服务器受到的威胁最大。只有当没有足够管理凭据的用户能够登录到服务器并运行程序时，服务器才会有危险。不过，最佳做法是不允许这样做。

是否可以通过 Internet 利用此漏洞？

不可以。攻击者必须能够登录到他们要攻击的特定系统上。攻击者无法远程加载和运行程序。

此修补程序有何作用？

此修补程序解决了该漏洞，其方法是改变"列表框"控件和"组合框"控件所使用的函数用来处理 Windows 消息的方式，已使传递的参数得以正确验证。

安全修补程序信息

安装平台和先决条件：
有关用于您的平台的特定安全修补程序的信息，请单击相应链接：

Windows Server 2003（所有版本）

先决条件
此安全修补程序要求 Windows Server 2003 的已发布版本。

安装信息
此安全修补程序支持以下安装开关：

/?: 显示安装开关的列表。
/u: 使用无人参与模式。
/f: 强制其他程序在关机时退出。
/n: 不备份用于卸载的文件。
/o: 不经提示而覆盖 OEM 文件。
/z: 安装完成后不重新启动。
/q: 使用安静模式（没有用户交互）。
/l: 列出已安装的即时修订程序。
/x: 解压缩文件，但不运行安装程序。

部署信息

要在没有任何用户干预的情况下安装安全修补程序，请使用以下命令行：
Windowsserver2003-Error! Unknown document property name.-x86-enu /u /q
要在不强制计算机重新启动的情况下安装安全修补程序，请使用以下命令行：
Windowsserver2003-Error! Unknown document property name.-x86-enu /z
注意 您可以在一个命令行中组合使用这些开关。

有关如何使用 Microsoft Software Update Services 部署此安全修补程序的信息，请访问以下 Microsoft Web 站点：
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp

重新启动要求

在应用了此安全修补程序后，您必须重新启动计算机。

删除信息

要删除此更新，请使用"控制面板"中的"添加或删除程序"工具。

系统管理员可以使用 Spuninst.exe 实用工具来删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB824141$\Spuninst 文件夹中，它支持以下安装开关：

• /?: 显示安装开关列表。
• /u: 使用无人参与模式。
• /f: 强制其他程序在关机时退出。
• /z: 安装完成后不重新启动。
• /q: 使用安静模式（没有用户交互）。

文件信息

此修订程序的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间以协调通用时间 (UTC) 列出。当您查看文件信息时，该信息将转换为本地时间。要了解 UTC 和本地时间之间的时差，请使用"控制面板"的"日期和时间"工具中的"时区"选项卡。

Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Datacenter Edition：

日期	时间	版本	大小	文件名	文件夹
06-Aug-2003	21:44	5.2.3790.73	575,488	User32.dll	RTMGDR
06-Aug-2003	21:41	5.2.3790.73	575,488	User32.dll	RTMQFE

Windows Server 2003, 64 位 Enterprise Edition 和 Windows Server 2003, 64 位 Datacenter Edition：

日期	时间	版本	大小	文件名	平台	文件夹
06-Aug-2003	21:44	5.2.3790.73	1,372,672	User32.dll	IA64	RTMGDR
06-Aug-2003	21:44	5.2.3790.73	567,296	Wuser32.dll	x86	RTMGDR\WOW
06-Aug-2003	21:43	5.2.3790.73	1,372,672	User32.dll	IA64	RTMQFE
06-Aug-2003	21:41	5.2.3790.73	567,296	Wuser32.dll	x86	RTMQFE\WOW

注意 在基于 Windows Server 2003 或 Windows XP 64 位版本（2003 版）的计算机上安装此安全修补程序时，安装程序会检查计算机上当前要更新的文件中是否有被 Microsoft 即时修订程序更新过的文件。如果以前安装的即时修订程序已更新过其中的某个文件，安装程序会将 RTMQFE 文件复制到您的计算机。否则，安装程序会将 RTMGDR 文件复制到您的计算机。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

824994 Description of the Contents of a Windows Server 2003 Product Update Package（对 Windows Server 2003 产品更新软件包内容的描述）

验证修补程序安装
要验证您的计算机上是否安装了安全修补程序，请使用 Microsoft 基准安全分析器 (MBSA) 工具。有关 MBSA 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

320454 Microsoft Baseline Security Analyzer Version 1.1.1 Is Available（Microsoft 基准安全分析器 1.1.1 版现已发布）

您还可以通过查看以下注册表项验证此安全修补程序安装了哪些文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824141\Filelist

注意 如果管理员或 OEM 将 824141 安全修补程序集成或后期集成到 Windows 安装源文件中，此注册表项可能未正确创建。

Windows XP（所有版本）

注意 对于 Windows XP 64 位版本（2003 版），此安全修补程序与 Windows Server 2003 的 64 位版本的安全修补程序相同。

有关如何下载 Microsoft 支持文件的其他信息，请单击以下文章编号，查看 Microsoft 知识库中的文章：

119591 如何从联机服务获取 Microsoft 支持文件

Microsoft 对此文件进行了病毒扫描。Microsoft 使用了发布该文件之日可用的最新病毒检测软件。该文件存储在安全增强型服务器上，这有助于防止对此文件进行任何未经授权的更改。

先决条件

此安全修补程序要求 Windows XP 或 Windows XP Service Pack 1 (SP1) 的已发布版本。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

322389 How to Obtain the Latest Windows XP Service Pack（如何获得最新的 Windows XP Service Pack）

安装信息
此安全修补程序支持以下安装开关：

/?: 显示安装开关列表。
/u: 使用无人参与模式。
/f: 当计算机关闭时强制其他程序退出。
/n: 不备份用于卸载的文件。
/o: 不经提示而覆盖 OEM 文件。
/z: 安装完成时不重新启动。
/q: 使用安静模式（没有用户交互）。
/l: 列出已安装的即时修订程序。
/x: 解压缩文件，但不运行安装程序。

部署信息

要在没有任何用户干预的情况下安装安全修补程序，请使用以下命令行：

Windowsxp-Error! Unknown document property name.-x86-enu /u /q

要在不强制计算机重新启动的情况下安装安全修补程序，请使用以下命令行：

Windowsxp-Error! Unknown document property name.-x86-enu /z

注意 您可以在一个命令行中组合使用这些开关。

有关如何使用 Software Update Services 部署此安全修补程序的信息，请访问以下 Microsoft Web 站点：http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp

重新启动要求

在应用了此安全修补程序后，您必须重新启动计算机。

删除信息

要删除此安全修补程序，请使用"控制面板"中的"添加或删除程序"工具。

系统管理员可使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB824141$\Spuninst 文件夹，它支持以下设置开关：

/?: 显示安装开关列表。
/u: 使用无人参与模式。
/f: 当计算机关闭时强制其他程序退出。
/z: 安装完成时不重新启动。
/q: 使用安静模式（没有用户交互）。

文件信息
此修补程序的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用"控制面板"的"日期和时间"工具中的"时区"选项卡。

Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition：

日期	时间	版本	大小	文件名	文件夹
26-Sep-2003	18:51	5.1.2600.118	528,896	User32.dll	pre-SP1)
19-May-2003	17:28	5.1.2600.115	1,671,296	Win32k.sys	pre-SP1)
03-Oct-2003	23:18	5.1.2600.1301	32,256	Msgsvc.dll	(with SP1)
25-Sep-2003	16:49	5.1.2600.1255	560,128	User32.dll	(with SP1)

Windows XP 64 位版本（2002 版）：

日期	时间	版本	大小	文件名	平台
29-Sep-2003	23:03	5.1.2600.118	1,480,704	User32.dll	IA64 (pre-SP1)
19-May-2003	17:28	5.1.2600.115	5,534,848	Win32k.sys	IA64 (pre-SP1)
19-May-2003	17:30	5.1.2600.115	889,344	Wow64win.dll	IA64 (pre-SP1)
28-Aug-2003	23:03	5.1.2600.118	555,520	Wuser32.dll	X86 (pre-SP1)
06-Oct-2003	18:43	5.1.2600.1255	1,482,752	User32.dll	IA64  (with SP1)
22-Sep-2003	21:34	5.1.2600.1275	5,622,528	Win32k.sys	IA64 (with SP1)
05-Aug-2003	22:28	5.1.2600.1255	556,544	Wuser32.dll	X86 (with SP1)

Windows XP 64 位版本（2003 版）：

日期	时间	版本	大小	文件名	平台	文件夹
06-Aug-2003	21:44	5.2.3790.73	1,372,672	User32.dll	IA64	RTMGDR
06-Aug-2003	21:44	5.2.3790.73	567,296	Wuser32.dll	x86	RTMGDR\WOW
06-Aug-2003	21:43	5.2.3790.73	1,372,672	User32.dll	IA64	RTMQFE
06-Aug-2003	21:41	5.2.3790.73	567,296	Wuser32.dll	x86	RTMQFE\WOW

备注

安装 Windows XP 64 位版本（2003 版）时，安装程序会检查您的计算机上当前要更新的文件中是否有被 Microsoft 即时修订程序更新过的文件。如果以前安装的即时修订程序已更新过其中的某个文件，安装程序会将 RTMQFE 文件复制到您的计算机。否则，安装程序会将 RTMGDR 文件复制到您的计算机。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

824994 Description of the Contents of a Windows Server 2003 Product Update Package（对 Windows Server 2003 产品更新软件包内容的描述）

此安全修补程序的 Windows XP 和 Windows XP 64 位版本（2002 版）已打包为双模式软件包。双模式软件包包含了用于 Windows XP 初始版本和 Windows XP Service Pack 1 (SP1) 的文件。有关双模式软件包的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

328848 Description of Dual-Mode Hotfix Packages for Windows XP（对用于 Windows XP 的双模式即时修订程序软件包的描述）

验证修补程序安装

要验证您的计算机上是否安装了安全修补程序，请使用 Microsoft 基准安全分析器 (MBSA) 工具。有关 MBSA 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

320454 Microsoft Baseline Security Analyzer Version 1.1.1 Is Available（Microsoft 基准安全分析器 1.1.1 版现已发布）

您还可以通过查看以下注册表项验证此安全修补程序安装了哪些文件：
Windows XP Home Edition SP1；Windows XP Professional SP1；Windows XP 64 位版本（2002 版）SP1；Windows XP Tablet PC Edition；Windows XP Media Center Edition 对应的注册表项为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824141\Filelist

Windows XP Home Edition；Windows XP Professional；Windows XP 64 位版本（2002 版）对应的注册表项为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824141\Filelist

Windows XP 64 位版本（2003 版）对应的注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824141\Filelist

注意 如果管理员或 OEM 将 824141 安全修补程序集成或后期集成到 Windows 安装源文件中，此注册表项可能未正确创建。

Windows 2000（所有版本）

先决条件
对于 Windows 2000，此安全修补程序要求 Service Pack 2 (SP2)、Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。

有关 Windows 桌面产品生命周期的信息，请访问以下 Microsoft Web 站点：
http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx

有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：
260910 How to Obtain the Latest Windows 2000 Service Pack（如何获取最新的 Windows 2000 Service Pack）

安装信息
此安全修补程序支持以下安装开关：

/?: 显示安装开关列表。
/u: 使用无人参与模式。
/f: 当计算机关闭时强制其他程序退出。
/n: 不备份用于卸载的文件。
/o: 不经提示而覆盖 OEM 文件。
/z: 安装完成时不重新启动。
/q: 使用安静模式（没有用户交互）。
/l: 列出已安装的即时修订程序。
/x: 解压缩文件，但不运行安装程序。

部署信息
要在没有任何用户干预的情况下安装安全修补程序，请使用以下命令行：

对于 Windows 2000 Service Pack 3、Windows 2000 Service Pack 4：

Windows2000-Error! Unknown document property name.-x86-enu /u /q

对于 Windows 2000 Service Pack 2：

Windows2000-Error! Unknown document property name.-x86-enu-customservicepacksupport /u /q

要在不强制计算机重新启动的情况下安装安全修补程序，请使用以下命令行：

对于 Windows 2000 Service Pack 3、Windows 2000 Service Pack 4：

Windows2000-Error! Unknown document property name.-x86-enu /z

对于 Windows 2000 Service Pack 2：

Windows2000-Error! Unknown document property name.-x86-enu-customservicepacksupport /z

注意 您可以在一个命令行中组合使用这些开关。

有关如何使用 Software Update Services 部署此安全修补程序的信息，请访问以下 Microsoft Web 站点：
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp

重新启动要求

在应用了此安全修补程序后，您必须重新启动计算机。

删除信息

要删除此安全修补程序，请使用"控制面板"中的"添加/删除程序"工具。

系统管理员可使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB824141$\Spuninst 文件夹，它支持以下设置开关：

/?: 显示安装开关列表。
/u: 使用无人参与模式。
/f: 当计算机关闭时强制其他程序退出。
/z: 安装完成时不重新启动。
/q: 使用安静模式（没有用户交互）。

文件信息
此修补程序的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用"控制面板"的"日期和时间"工具中的"时区"选项卡。
Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4：

日期	时间	版本	大小	文件名
05-Aug-2003	22:14	5.00.2195.6738	42,256	Basesrv.dll
17-Jan-2003	16:06	5.00.2195.6656	236,304	Cmd.exe
05-Aug-2003	22:14	5.00.2195.6762	222,992	Gdi32.dll
05-Aug-2003	22:14	5.00.2195.6794	711,440	Kernel32.dll
05-Aug-2003	22:14	5.00.2195.6789	333,072	Msgina.dll
08-Apr-2003	05:54	5.00.2195.6701	90,232	Rdpwd.sys
15-Jul-2003	22:08	5.00.2195.6776	4,858,368	Sp3res.dll
05-Aug-2003	22:14	5.00.2195.6799	380,176	User32.dll
05-Aug-2003	22:14	5.00.2195.6794	385,808	Userenv.dll
22-Jul-2003	23:32	5.00.2195.6790	1,628,912	Win32k.sys
17-Jul-2003	17:20	5.00.2195.6785	182,032	Winlogon.exe
05-Aug-2003	22:14	5.00.2195.6775	243,984	Winsrv.dll

验证修补程序安装
要验证您的计算机上是否安装了安全修补程序，请使用 Microsoft 基准安全分析器 (MBSA) 工具。有关 MBSA 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

320454 Microsoft Baseline Security Analyzer Version 1.1.1 Is Available（Microsoft 基准安全分析器 1.1.1 版现已发布）

您还可以通过查看以下注册表项验证此安全修补程序安装了哪些文件：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824141\Filelist

注意 如果管理员或 OEM 将 824141 安全修补程序集成或后期集成到 Windows 安装源文件中，此注册表项可能未正确创建。

Windows NT 4.0 （所有版本）

先决条件
此安全修补程序要求 Windows NT Workstation 4.0 Service Pack 6a (SP6a)、Windows NT Server 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0, Terminal Server Edition、Service Pack 6 (SP6)。

有关 Windows 桌面产品生命周期的信息，请访问以下 Microsoft Web 站点：
http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx

有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：
152734 如何获取最新的 Windows NT 4.0 Service Pack

安装信息
此安全修补程序支持以下安装开关：

/y: 执行删除（仅与 /m 或 /q 一同使用）。
/f: 关机过程中强制程序退出。
/n: 不创建 Uninstall 文件夹。
/z: 更新完成时不重新启动。
/q: 使用安静或无人参与模式，没有用户界面（此开关是 /m 开关的超集）。
/m: 使用无人参与模式，有用户界面。
/l: 列出已安装的即时修订程序。
/x: 解压缩文件，但不运行安装程序。

部署信息
要在没有任何用户干预的情况下安装安全修补程序，请使用以下命令行：
对于 Windows NT Server 4.0、Windows NT Server 4.0, Terminal Server Edition：
Windowsnt4server-Error! Unknown document property name.-x86-enu /q
对于 Windows NT Workstation 4.0：
Windowsnt4workstation-Error! Unknown document property name.-x86-enu /q

要在不强制计算机重新启动的情况下安装安全修补程序，请使用以下命令行：
对于 Windows NT Server 4.0、Windows NT Server 4.0, Terminal Server Edition：
Windowsnt4server-Error! Unknown document property name.-x86-enu /z
对于 Windows NT Workstation 4.0：
Windowsnt4workstation-Error! Unknown document property name.-x86-enu /z

注意 您可以在一个命令行中组合使用这些开关。

有关如何使用 Software Update Services 部署此安全修补程序的信息，请访问以下 Microsoft Web 站点：
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp

重新启动要求
在应用了此安全修补程序后，您必须重新启动计算机。

删除信息
要删除此安全修补程序，请使用"控制面板"中的"添加/删除程序"工具。

系统管理员可以使用 Hotfix.exe 实用工具删除此安全修补程序。此 Hotfix.exe 实用工具位于 %Windir%\$NTUninstallKB824141$ 文件夹中。该实用工具支持以下安装开关：

/y: 执行删除（仅与 /m 或 /q 一同使用）。
/f: 关机过程中强制程序退出。
/n: 不创建 Uninstall 文件夹。
/z: 安装完成时不重新启动。
/q: 使用安静或无人参与模式，没有用户界面（此开关是 /m 开关的超集）。
/m: 使用无人参与模式，有用户界面。
/l: 列出已安装的即时修订程序。

文件信息
此修补程序的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用"控制面板"的"日期和时间"工具中的"时区"选项卡。

对于 Windows NT Workstation 4.0、Windows NT Server 4.0：

日期	时间	版本	大小	文件名
06-Aug-2003	09:04	4.00	169,744	Gdi32.dll
06-Aug-2003	09:04	4.00/td>	326,928/td>	User32.dll
21-Jul-2003	13:50	4.00	1,255,152	Win32k.sys
06-Aug-2003	09:04	4.00	175,888	Winsrv.dll

对于 Windows NT Server 4.0, Terminal Server Edition：

日期	时间	版本	大小	文件名
06-Apr-2002	01:38	4.00	170,256	Gdi32.dll
06-Aug-2003	10:19	4.00	332,048	User32.dll
01-Jul-2003	13:45	4.00	1,280,432	Win32k.sys
12-Nov-2002	00:09	4.00	196,368	Winsrv.dll

验证修补程序安装
要验证您的计算机上是否安装了安全修补程序，请使用 Microsoft 基准安全分析器 (MBSA) 工具。有关 MBSA 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中的文章：

320454 Microsoft Baseline Security Analyzer Version 1.1.1 Is Available（Microsoft 基准安全分析器 1.1.1 版现已发布）

您还可以通过查看以下注册表项验证此安全修补程序安装了哪些文件：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824141\File 1

注意 如果管理员或 OEM 将 824141 安全修补程序集成或后期集成到 Windows 安装源文件中，此注册表项可能未正确创建。

安全性资源：

Microsoft TechNet SecurityWeb 站点提供了有关 Microsoft 产品中的安全性的其他信息。

免责声明：

Microsoft 知识库中的信息“按原样”提供，不含任何形式的担保。Microsoft 不作任何明示或默示的保证，包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、后果性的损害，商业利润损失，或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知发生此类损害的可能性。有些州不允许排除或限制后果性的或偶然的损害赔偿责任，因此上述限制可能不适用。