您必须知道的有关震荡波(Sasser)蠕虫及其变种的消息

LSASS 中存在一个缓冲区溢出漏洞，此漏洞允许在受影响的系统上远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	只有 Windows 2000 和 Windows XP 可能遭受匿名用户的远程攻击。而 Windows Server 2003 和 Windows XP 64-Bit Edition Version 2003 中虽然包含此漏洞，但只有本地管理员才能利用此漏洞。
•	Windows NT 4.0 不受此漏洞的影响。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业防线外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。

Top of section

Microsoft 已测试过以下变通办法。虽然这些变通办法不会从根本上消除漏洞，但它们有助于阻塞已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•	使用个人防火墙，如 Internet 连接防火墙，该防火墙包含在 Windows XP 和 Windows Server 2003 中。 如果使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙功能来帮助保护 Internet 连接，该防火墙在默认情况下阻塞非法入站通信。Microsoft 建议您阻塞所有来自 Internet 的非法入站通信。 要使用网络安装向导启用 Internet 连接防火墙功能，请按照以下步骤进行操作： 1. 单击"开始"，然后单击"控制面板"。 2. 在默认的"分类视图"中，单击"网络和 Internet 连接"，然后单击"设置或更改您的家庭或小型办公网络"。在"网络安装向导"中将系统配置为直接连接至 Internet 后，就启用了 Internet 连接防火墙功能。 要为连接手动配置 Internet 连接防火墙，请按照以下步骤进行操作： 1. 单击"开始"，然后单击"控制面板"。 2. 在默认的"分类视图"中，单击"网络和 Internet 连接"，然后单击"网络连接"。 3. 右键单击要启用"Internet 连接防火墙"的连接，然后单击"属性"。 4. 单击"高级"选项卡。 5. 单击以选中"通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络"复选框，然后单击"确定"。 注意 ：如果想通过防火墙启用某些程序和服务，请单击"高级"选项卡上的"设置"，然后选择所需的程序、协议和服务。
•	在防火墙处阻塞以下内容： • UDP 端口 135、137、 138、445；TCP 端口 135、139、445、593 • 端口号大于 1024 的端口上的所有非法入站通信 • 任何其他特殊配置的 RPC 端口 这些端口用于启动与 RPC 的连接。将其阻塞在防火墙处，有助于保护位于防火墙后面的系统免受利用此漏洞进行的攻击。此外，还要确保阻塞远程系统上任何其他特殊配置的 PRC 端口。Microsoft 建议阻塞所有来自 Internet 的未经请求的入站通信，以帮助阻止可能使用其他端口进行的攻击。有关 PRC 使用的端口的更多信息，请访问以下 Web 站点。
•	在支持高级 TCP/IP 筛选功能的系统上启用此功能。 可以启用高级 TCP/IP 筛选功能来阻塞所有非法入站通信。有关如何配置 TCP/IP 筛选功能的更多信息，请参见 Microsoft 知识库文章309798。
•	在受影响的系统上使用 IPSec来阻塞受影响的端口。 使用 Internet 协议安全 (IPSec) 有助于保护网络通信。有关 IPSec 以及如何应用筛选器的详细信息，请参见 Microsoft 知识库文章 313190 和 813878。

Top of section

此漏洞的影响范围有多大？
这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？
LSASS 服务中未经检查的缓冲区。

什么是 LSASS？
本地安全验证子系统服务 (LSASS) 提供了一个用于管理本地安全、域身份验证和 Active Directory 进程的接口。它处理客户端和服务器的身份验证。它还包含一些用于支持 Active Directory 实用程序的功能。

攻击者可能利用此漏洞执行什么操作？
成功利用此漏洞的攻击者可以完全控制受影响的系统。

哪些人可能利用此漏洞？
在 Windows 2000 和 Windows XP 上，任何可向受影响的系统传送特制消息的匿名用户都有可能尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可以通过下面这种方式利用此漏洞：创建一个特制消息，并将该消息发送到受影响的系统，这样就可能导致受影响的系统执行代码。

攻击者还可以通过其他媒介访问受影响的组件。例如，攻击者可以通过交互方式登录到系统，或者通过使用其他程序将参数传递给容易受到攻击的组件（本地或远程）的方式登录到系统。

受此漏洞威胁最大的系统是哪些？
Windows Server 2003 和 Windows XP 64-Bit Edition Version 2003 提供了额外的保护，只有以管理员身份在本地登录到受影响的系统才能利用此漏洞。

此更新能做什么？
此更新通过修改 LSASS 在将消息传递到分配缓冲区之前验证消息长度的方式来消除此漏洞。

此更新还从 Windows 2000 Professional 和 Windows XP 中去除容易受到攻击的代码，因为这些操作系统不需要易受攻击的接口。这有助于保护系统免受此服务中以后可能出现的漏洞的影响。

Top of section

存在一个拒绝服务漏洞，攻击者利用此漏洞可以向 Windows 2000 域控制器发送特制的 LDAP 消息。攻击者可能造成负责对 Active Directory 域中的用户进行身份验证的服务停止响应。

•	要利用此漏洞，攻击者必须向域控制器发送特制的 LDAP 消息。如果防火墙没有阻塞 LDAP 端口，则攻击者不需要任何其他权限就可以利用此漏洞。
•	此漏洞只对 Windows 2000 Server 域控制器有影响；而对 Windows Server 2003 域控制器没有影响。
•	Windows NT 4.0 和 Windows XP 不受此漏洞的影响。
•	如果攻击者成功利用了此漏洞，则受影响的系统可能会显示一条警告，指示系统将在 60 秒倒计时后自动重新启动。在 60 秒倒计时结束后，受影响的系统将自动重新启动。重新启动后，受影响系统的功能将恢复正常。但是，除非应用此更新，否则该系统仍然易于遭受新的拒绝服务攻击。
•	采用防火墙最佳做法和标准默认防火墙配置，有助于保护网络免受来自企业防线外部的攻击。根据最佳做法的，应使连接到 Internet 的系统所暴露的端口数尽可能少。

Top of section

Microsoft 已测试过以下变通办法。虽然这些变通办法不会从根本上消除漏洞，但它们有助于阻塞已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•	在防火墙处阻塞 LDAP TCP 端口 389、636、3268 和 3269。 这些端口用于启动与 Windows 2000 域控制器的 LDAP 连接。在防火墙处阻塞这些端口有助于保护位于防火墙后面的系统免受从企业防线外部利用此漏洞发起的攻击。虽然其他端口也可能被用来利用此漏洞，但列出的这些端口是最常见的攻击媒介。Microsoft 建议您阻塞所有来自 Internet 的非法入站通信，以帮助阻止可能使用其他端口进行的攻击。 变通办法的影响： 在阻塞了这些端口的网络连接上，将无法进行 Active Directory 域身份验证。

Top of section

此漏洞的范围有多大？

这是一个拒绝服务漏洞。利用此漏洞的攻击者可能会导致服务器自动重新启动，而且在此期间，还会使服务器停止响应身份验证请求。此漏洞存在于执行域控制器角色的 Windows 2000 Server 系统中。对其他 Windows 2000 系统的影响仅仅是：如果客户端的域控制器停止响应，则客户端可能无法登录到域。

此漏洞因何而起？

本地安全验证子系统服务对特制 LDAP 消息的处理方式。

什么是 LDAP？

轻型目录访问协议 (LDAP) 是一种行业标准协议，它使得到授权的用户能够查询或修改元目录中的数据。例如，在 Windows 2000 中，LDAP 协议用于访问 Active Directory 中的数据。

处理特制 LDAP 消息的方式有什么问题？

攻击者可以向 LSASS 服务发送特制的 LDAP 消息，从而导致 LSASS 服务停止响应。

什么是 LSASS？

本地安全验证子系统服务提供了一个用于管理本地安全、域身份验证和 Active Directory 进程的接口。它处理客户端和服务器的身份验证。它还包含一些用于支持 Active Directory 实用程序的功能。

攻击者可能利用此漏洞执行什么操作？

利用此漏洞的攻击者可以导致 LSASS 停止响应，并使受影响的系统重新启动。受影响的系统可能会显示一条警告，指示系统将在 60 秒倒计时后自动重新启动。在 60 秒倒计时期间，既不能在受影响系统的控制台上执行身份验证，也不能向受影响的系统执行用户域身份验证。在 60 秒倒计时结束后，受影响的系统将自动重新启动。如果用户不能向受影响的系统执行域身份验证，就可能无法访问域资源。重新启动后，受影响系统的功能将恢复正常。但是，除非应用此更新，否则该系统仍然容易遭受新的拒绝服务攻击。

哪些人可能利用此漏洞？

任何可向受影响的系统传送特制 LDAP 消息的匿名用户都有可能利用此漏洞。

攻击者能够如何利用此漏洞？

攻击者可以通过下面的方式来利用此漏洞：向一个或多个林中的域控制器发送特制的 LDAP 消息，从而有可能导致整个企业中的域身份验证拒绝服务。这样会导致 LSASS 停止响应，并使受影响的系统重新启动。攻击者不需要具有域中的有效用户帐户就可以发送这种特制的 LDAP 消息。这种攻击可以通过使用匿名访问来实施。

受此漏洞威胁最大的系统是哪些？

只有 Windows 2000 域控制器容易受影响。

我运行的是 Windows 2000。必须更新什么系统？

必须在用作 Windows 2000 域控制器的系统上安装解决此漏洞的更新。不过，在充当其他角色的 Windows 2000 Servers 上也可以安全地安装此更新。Microsoft 建议您将此更新安装到将来可能提升为域控制器的系统上。

此更新能做什么？

此更新通过修改 LSASS 对特制 LDAP 消息的处理方式来消除此漏洞。

Top of section

专用通信传输 (PCT) 协议中存在一个缓冲区溢出漏洞，该协议是 Microsoft 安全套接字层 (SSL) 库的一部分。只有启用了 SSL 的系统（在某些情况下还包括 Windows 2000 域控制器）容易受到攻击。成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	只有启用了 SSL 的系统才会受到影响，通常只影响服务器系统。在任何受影响的系统中，默认情况下都不启用 SSL 支持。但是，在 Web 服务器上通常要使用SSL，以支持电子商务程序、网上银行和其他需要安全通信的程序。
•	只有当管理员手动启用了 PCT（即使已经启用 SSL）时，Windows Server 2003 才会受到此问题的影响。
•	在某些情况下，ISA Server 2000 或 Proxy Server 2.0 的 Web 发布功能可以成功阻止利用此漏洞的尝试。测试已显示 ISA Server 2000 的 Web 发布功能（启用了数据包筛选功能并选择了所有的数据包筛选选项）可以成功阻止此攻击，而且不会有任何显著的负面影响。Proxy Server 2.0 也可以成功阻止此攻击。但是，在 Proxy Server 2.0 系统中应用安全更新之前，此攻击会使 Proxy Server 2.0 Web 服务停止响应，必须重新启动系统。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业防线外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•

" 通过注册表禁用 PCT 支持 此变通办法在 Microsoft 知识库文章 187498 中有完整记录。下面对此文章进行了概述。 以下步骤演示如何禁用 PCT 1.0 协议，该协议阻止受影响的系统协商是否使用它。 注意 ：如果注册表编辑器使用不当，可能会导致严重的问题，可能必须重新安装操作系统。Microsoft 不保证能够解决因错误使用注册表编辑器而导致的问题。使用注册表编辑器的风险由您自己承担。 有关如何编辑注册表的信息，请查看注册表编辑器 (Regedit.exe) 中的"更改关键字和值"帮助主题，或查看 Regedt32.exe 中的"添加和删除注册表中的信息"和"编辑注册表数据"帮助主题。 注意 ：最好在编辑注册表之前备份注册表。 1. 单击"开始"，单击"运行"，键入"regedt32"（不带双引号），然后单击"确定"。 2. 在注册表编辑器中，找到以下注册表项： HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server 3. 在"编辑"菜单中单击"添加值"，在"Server"子项中创建一个名为"Enabled"的新 REG_BINARY 值。 4. 在"数据类型"列表中，单击"REG_BINARY"。 5. 在"数值名称"文本框中，键入"Enabled"（不带双引号），然后单击"确定"。 注意 ：如果此值已经存在，双击该值编辑它现在的值，然后继续第 6 步。 6. 在二进制编辑器中，键入以下字符串：00000000，将新的项值设置为等于 0。 7. 单击"确定"，然后重新启动系统。 注意 ：要启用 PCT，请将 Enabled 注册表项的值更改为 00000001，然后重新启动系统。

Top of section

此漏洞的范围有多大？

专用通信传输 (PCT) 协议中存在一个缓冲区溢出漏洞，该协议是 Microsoft 安全套接字层 (SSL) 库的一部分。只有启用了 SSL 的系统（在某些情况下还包括 Windows 2000 域控制器）容易受到攻击。

所有使用 SSL 的程序都可能受到影响。虽然 SSL 通常使用 HTTPS 和端口 443 与 Internet 信息服务关联，但受影响平台上的任何实现 SSL 的服务都可能受到攻击。这些服务包括但不限于 Microsoft Internet Information Services 4.0、Microsoft Internet Information Services 5.0、Microsoft Internet Information Services 5.1、Microsoft Exchange Server 5.5、Microsoft Exchange Server 2000、Microsoft Exchange Server 2003、Microsoft Analysis Services 2000（SQL Server 2000 中附带的）以及任何使用 PCT 的第三方程序。SQL Server 2000 不会受到攻击，因为它专门阻塞了 PCT 连接。

只有当管理员手动启用了 PCT（即使已经启用 SSL）时，Windows Server 2003 和 Internet Information Services 6.0 才会受到此问题的影响。

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

SSL 库检查消息输入所使用的进程。

什么是 SSL 库？

Microsoft 安全套接字层 (SSL) 库包含对很多安全通信协议的支持。这些协议包括传输层安全 1.0 (TLS 1.0)、安全套接字层 3.0 (SSL 3.0)、较老且很少使用的安全套接字层 2.0 (SSL 2.0) 和专用通信技术 1.0 (PCT 1.0) 协议。

这些协议提供服务器和客户机系统之间的加密连接。当消息通过公共网络（如 Internet）传输时，SSL 可以帮助保护它们的安全。SSL 支持要求 SSL 证书，该证书必须安装在服务器上。有关 SSL 的更多信息，请参见 Microsoft 知识库文章 245152。

什么是 PCT？

专用通信技术 (PCT) 是 Microsoft 和 Visa International 开发的一种协议，用于加密 Internet 上的通信。它是作为 SSL 2.0 的替代协议开发的。它类似于 SSL。消息格式非常相似，以至于服务器可以与支持 SSL 的客户机以及支持 PCT 的客户机交互。

PCT 是较早的协议，现在已被 SSL 3.0 取代，一般不再使用。Microsoft 安全套接字层 (SSL) 库只是出于向后兼容才支持 PCT。现在的大多数程序和服务器都使用 3.0，不再需要 PCT。有关更多详细信息，请访问 请访问 MSDN Library Web 站点。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

哪些人可能利用此漏洞？

任何可以将特制的 TCP 消息发送给受影响系统上启用 SSL 的服务的匿名攻击者都可能尝试利用此漏洞。

攻击者会如何利用此漏洞？

攻击者可以通过下面的方式利用此漏洞：通过启用 SSL 的服务与受影响的系统通信，并发送一个特制的 TCP 消息。接受这类消息会导致执行任意代码，从而使容易受到攻击的系统上的受影响的服务失败。

攻击者也可以通过其他媒介访问受影响的组件。例如，攻击者可以通过交互方式登录到系统，或者通过使用其他程序将参数传递给容易受到攻击的组件（本地或远程）的方式登录到系统。

受此漏洞威胁最大的系统是哪些？

所有使用 SSL 的程序都可能受到影响。虽然 SSL 通常使用 HTTPS 和端口 443 与 Internet 信息服务关联，但受影响平台上的任何实现 SSL 的服务都可能受到攻击。这些服务包括但不限于 Internet Information Services 4.0、Internet Information Services 5.0、Internet Information Services 5.1、Exchange Server 5.5、Exchange Server 2000、Exchange Server 2003、Analysis Services 2000（SQL Server 2000 中附带的）以及任何使用 PCT 的第三方程序。SQL Server 2000 不容易受到攻击，因为它专门阻塞了 PCT 连接。

只有当管理员手动启用了 PCT（即使已经启用 SSL）时，Windows Server 2003 和 Internet Information Services 6.0 才会受到此问题的影响。

安装了 Enterprise 根证书颁发机构的 Active Directory 域也会受到此漏洞的影响，因为 Windows 2000 域控制器自动侦听 SSL 连接。

Windows Server 2003 是如何受影响的？

在 Windows Server 2003 实现 PCT 的方法中，存在着在其他平台上发现的同样的缓冲区溢出问题。但是，默认情况下 PCT 是禁用的。如果通过使用注册表项启用了 PCT 协议，则 Windows Server 2003 可能会受到此问题的影响。因此，Microsoft 发布了 Windows Server 2003 的安全更新，该更新在纠正缓冲区溢出的同时继续保持PCT 的禁用状态。

此更新能做什么？

此更新通过改变 PCT 实现验证传递给它的信息的方式，并且同时禁用 PCT 协议，来消除此漏洞。

此更新是否引入了任何行为上的改变？

是的。虽然此更新确实能够解决 PCT 中的漏洞，但它同时也禁用了 PCT，因为此协议不再使用，已被 SSL 3.0 取代。此行为与 Windows Server 2003 的默认设置一致。如果管理员需要使用 PCT，可以使用本公告的"变通办法"部分介绍的注册表项启用它。

Top of section

Windows 登录进程 (Winlogon) 中存在一个缓冲区溢出漏洞。此漏洞导致在分配的缓冲区中插入在登录过程中使用的值之前不检查该值的大小。所产生的溢出可能使攻击者可以远程地在受影响的系统上执行代码。不是域成员的系统不会受到此漏洞的影响。成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	只有是域成员的 Windows NT 4.0、Windows 2000 和 Windows XP 系统才会受到此漏洞的影响。Windows Server 2003 不受此漏洞的影响。
•	攻击者必须具有修改域中用户对象的权限才能尝试利用此漏洞。通常，只有管理员组或帐户操作员组的成员才具有此权限。但是，此权限也可能委派给域中的其他用户帐户。
•	域通常支持审核对用户对象的更改。可以查看这些审核记录，确定哪些用户帐户可能恶意修改了其他用户帐户以尝试利用此漏洞。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•	减少具有帐户修改权限的用户数。 要利用此漏洞，攻击者必须具有修改域中用户对象的能力。一些组织不必要地将用户帐户添加到管理员组或帐户操作员组。例如，如果服务台代表只需要重设用户密码的能力，则管理员应该直接委派该权限，而不要将该代表添加到帐户操作员组中。 减少管理组的用户帐户数有助于阻止已知的攻击媒介。只有受信任的员工才应该是管理组的成员。有关域最佳做法的更多信息，请访问以下 Web 站点。

Top of section

此漏洞的影响范围有多大？

这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

Winlogon 从域中读取值，但它在将该值插入分配的缓冲区之前并不检查它的大小。

什么是 winlogon？

Windows 登录进程 (Winlogon) 是 Windows 操作系统中提供交互登录支持的组件。Winlogon.exe 是 Windows 中管理与安全相关的用户交互的进程。它处理登录和注销请求，锁定或解除锁定系统，更改密码以及其他请求。它在登录过程中从域中读取数据，并使用此数据配置用户的环境。

什么是域？

域可用于存储有关几乎任何网络对象的信息，例如打印机、文件共享位置和个人信息。

攻击者可利用此漏洞做什么？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

哪些人可能利用此漏洞？

攻击者必须具有修改域中用户对象的权限才能尝试利用此漏洞。通常，只有管理员组或帐户操作员组的成员才具有此权限。但是，此权限可能被委派给域中的其他用户帐户。不具有此权限的用户帐户或匿名用户不可能利用此漏洞。

攻击者会如何利用此漏洞？

攻击者可能专门修改存储在域中的值以包含恶意数据。当此值在登录过程中被传递给 Winlogon 中未经检查的缓冲区时，Winlogon 可能允许执行恶意代码。

受此漏洞威胁最大的系统是哪些？

只有是域成员的 Windows NT 4.0、Windows 2000 和 Windows XP 系统才会受到此漏洞的影响。

此更新能做什么？

此更新通过修改 Winlogon 进程在将值传递给分配缓冲区之前验证值的长度的方法来消除此漏洞。

Top of section

在 Windows 图元文件 (WMF) 和增强型图元文件 (EMF) 图像格式呈现中存在一个缓冲区溢出漏洞，它使得可以在受影响的系统上远程执行代码。在受影响的系统上呈现 WMF 或 EMF 图像的任何程序都可能容易受到此攻击。成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	攻击者只有通过诱使用户打开特制的文件或查看包含特制图像的目录，才能利用此漏洞。攻击者没有任何办法强迫用户打开恶意文件。
•	在基于 Web 的攻击中，攻击者必须拥有一个 Web 站点，并在上面放置一个用来利用此漏洞的 Web 页。攻击者没有任何办法强迫用户访问恶意 Web 站点。相反，攻击者必须诱使用户访问 Web 站点，所采用的方式通常是让用户单击指向攻击者站点的链接。
•	成功利用此漏洞的攻击者只能获得与用户相同的权限。那些帐户被配置为拥有很少系统特权的用户比具有管理特权的用户所遭受的风险要小。
•	Windows Server 2003 不受此漏洞的影响。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•

如果您使用的是 Outlook 2002 或更高版本，或者使用的是 Outlook Express 6 SP1 或更高版本，请使用纯文本格式阅读电子邮件，以保护自己免受 HTML 电子邮件攻击媒介的攻击。 应用了 Office XP Service Pack 1 或更高版本的 Microsoft Outlook 2002 用户和应用了 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 用户可以启用此设置，但只能以纯文本格式查看所有不带数字签名的电子邮件或未加密的电子邮件。 带数字签名的电子邮件或加密的电子邮件不受此设置的影响，可以用其原始格式阅读。有关在 Outlook 2002 中启用此设置的更多信息，请参见 Microsoft 知识库文章 307594. 有关 Outlook Express 6 中此设置的信息，请参见 Microsoft 知识库文章 291387。 变通办法的影响： 以纯文本格式查看的电子邮件中不会包含图片、特殊字体、动画或其他丰富的内容。另外： • 这些变化适用于预览窗格和打开的邮件。 • 图片变成附件，所以它们并没有丢失。 • 由于存储区中的邮件仍然是 RTF 格式或 HTML 格式，因此对象模型（自定义代码解决方案）可能不按预期运行。

Top of section

此漏洞的影响范围有多大？

这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

Windows 图元文件 (WMF) 和增强型图元文件 (EMF) 图像格式呈现中的未经检查的缓冲区。

什么是 Windows 图元文件 (WMF) 和增强型图元文件 (EMF) 图像格式？

WMF 图像是一个 16 位图元文件格式，其中可以同时包含矢量信息和位图信息。它非常适合 Windows 操作系统。

EMF 图像是一个 32 位格式，其中可以同时包含矢量信息和位图信息。此格式是对 Windows 图元文件格式的改进，加入了一些扩展功能。

有关图像类型和格式的更多信息，请参见 Microsoft 知识库文章 320314。有关这些文件格式的更多信息，请访问 MSDN Library Web 站点。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

攻击者会如何利用此漏洞？

任何呈现受影响的图像类型的程序都可能受到此攻击。下面是几个示例：

•	攻击者可能拥有一个旨在通过 Internet Explorer 6 利用此漏洞的恶意 Web 站点，然后诱使用户查看这个 Web 站点。
•	攻击者还可能创建一个夹带了特制图像的 HTML 电子邮件。特制图像可能被设计为通过 Outlook 2002 或 Outlook Express 6 利用此漏洞。攻击者可能诱使用户查看这个 HTML 电子邮件。
•	攻击者可能将特制图像嵌入 Office 文档中，然后诱使用户查看该文档。
•	攻击者可能将特制图像添加到本地文件系统中，或者添加到网络共享中，然后诱使用户使用 Windows XP 中的 Windows 资源管理器预览目录。

受此漏洞威胁最大的系统是哪些？

攻击者只能在受影响的系统上，通过诱使用户打开特制文件或查看包含特制图像的目录来利用此漏洞。攻击者没有任何办法强迫用户打开恶意文件。

在基于 Web 的攻击中，攻击者必须拥有一个 Web 站点，并在上面放置用来利用此漏洞的 Web 页。攻击者没有任何办法强迫用户访问恶意 Web 站点。相反，攻击者必须诱使用户访问 Web 站点，所采用的方式通常是让用户单击指向攻击者站点的链接。

此更新能做什么？

此更新通过修改 Windows 验证受影响的图像类型的方式来消除此漏洞。

Top of section

"帮助和支持中心"存在一个远程执行代码漏洞，导致此漏洞的原因是"帮助和支持中心"处理 HCP URL 验证的方式。攻击者可以通过建立恶意的 HCP URL 来利用此漏洞，如果用户访问了恶意 Web 站点或查看了恶意的电子邮件，此恶意的 HCP URL 就可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	在基于 Web 的攻击中，攻击者必须拥有一个 Web 站点，并在上面放置用来利用此漏洞的 Web 页。攻击者没有任何办法强迫用户访问恶意 Web 站点。相反，攻击者必须诱使用户访问 Web 站点，所采用的方式通常是让用户单击指向攻击者站点的链接。
•	默认情况下，Outlook Express 6 、Outlook 2002 和 Outlook 2003 在"受限制的站点"区域中打开 HTML 电子邮件。此外，如果已经安装了 Outlook E-mail Security Update（Outlook 电子邮件安全更新），Outlook 98 和 Outlook 2000 将在"受限制的站点"区域中打开 HTML 电子邮件。"受限制的站点"区域可以减少利用此漏洞的攻击企图。 如果满足以下所有条件，遭受来自 HTML 电子邮件媒介攻击的风险可以大大降低： • 应用包含在 Microsoft 安全公告 MS04-004 中的更新。 • 使用 Internet Explorer 6 或更高版本。 • 使用 Microsoft Outlook 电子邮件安全更新，使用 Microsoft Outlook Express 6 或更高版本，或者使用默认配置下的 Microsoft Outlook 2000 Service Pack 2 或更高版本。
•	成功利用此漏洞的攻击者只能获得与用户相同的权限。那些帐户被配置为拥有很少系统权限的用户比具有管理权限的用户所遭受的风险要小。
•	Windows NT 4.0 和 Windows 2000 不受此漏洞影响。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•	注销 HCP 协议。 为帮助阻止攻击，可通过删除以下注册表项注销 HCP 协议：HKEY_CLASSES_ROOT\HCP。为此，可执行以下步骤： 1. 单击"开始"，然后单击"运行"。 2. 键入 regedit，然后单击"确定"。 注册表编辑器程序启动。 3. 展开 HKEY_CLASSES_ROOT，突出显示 HCP 项。 4. 右键单击 HCP 项，然后单击"删除"。 注意 ：注册表编辑器使用不当会导致严重的问题，也许需要重新安装 Windows。Microsoft 不保证能够解决因错误使用注册表编辑器而导致的问题。使用注册表编辑器的风险由您自己承担。 变通办法的影响：注消 HCP 协议会中断本机中所有使用 hcp:// 的合法帮助链接。例如，"控制面板"中的链接可能不再有效。
•	如果您使用的是 Outlook 2000 SP1 或更低版本，请安装 Outlook 电子邮件安全更新 。 默认情况下，Outlook Express 6 、Outlook 2002 和 Outlook 2003 在"受限制的站点"区域中打开 HTML 电子邮件。此外，如果已经安装了 Outlook 电子邮件安全更新，Outlook 98 和 Outlook 2000 将在"受限制的站点"区域中打开 HTML 电子邮件。 使用上述任何产品的用户都会降低遭受以电子邮件为载体并试图利用此漏洞的攻击所带来的风险，除非用户单击电子邮件中的恶意链接。
•	如果您使用的是 Outlook 2002 或更高版本，或者使用的是 Outlook Express 6 SP1 或更高版本，请用纯文本格式阅读电子邮件，帮助保护自己免受来自 HTML 电子邮件攻击媒介的攻击。 已应用了 Office XP Service Pack 1 或更高版本的 Microsoft Outlook 2002 用户，以及应用了 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 用户可以启用此设置，仅用纯文本格式查看所有不带数字签名的电子邮件或未加密的电子邮件。 带数字签名的电子邮件或加密的电子邮件不受此设置的影响，可以用其原始格式阅读。有关在 Outlook 2002 中启用此设置的详细信息，请参见 Microsoft 知识库文章307594. 有关 Outlook Express 6 中此设置的信息，请参见 Microsoft 知识库文章 291387。 变通办法的影响：用纯文本格式查看的电子邮件中不会包含图片、特殊字体、动画或其他丰富的内容。另外： • 这些变化适用于预览窗格和打开的邮件。 • 图片变成了附件，因此不会丢失。 • 由于存储区中的邮件仍然是 RTF 格式或 HTML 格式，因此对象模型（自定义代码解决方案）可能不按预期运行。

Top of section

"帮助和支持中心"功能中存在一个远程执行代码漏洞。"帮助和支持中心"是作为受影响系统的一部分提供的。存在此漏洞的原因在于"帮助和支持中心"处理 HCP URL 验证的方式。

此漏洞的影响范围有多大？

这是一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可以在该系统上执行任何操作，包括安装程序、查看数据、更改数据、删除数据或者创建拥有完全权限的新帐户。

此漏洞因何而起？

"帮助和支持中心"用于验证数据输入的进程。

"帮助和支持中心"是什么？

帮助和支持中心 (HSC) 是 Windows 中的一项功能，用于提供有关各种主题的帮助信息。例如，HSC 可以告诉用户与以下内容有关的知识：Windows 的功能，如何下载和安装软件更新，如何确定特定的硬件是否与 Windows 兼容，如何从 Microsoft 获得帮助等。用户和程序可以在 URL 链接中用"hcp://"前缀取代"http://"前缀以访问"帮助和支持中心"。

什么是 HCP 协议？

与 HTTP 协议可以使用执行 URL 链接打开 Web 浏览器的方式类似，HCP 协议也可以执行 URL 链接以打开"帮助和支持中心"功能。

"帮助和支持中心"存在什么问题？

在输入验证中存在错误。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

攻击者会如何利用此漏洞？

要利用此漏洞，攻击者必须拥有一个恶意 Web 站点，然后诱使用户查看该 Web 站点。攻击者还可能创建一个包含特制链接的 HTML 电子邮件，然后诱使用户查看该 HTML 电子邮件并单击恶意链接。如果用户单击了此链接，就可能会用攻击者选择的 HCP URL 打开一个Internet Explorer 窗口，这可能会允许执行任意代码。

受此漏洞威胁最大的系统是哪些？

Windows XP 和 Windows Server 2003 包含受影响的"帮助和支持中心"版本。Windows NT 4.0 和 Windows 2000 不受影响，因为它们没有"帮助和支持中心"。

我在 Windows Server 2003 上运行 Internet Explorer。Windows Server 2003 会减轻此漏洞的影响吗？

不会。默认情况下，Internet Explorer 在 Windows Server 2003 上是以受限模式运行的，也就是以所谓的 Internet Explorer 增强安全配置模式运行。但是，默认情况下允许HCP 协议访问"帮助和支持中心"。因此，Windows Server 2003 也是易受攻击的。

此更新能做什么？

此更新通过修改传递到"帮助和支持中心"的数据验证来消除此漏洞。

Top of section

在工具管理器启动应用程序的方式中存在一个权限提升漏洞。登录的用户可以强迫工具管理器以系统权限启动应用程序，从而完全控制系统。

•	攻击者必须拥有有效的登录凭据才能利用此漏洞。匿名用户无法利用此漏洞。
•	Windows NT 4.0、Windows XP 和 Windows Server 2003 不受此漏洞影响。Windows NT 4.0 上未安装工具管理器。
•	Windows 2000 强化指南建议禁用工具管理器服务。符合这些原则的环境可能会减少受此漏洞影响的风险。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•

使用软件策略在不需要工具管理器功能的受影响系统上禁用工具管理器。 由于工具管理器是一个可能的攻击媒介，请用 Active Directory 中或"本地安全策略"中的软件限制策略禁用工具管理器。工具管理器的进程名为 Utilman.exe。以下指导事项提供了有关如何防止用户访问此文件的信息： • 使用软件限制策略防止未经授权的软件 • Microsoft 知识库文章 324026 • 护系统免受病毒侵害〔使用软件限制策略〕 • 新建软件限制策略 注意 您还可以查阅 Windows 2000 加强指南。此指南包含有关如何禁用工具管理器的信息。 变通办法的影响： 使用工具管理器可以便捷地使用操作系统的许多辅助功能。在取消限制前，将无法使用这些辅助功能。要查找有关如何手动启动一些辅助功能的信息，请访问此 Web 站点。

Top of section

此漏洞的影响范围有多大？

这是一个权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

工具管理器用于启动应用程序的进程。工具管理器可能能以系统权限启动应用程序。

什么是工具管理器？

工具管理器是一个辅助功能实用程序，用户可以用它检查辅助功能程序（如 Microsoft 放大镜、讲解者、屏幕键盘）的状态，以及启动或停止这些程序。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

哪些人可能利用此漏洞？

攻击者必须能够登录到系统，然后在启动工具管理器后运行一个程序，向工具管理器发送一个特制的消息以尝试利用此漏洞。

攻击者会如何利用此漏洞？

要利用此漏洞，攻击者必须先启动 Windows 2000 上的工具管理器，然后运行一个专门为利用此漏洞而设计的应用程序。Windows 2000 的默认配置为：安装但不运行工具管理器。此漏洞可能使攻击者获得对 Windows 2000 系统的完全控制。

受此漏洞威胁最大的系统是哪些？

只有 Windows 2000 受此漏洞的影响。基于 Windows 2000 的工作站和终端服务器受到的威胁最大。只有当没有足够管理凭据的用户被赋予登录到服务器并运行程序的能力时，服务器才会有危险。不过，最佳做法是不要赋予这样的能力。

我用的是 Windows 2000，但我不使用工具管理器或任何辅助功能。我是否仍容易受到攻击？

是的。默认情况下安装并启用工具管理器。不过，默认情况下不运行工具管理器。

是否可以通过 Internet 利用此漏洞？

不能。攻击者必须要能够登录到作为攻击目标的特定系统。攻击者无法利用此漏洞远程加载和运行程序。

此更新能做什么？

此更新通过修改工具管理器启动应用程序的方式来消除此漏洞。

Top of section

在 Windows XP 允许创建任务的方式中存在一个权限提升漏洞。在特殊条件下，非特权用户可以创建一个能以系统权限执行的任务，从而完全控制系统。

•	攻击者必须拥有有效的登录凭据才能利用此漏洞。匿名用户无法利用此漏洞。
•	Windows NT 4.0、Windows 2000 和 Windows Server 2003 不受此漏洞影响。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

删除受影响的 Windows 管理接口提供程序。

具有本地管理权限的管理员可以删除受影响的 Windows 管理接口 (WMI) 提供程序，方法是：在以 .vbs 为扩展名的文本文件中插入以下脚本，然后运行该文件。

删除受影响的 WMI 提供程序：

set osvc = getobject("winmgmts:root\cimv2")
set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")
otrigger.delete_

安装此更新会自动重新注册上面提到的受影响的 WMI 提供程序。在应用此更新后，不需要采取额外的步骤恢复系统的典型功能。

变通办法的影响： 在未注册此提供程序期间，创建为基于事件的触发器的任务将不起作用。有关基于事件的触发器的详细信息，请访问以下 Web 站点。

注意 ：在极少见的情况下，Windows XP 可能会重新注册此 WMI 提供程序。例如，如果 Windows XP 检测到 WMI 储备库已损坏，它就可能尝试重新注册受影响的 WMI 提供程序。

Top of section

此漏洞的影响范围有多大？

这是一个权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

在特殊条件下，Microsoft Windows XP 的非特权用户可以创建能以系统权限执行的任务。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

攻击者会如何利用此漏洞？

要利用此漏洞，攻击者必须要能够登录到系统并创建任务。由于攻击者必须要有有效的登录凭据才能利用此漏洞，因此远程系统不会受威胁。

受此漏洞威胁最大的系统是哪些？

Only Windows XP is affected by this 漏洞 .

此更新能做什么？

只有 Windows XP 受此漏洞影响。

此更新能做什么？

此更新通过阻止用户在提升的权限级别创建任务来消除此漏洞。

•	在安装此更新之前，用户有时可以使用 Eventtriggers.exe 命令行工具创建基于事件的触发器，而不用提供用户名和密码。在安装了此更新后，用户可能需要提供有效的用户名和密码，才能使用 Eventttrigers.exe 创建基于事件的触发器。有关 Eventtriggers.exe 命令行选项的详细信息，请访问以下 Web 站点。
•	" 以前，管理员可以在停止或禁用了任务计划程序服务的情况下创建基于事件的触发器。现在则必须运行任务计划程序服务。有关任务计划程序的详细信息，请访问以下 Web 站点。
•	此更新还设立了一个新的 1000 个触发器的数目限制。安装了此更新后，超出此限制的现有触发器将继续起作用。但不能再创建更多的基于事件的触发器。
•	加强了对安装此更新后创建的基于事件的触发器的权限。

Top of section

在用于创建本地描述符表 (LDT) 项的编程接口中存在一个权限提升漏洞。这些项包含有关内存段的信息。本地登录的攻击者可以创建一个恶意项，从而获得对受保护内存的访问权，进而完全控制系统。

•	攻击者必须拥有有效的登录凭据，并且能够在本地登录才能利用此漏洞。无法实施远程攻击。
•	Windows XP 和 Windows Server 2003 不受此漏洞影响。

Top of section

无。

Top of section

此漏洞的影响范围有多大？

这是一个权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

用于创建 LDT 项的编程接口。这些项包含有关内存段的信息。攻击者可以创建恶意的项以获得对受保护的内核内存的访问权。

本地描述符表是什么？

本地描述符表 (LDT) 包含称为描述符的项。这些描述符包含定义特定内存段的信息。

可在 LDT 中创建描述符项的方式有什么问题？

编程接口不应该允许程序在 LDT 中创建指向受保护内存区域的描述符项。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可以在该系统上执行任何操作，包括安装程序、查看数据、更改数据、删除数据或者新建拥有完全权限的帐户。

哪些人可能利用此漏洞？

攻击者必须要能够在本地登录到系统并运行程序才能利用此漏洞。

攻击者会如何利用此漏洞？

要利用此漏洞，攻击者必须先登录到系统。然后，攻击者可以运行一个经过特殊设计的、可利用此漏洞的程序，并可能获得对受影响系统的完全控制。

受此漏洞威胁最大的系统是哪些？

工作站和终端服务器受到的威胁最大。只有当没有足够管理凭据的用户能够登录并运行程序时，服务器才会有危险。不过，最佳做法是不允许这样做。

是否可以通过 Internet 利用此漏洞？

不能。攻击者必须要能够登录到作为攻击目标的特定系统。攻击者无法利用此漏洞远程加载和运行程序。

此更新能做什么？

此更新通过修改在 LDT 中创建描述符项的方式来消除此漏洞。

Top of section

Microsoft H.323 协议实现处理格式错误的请求的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	在最常见的情况中，必须运行 NetMeeting（它使用 H.323）才容易受攻击。
•	在最常见的情况中，如果使用 Internet 连接防火墙 (ICF) 并且未运行任何基于 H.323 的应用程序，则系统不易受攻击。
•	Windows NT 4.0 不受此漏洞影响，除非管理员手动安装了独立版本的 NetMeeting。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•	在防火墙处阻塞入站和出站端口 TCP 1720 和 TCP 1503。 采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业防线外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。Microsoft 建议阻塞来自 Internet 的所有非法通信，以帮助避免可能利用其他端口进行的攻击。 变通办法的影响： 如果阻塞入站和出站 TCP 端口 1503 和 1720，用户将无法连接到 Internet 定位器服务 (ILS) 或其他 NetMeeting 客户端。

Top of section

此漏洞的影响范围有多大？

这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

Microsoft 的 H.323 实现中未检查的缓冲区。

什么是 H.323？

H.323 是一个 ITU 标准，它指定多媒体中使用的 PC、设备和服务如何通过未提供保障服务级别的网络（如 Internet）进行通信。H.323 终端和设备可以执行实时视频、声音、数据或这些元素的任何组合。将 H.323 用于音频和视频的产品允许用户通过 Internet 与其他人联系和交流，就像人们可以使用不同牌子和型号的电话进行交流一样。

哪些受影响的应用程序使用 H.323 协议？

许多 Microsoft 应用程序和操作系统组件中都实现了 H.323 协议。此问题可能影响运行一个或多个下列服务或应用程序的系统：

•	基于电话服务应用程序接口 (TAPI) 的应用程序
•	NetMeeting
•	Internet 连接防火墙 (ICF)
•	Internet 连接共享
•	Microsoft 路由和远程访问服务

什么是 TAPI？

Windows 电话服务应用程序接口 (TAPI) 是 Windows 开放式系统体系结构的一部分。通过使用 TAPI，开发人员可以创建电话应用程序。TAPI 是一个开放式行业标准，是用来自世界各地的电话和计算团体的重要且不间断的输入定义的。由于 TAPI 是独立于硬件的，所以兼容的应用程序可以在各种 PC 和电话硬件上运行，而且支持各种网络服务。TAPI 实现 H.323 协议。因此，使用 TAPI 的应用程序容易受到本公告中描述的问题的影响。

默认情况下，任何基于 TAPI 的 H.323 应用程序都安装在任何受影响的系统上吗？

默认情况下，Microsoft 电话拨号程序是安装在 Windows 2000 和 Windows XP H.323 上的唯一基于 TAPI 的应用程序。第三方应用程序可以在 TAPI 中启用并使用 H.323 功能。

注意 ：Windows Server 2003 中不包含 Microsoft 电话拨号程序。

什么是 NetMeeting？

通过多点数据会议、文本聊天、白板、文件传输和点对点音频和视频，NetMeeting 为所有 Windows 用户提供了完整的 Internet 和企业会议解决方案。NetMeeting 实现 H.323 协议，并且默认情况下，在所有受影响的系统上已安装了NetMeeting但并不自动运行。

如果在运行 NetMeeting 时没有运行 Internet 连接共享、ICF 或路由和远程访问服务，会受影响吗？

会。当运行 NetMeeting 时，就会受此问题影响。

如果在运行 NetMeeting 时没有连接到 ILS 服务器或者没有进行点对点 NetMeeting 会话，会受影响吗？

会，除非在系统上阻塞 TCP 端口 1720 和 1503。

如果从没安装过独立版本的 NetMeeting，会受影响吗？

NetMeeting 是 Windows 2000、Windows XP 和 Windows Server 2003 的一部分。此更新解决的是包含在这些操作系统中的 NetMeeting 版本的漏洞。对于其他操作系统，还提供了独立版本的 NetMeeting 下载，它含在其他应用程序中，因此也可能受此问题影响。如果已经安装了独立版本的 NetMeeting，请安装解决了此漏洞的更新版本。要下载更新版本，请访问以下Web 站点。

Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 受此漏洞影响严重吗？

不严重。尽管这些操作系统中可能包含 NetMeeting，但是在这些操作系统上此漏洞并不严重。解决此漏洞的方法之一是从以下 Web 站点下载并安装独立版本的 NetMeeting。有关严重等级的详细信息，请访问以下 Web 站点。

什么是 Internet 连接防火墙？

Internet 连接防火墙 (ICF) 为运行 Windows XP 或 Windows Server 2003 的系统提供了基本的入侵防护功能。它是专门为直接连接到公共网络的系统或与 Internet 连接共享一起使用时作为家庭网络一部分的系统设计的。

如果只在 Windows XP 或 Windows Server 2003 上运行 Internet 连接防火墙，会受影响吗？

不，自然不会。但是，如果您使用 NetMeeting，那么即使运行了 ICF，也可能受此问题影响。NetMeeting 在 ICF 中打开的端口可能会暴露此漏洞。

手动打开 TCP 端口 1720 和 1503 也可能暴露此漏洞。第三方应用程序也可能导致 ICF 在响应 H.323 通信时打开这两个端口。

什么是 Internet 连接共享？

通过使用 Internet 连接共享，用户可以将一个系统连接到 Internet 并与家庭网络或小型办公室网络共享 Internet 服务。Windows XP 中的网络安装向导将自动提供与网络中所有系统共享一个 Internet 连接所需的所有网络设置。每个系统都可以使用 Internet Explorer 和 Outlook Express 等程序，就好像系统直接连接到 Internet 上一样。

Internet 连接共享是 Windows 2000、Windows XP 和 Windows Server 2003 中的一种功能，但是在任何受影响的系统上都不是默认启用的。

如果启用了 Internet 连接共享，但没有启用 Internet 连接防火墙，会受影响吗？

会，Internet 连接共享会启用可能使系统受此问题影响的端口。

如果 ICF 和 Internet 连接共享都在运行，就不会发生针对此漏洞的攻击，除非用户同时还在使用 NetMeeting 或者手动打开了端口 1503 或端口 1720。

什么是 Microsoft 路由和远程访问服务？

Microsoft 路由和远程访问服务使运行 Windows 2000 Server 或 Windows Server 2003 的系统可以充当网络路由器。远程访问使拥有远程系统的用户可以创建到单位的网络或到 Internet 的逻辑连接。Microsoft 路由和远程访问服务支持路由到网络或来自网络的 H.323 请求。

如果在 Windows 2000 上运行 Microsoft 路由和远程访问服务，会受影响吗？

会。默认情况下，Windows 2000 使用的 Microsoft 路由和远程访问服务具有网络地址转换 (NAT) 功能，而该功能会暴露此漏洞。不过，管理员可以使用 netsh 命令禁用 H.323 功能。有关详细步骤，请参见 Microsoft 知识库文章838834。

注意 ：如果系统被配置为运行另一个不具有 NAT 功能的 Microsoft 路由和远程访问服务（例如，虚拟专用网络、OSPF 或路由信息协议），则系统不会受此漏洞影响。

如果在 Windows Server 2003 上运行 Microsoft 路由和远程访问服务，会受影响吗？

不会。默认情况下，Windows Server 2003 路由和远程访问服务不启用 H.323 功能。但是，管理员可能会启用 H.323 功能，这样系统就会受此漏洞影响。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

哪些人可能利用此漏洞？

任何可将特制的 H.323 请求发送到以上任何受影响系统的匿名用户都可能利用此漏洞。

攻击者会如何利用此漏洞？

攻击者可以通过查找运行 NetMeeting、基于 H.323 的 TAPI 程序或两者的用户来尝试利用此漏洞。

攻击者也可以通过 Internet 连接共享来尝试利用此漏洞，即通过在启用了 Internet 连接共享的系统上远程执行代码。如果 ICF 和 Internet 连接共享正在运行，则不会发生此攻击，除非用户同时还在使用 NetMeeting。

受此漏洞威胁最大的系统是哪些？

运行 NetMeeting 或运行基于 H.323 的程序的系统。

此更新能做什么？

此更新修改受影响的系统处理特制的 H.323 请求的方式。

Top of section

处理 DOS 虚拟机 (VDM) 子系统的操作系统组件中存在一个权限提升漏洞。此漏洞使已登录的用户可以完全控制系统。

•	攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。无法实施远程攻击。
•	Windows XP 和 Windows Server 2003 不受此漏洞影响。

Top of section

无。

Top of section

此漏洞的影响范围有多大？

这是一个权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。要利用此漏洞，攻击者必须能够本地登录到系统并运行程序。

此漏洞因何而起？

处理 VDM 子系统的操作系统组件可能被用来获得受保护的核心内存的访问能力。在某些情况下，有些特权操作系统功能可能不验证系统结构，从而使攻击者可以利用系统特权执行恶意代码。

什么是 DOS 虚拟机子系统？

DOS 虚拟机 (VDM) 是在基于 Windows NT 的操作系统中模拟 MS-DOS 和基于 DOS 的 Windows 的环境。用户在基于 Windows NT 的操作系统中启动 MS-DOS 应用程序时，就会自动创建 VDM。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

哪些人可能利用此漏洞？

要利用此漏洞，攻击者必须能够本地登录到系统并运行程序。

攻击者会如何利用此漏洞？

要利用此漏洞，攻击者必须首先登录到系统。然后，攻击者可以运行一个专门为利用此漏洞而设计的应用程序，从而完全控制受影响的系统。

受此漏洞威胁最大的系统是哪些？

工作站和终端服务器受到的威胁最大。只有当没有足够管理凭据的用户被赋予登录到服务器并运行程序的能力时，服务器才会有危险。不过，最佳做法是不要赋予这样的能力。

是否可以通过 Internet 利用此漏洞？

不能。攻击者必须能够登录到作为攻击目标的特定系统。攻击者无法利用此漏洞远程加载和运行程序。

此更新能做什么？

此更新修改 Windows 在引用分配给 VDM 的内存位置时验证数据的方式。

Top of section

协商安全软件提供程序 (SSP) 接口中存在一个可能允许远程执行代码的缓冲区溢出漏洞。此漏洞是由协商 SSP 接口验证身份验证协议选择过程中使用的值的方式导致的。成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	在最常见的情况中，此漏洞是拒绝服务漏洞。
•	在 Internet 信息服务 (IIS) 中，协商 SSP 接口也是默认启用的。但是，只有 Windows 2000 (IIS 5.0) 和 Windows Server 2003 Web Server Edition (IIS 6.0) 在默认情况下安装 Internet 信息服务 (IIS)。
•	Windows NT 4.0 不受此漏洞影响。

Top of section

Microsoft 已测试过以下变通办法。这些变通办法不会从根本上消除漏洞，但它们有助于阻塞已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•

" Internet 信息服务攻击媒介的变通办法 • 禁用集成 Windows 验证 管理员可以禁用集成 Windows 验证，以帮助减少受到来自 Internet 信息服务攻击的风险。有关如何启用或禁用此选项的信息，请访问以下 Web 站点. 变通办法的影响： 任何需要 Windows NT 质询/响应身份验证 (NTLM) 或 Kerberos 身份验证的基于 IIS 的应用程序都无法再正常运行。 • 禁用协商 SSP 管理员可以按照 Microsoft 知识库文章215383中的说明仅禁用协商 SSP（而保持启用 NTLM），如下所示： 要禁用协商（从而禁止 Kerberos 身份验证），请使用以下命令。请注意，"NTLM"必须大写以避免任何不利影响）： cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM” 变通办法的影响：任何需要 Kerberos 身份验证的基于 IIS 的应用程序都无法再正常运行。

Top of section

此漏洞的影响范围有多大？

这是一个缓冲区溢出漏洞。但是，它最有可能是拒绝服务漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

协商 SSP 接口中未检查的缓冲区。

什么是协商安全支持提供的接口？

因为 Windows 支持许多不同类型的身份验证，所以必须协商客户端连接到服务器时所使用的身份验证方法。协商 SSP 接口是提供此功能的操作系统组件。它基于 RFC 2478 中定义的简单和受保护的 GSS-API 协商机制 (SPNEGO)。有关 Windows 身份验证方法的详细信息，请访问以下 Web 站点.

Internet 信息服务为何会受影响？

协商 SSP 接口在 Internet 信息服务 (IIS) 中也是默认启用的，因此 IIS 可以使用 NTLM 或 Kerberos 等身份验证协议提供安全的资源访问。有关 IIS 支持的身份验证方法的详细信息，请访问以下Web 站点.

攻击者可能利用此漏洞执行什么操作？

虽然最有可能发生的仅仅是拒绝服务攻击，但成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。如果攻击者使受影响的系统变得无法响应请求，管理员可以通过重新启动受影响的系统来恢复正常的功能。但是，在应用此更新之前，该系统仍然容易受到新的拒绝服务攻击。

哪些人可能利用此漏洞？

任何可将特制的消息发送到受影响系统的匿名用户都可能尝试利用此漏洞。因为此功能在所有受影响的系统上都是默认启用的，所以任何能与受影响的系统建立连接的用户都可能尝试利用此漏洞。

攻击者会如何利用此漏洞？

攻击者可以通过创建特制的网络消息并将其发送到受影响的系统来利用此漏洞。

攻击者也可以通过其他媒介访问受影响的组件。例如，攻击者可以通过交互方式登录到系统，或者通过使用其他程序将参数传递给容易受到攻击的组件（本地或远程）的方式登录到系统。

受此漏洞威胁最大的系统是哪些？

默认情况下，所有受影响的系统都会因此漏洞而容易受到攻击。而且，默认情况下，运行 Internet Information Services 5.0、Internet Information Services 5.1 和 Internet Information Services 6.0 的系统也会因此漏洞而容易受到通过任何侦听端口所进行的攻击。

此更新能做什么？

此更新通过修改协商 SSP 接口在将消息传递到分配的缓冲区之前验证消息长度的方式来消除此漏洞。

Top of section

Microsoft 安全套接字层 (SSL) 库中存在一个拒绝服务漏洞。此漏洞是由 Microsoft SSL 库处理格式错误的 SSL 消息的方式引起的。在 Windows 2000 和 Windows XP上，此漏洞可以导致受影响的系统停止接受 SSL 连接。在 Windows Server 2003 上，此漏洞可以导致受影响的系统自动重新启动。

•	只有那些启用了 SSL 的系统会受到影响，通常仅仅是服务器系统。在任何受影响的系统中，默认情况下都不启用 SSL 支持。然而，在 Web 服务器中一般要使用 SSL，以支持电子商务程序、网上银行以及其他要求安全通信的程序。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业防线外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。
•	Windows NT 4.0 不受此漏洞影响。

Top of section

Microsoft 已测试过以下变通办法。尽管这些变通办法不能从根本上纠正此漏洞，但它们有助于阻塞已知的攻击媒介。如果某种变通办法会导致功能下降，将在下面进行说明。

•	在防火墙处阻塞端口 443 和 636 端口 443 用于接收 SSL 通信。端口 636 用于 LDAP SSL 连接。将其阻塞在防火墙处，有助于保护位于防火墙后面的系统免受利用此漏洞进行的攻击。其他端口可能也会被用来利用此漏洞。然而，这里列出的端口是最常见的攻击媒介。Microsoft 建议阻塞来自 Internet 的所有非法入站通信，以帮助防止可能利用其他端口进行的攻击。 变通办法的影响：如果阻塞端口 443 或 636，受影响的系统就无法再接受使用 SSL 或 LDAPS的外部连接。

Top of section

此漏洞的影响范围有多大？

Microsoft 安全套接字层 (SSL) 库中的拒绝服务漏洞会影响其对特制的 SSL 消息的处理方式。在 Windows 2000 和 Windows XP中，此漏洞可能导致受影响的系统停止接受 SSL 连接。在 Windows Server 2003 中，此漏洞可能导致受影响的系统自动重新启动。

注意：虽然攻击者无法利用拒绝服务漏洞来执行代码或提升权限，但此漏洞可能导致受影响的系统停止接受请求。

此漏洞因何而起？

SSL 库检查消息输入所使用的进程。

什么是 Microsoft 安全套接字层库？

Microsoft 安全套接字层库支持多种安全通信协议。这些协议包括传输层安全 1.0 (TLS 1.0)、安全套接字层 3.0 (SSL 3.0)、较老且很少使用的安全套接字层 2.0 (SSL 2.0) 和专用通信技术 1.0 (PCT 1.0) 协议。

这些协议在服务器和客户端系统之间提供加密连接。当用户通过公共网络（如 Internet）进行连接时，SSL 可以帮助保护信息。SSL 支持需要 SSL 证书，该证书必须安装在服务器上。有关 SSL 的详细信息，请参见 Microsoft 知识库文章245152.

攻击者可能利用此漏洞执行什么操作？

在Windows 2000 和 Windows XP 中，成功利用此漏洞的攻击者可能导致受影响的系统停止接受 SSL 连接。在 Windows Server 2003 中，攻击者可能导致受影响的系统自动重新启动。当出现上面的情况时，受影响的系统将无法响应身份验证请求。重新启动后，受影响的系统将恢复正常的功能。但是，除非应用此更新，否则该系统仍然容易受到新的拒绝服务攻击。

如果攻击者利用了此漏洞，系统中可能会记录一个系统错误事件。系统事件日志中可能会记录事件 ID 5000，该事件的 SymbolicName 值为 SPMEVENT_PACKAGE_FAULT，相关描述如下：

"The security package NAME generated an exception"（安全包 NAME 产生了异常），其中 NAME 包含的值为"Schannel"或"Microsoft Unified Security Protocol Provider"。

哪些人可能利用此漏洞？

任何可将特制的消息发送到受影响系统的匿名用户都可能尝试利用此漏洞。

攻击者会如何利用此漏洞？

攻击者可能通过下面的方式利用此漏洞：创建一个程序，它可以通过启用 SSL 的服务与容易受到攻击的服务器通信，然后发送特定类型的特制 TCP 消息。接受这种消息可能导致拒绝服务攻击，从而使容易受到攻击的系统发生故障。

攻击者也可能通过其他媒介访问受影响的组件。例如，攻击者可以通过交互方式登录到系统，或者通过使用其他程序将参数传递给容易受到攻击的组件（本地或远程）的方式登录到系统。

受此漏洞威胁最大的系统是哪些？

所有启用 SSL 的系统都容易受到攻击。尽管 SSL 通常使用 HTTPS 和端口 443 与 Internet 信息服务关联，但受影响平台上的任何实现 SSL 的服务都可能受到攻击。这些服务包括但不限于 Internet Information Services 4.0、Internet Information Services 5.0、Internet Information Services 5.1、Exchange Server 5.5、Exchange Server 2000、Exchange Server 2003、Analysis Services 2000（SQL Server 2000 中附带的）以及任何使用 SSL 的第三方程序。

如果安装了 Windows 2000 域控制器的 Active Directory 域中还安装了企业根证书颁发机构，则 Windows 2000 域控制器受此漏洞影响，因为它们自动侦听安全的 SSL 连接。

此更新能做什么？

此更新通过修改处理特制 SSL 消息的方式来消除此漏洞。

Top of section

Microsoft ASN.1 库中存在一个远程执行代码漏洞。Microsoft ASN.1 库中可能存在的"双重释放"状态导致产生此漏洞，这种状态在受影响的系统上可能导致内存故障。成功利用此漏洞的攻击者可以完全控制受影响的系统。然而，在最有可能的攻击情形下，此问题是一个拒绝服务漏洞。

•	由于每个受影响系统上的内存结构布局的独特性，所以大规模利用此漏洞可能存在一定的难度。

Top of section

无。

Top of section

此漏洞的影响范围有多大？

尽管此漏洞是一个潜在的远程执行代码漏洞，但它最有可能是拒绝服务漏洞。然而，成功利用此漏洞以允许执行代码的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

此漏洞因何而起？

Microsoft ASN.1 库中潜在的双重释放状态，该状态可以导致内存故障。

什么是"双重释放"状态？

攻击者可能导致受影响的系统在处理特制的消息时释放可能为多次使用而保留的内存。释放已经释放的内存可以导致内存故障。攻击者可以将任意代码添加到内存中，并在内存出现故障时执行。这种代码可以在系统级权限下执行。

此漏洞通常导致发生拒绝服务。然而，在有限的情况下，可能发生代码执行。由于每个受影响系统上内存布局的独特性，因此大规模利用此漏洞可能存在一定的难度。

什么是 ASN.1？

抽象语法表示法 1 (ASN.1) 是一种用来定义标准的语言。技术行业中的许多应用程序和设备都使用 ASN.1，以便在不同的平台之间实现数据交换。ASN.1 与任何特定的标准、编码方法、编程语言或硬件平台都没有直接的关系。有关 ASN.1 的详细信息，请参见知识库文章 252648。

攻击者可能利用此漏洞执行什么操作？

成功利用此漏洞的攻击者可以完全控制受影响的系统，其中包括：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户等。

在最可能的攻击情形中，攻击者可能导致拒绝服务状态。管理员可以通过重新启动受影响的系统来恢复正常的功能。

攻击者会如何利用此漏洞？

由于 ASN.1 是许多应用程序和设备所使用的一种标准，因此存在许多潜在的攻击媒介。要成功利用此漏洞，攻击者必须强制计算机对特制的 ASN.1 数据进行解码。例如，通过使用基于 ASN.1 的身份验证协议，攻击者可以构造特制的身份验证请求以暴露此漏洞。

受此漏洞威胁最大的系统是哪些？

服务器系统比客户机受到的威胁更大，因为它们更可能运行对 ASN.1 数据进行解码的服务器进程。

此漏洞是否会严重影响 Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition？

不会。尽管 Windows Millennium Edition 确实含有受影响的组件，但此漏洞并不严重。有关严重等级的详细信息，请访问以下 Web 站点。

此更新能做什么？

此更新通过修改 ASN.1 库处理特制数据的方式来消除此漏洞。

此漏洞与 MS04-007 纠正的漏洞有什么联系？

两种漏洞都存在于 ASN.1 组件中。然而，此更新纠正了一个新报告的漏洞，此漏洞在 MS04-007 中没有得到解决。MS04-007 可以对本公告中讨论的漏洞提供完全保护，但此更新包括了 MS04-007 提供的所有更新并替代了 MS04-007。如果您安装了此更新，就不必安装 MS04-007。

Top of section

先决条件
此安全更新要求 Windows Server 2003 的已发布版本。

包含在将来的 Service Pack 中：
这些问题的更新将包含在 Windows Server 2003 Service Pack 1 中。

安装信息

此安全更新支持以下安装开关：

/help 显示命令行选项

安装模式

/quiet安静模式（无用户交互或显示）

/passive 无人参与模式（只显示进度栏）

/uninstall卸载程序包

重新启动选项

/norestart 安装完成后不重新启动

/forcerestart 安装完成后重新启动

特殊选项

/l 列出已安装的 Windows 修复程序或更新程序包

/o 不经提示即改写 OEM 文件

/n 不备份卸载所需的文件

/f 在计算机关机时强制关闭其他程序

注意 ：可以将这些开关组合到一个命令中。为了向后兼容，此安全更新还支持以前版本的安装实用工具所使用的安装开关。有关受支持的安装开关的详细信息，请参见 Microsoft 知识库文章 262841。

部署信息

对于 Windows Server 2003，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsserver2003-kb835732-x86-enu /passive /quiet

对于 Windows Server 2003，如果安装此安全更新后不强制系统重新启动，请在命令提示符处使用以下命令：

Windowsserver2003-kb835732-x86-enu /norestart

有关如何使用"软件更新服务"部署此安全更新的信息，请访问软件更新服务 Web 站点。

重新启动要求

在应用此安全更新后，必须重新启动系统。

删除信息

要删除此更新，请使用"控制面板"中的"添加/删除程序"工具。

系统管理员也可以使用 Spuninst.exe实用工具删除此安全更新。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB835732$\Spuninst 文件夹中。Spuninst.exe实用工具支持以下安装开关：

/?: 显示安装开关列表

/u: 使用无人参与模式

/f: 关闭计算机时强制其他程序退出

/z: 完成安装后不重新启动

/q: 使用安静模式（没有用户交互）

文件信息

此更新的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用"控制面板"的"日期和时间"工具中的"时区"选项卡。

Windows Server 2003 Enterprise Edition, Windows Server 2003 St和ard Edition, Windows Server 2003 Web Edition, 和 Windows Server 2003 Datacenter Edition:

   日期         时间   版本              大小     文件名           平台  文件夹
   -----------------------------------------------------------------------------
   16-Mar-2004  02:00  5.2.3790.132      364,544  Callcont.dll     X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.121       61,440  Eventlog.dll     X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.132      256,000  H323.tsp         X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.132      601,600  H323msp.dll      X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.125      783,360  Helpctr.exe      X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.142      448,512  Ipnathlp.dll     X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.134      799,232  Lsasrv.dll       X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.139       60,928  Msasn1.dll       X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.132      253,952  Mst120.dll       X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.132       73,728  Nmcom.dll        X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.121      565,760  Rtcdll.dll       X86   RTMGDR
   16-Mar-2004  02:00  5.2.3790.132      153,088  Schannel.dll     X86   RTMGDR
   16-Mar-2004  02:09  5.2.3790.132      364,544  Callcont.dll     X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.121       64,000  Eventlog.dll     X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.132      256,000  H323.tsp         X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.132      601,600  H323msp.dll      X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.125      783,360  Helpctr.exe      X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.142      448,512  Ipnathlp.dll     X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.134      801,280  Lsasrv.dll       X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.139       60,928  Msasn1.dll       X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.132      253,952  Mst120.dll       X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.132       73,728  Nmcom.dll        X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.121      565,760  Rtcdll.dll       X86   RTMQFE
   16-Mar-2004  02:09  5.2.3790.132      153,088  Schannel.dll     X86   RTMQFE

Windows Server 2003 64-Bit Enterprise Edition 和 Windows Server 2003 64-Bit Datacenter Edition:

   日期         时间   版本            大小       文件名           平台  文件夹
   -----------------------------------------------------------------------------
   16-Mar-2004  01:54  5.2.3790.121      160,768  Eventlog.dll     IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.132      816,128  H323.tsp         IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.132    1,874,432  H323msp.dll      IA64   RTMGDR
   05-Feb-2004  00:43  5.2.3790.125    2,063,360  Helpctr.exe      IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.142    1,421,312  Ipnathlp.dll     IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.134    2,034,176  Lsasrv.dll       IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.139      160,256  Msasn1.dll       IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.132      479,744  Schannel.dll     IA64   RTMGDR
   16-Mar-2004  02:00  5.2.3790.132      256,000  Wh323.tsp        X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.132      601,600  Wh323msp.dll     X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.142      448,512  Wipnathlp.dll    X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.139       60,928  Wmsasn1.dll      X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.132      153,088  Wschannel.dll    X86    RTMGDR\WOW
   16-Mar-2004  02:12  5.2.3790.121      167,424  Eventlog.dll     IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.132      816,128  H323.tsp         IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.132    1,874,432  H323msp.dll      IA64   RTMQFE
   05-Feb-2004  00:42  5.2.3790.125    2,063,360  Helpctr.exe      IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.142    1,421,312  Ipnathlp.dll     IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.134    2,038,272  Lsasrv.dll       IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.139      160,256  Msasn1.dll       IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.132      479,744  Schannel.dll     IA64   RTMQFE
   16-Mar-2004  02:09  5.2.3790.132      256,000  Wh323.tsp        X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.132      601,600  Wh323msp.dll     X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.142      448,512  Wipnathlp.dll    X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.139       60,928  Wmsasn1.dll      X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.132      153,088  Wschannel.dll    X86    RTMQFE\WOW

注意 ：当您在 Windows Server 2003 或 Windows XP 64-Bit Edition Version 2003 上安装此安全更新时，安装程序将检查系统中正在更新的文件中是否有以前被 Microsoft 修复程序更新过的文件。如果以前安装的修复程序已经更新过其中的某个文件，安装程序会将 RTMQFE 文件复制到系统中。否则，安装程序会将 RTMGDR 文件复制到系统中。有关详细信息，请参见 Microsoft 知识库文 824994。

验证更新安装

要验证受影响的系统上是否安装了安全更新，也许可以使用 Microsoft 基准安全分析器 (MBSA) 工具。使用此工具，管理员可以在本地和远程系统中扫描缺少的安全更新和常见的安全错误配置。

也许还可以通过查看以下注册表项，验证此安全更新已安装的文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Filelist

注意 ：如果管理员或 OEM 将 835732 安全更新集成或组合到 Windows 安装源文件中，则可能无法正确创建此注册表项。

注意 ：对于 Windows XP 64-Bit Edition Version 2003，此安全更新与 Windows Server 2003 64-Bit Edition 的安全更新相同。

先决条件
此安全更新要求 Windows XP 或 Windows XP Service Pack 1 (SP1) 的已发布版本。有关详细信息，请参见 Microsoft 知识库文章 322389。

这些问题的更新将包括在 Windows XP Service Pack 2 中。

安装信息

此安全更新支持以下安装开关：

/help 显示命令行选项

安装模式

/quiet安静模式（无用户交互或显示）

/passive 无人参与模式（只显示进度栏）

/uninstall卸载程序包

重新启动选项

/norestart 安装完成后不重新启动

/forcerestart 安装完成后重新启动

特殊选项

/l 列出已安装的 Windows 修复程序或更新程序包

/o 不经提示即改写 OEM 文件

/n 不备份卸载所需的文件

/f 在计算机关机时强制关闭其他程序

注意 ：可以将这些开关组合到一个命令中。为了向后兼容，此安全更新还支持以前版本的安装实用工具所使用的安装开关。有关受支持的安装开关的详细信息，请参见 Microsoft 知识库文章 262841。

部署信息

对于 Windows XP，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsxp-kb835732-x86-enu /passive /quiet

对于 Windows XP，如果安装此安全更新后不强制系统重新启动，请在命令提示符处使用以下命令：

Windowsxp-kb835732-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的详细信息，请访问软件更新服务 Web 站点。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用"控制面板"中的"添加或删除程序"工具。

系统管理员还可以使用 Spuninst.exe 实用工具删除此安全更新。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB835732$\Spuninst 文件夹中。Spuninst.exe 实用工具支持以下安装开关：

/?: 显示安装开关列表

/u: 使用无人参与模式

/f: 关闭计算机时强制其他程序退出

/z: 完成安装后不重新启动

/q: 使用安静模式（没有用户交互）

文件信息

此更新的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用"控制面板"的"日期和时间"工具中的"时区"选项卡。

Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, 和 Windows XP Media Center Edition:

   日期         时间   版本              大小     文件名          文件夹
   -----------------------------------------------------------------------
   27-Mar-2004  01:01  5.1.2600.105       48,640  Browser.dll     (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.133      364,544  Callcont.dll    (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.136       40,960  Evtgprov.dll    (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.132      241,664  Gdi32.dll       (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.134      253,440  H323.tsp        (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.134      593,408  H323msp.dll     (pre-sp1)
   05-Feb-2004  22:14  5.1.2600.128      727,040  Helpctr.exe     (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.137      454,656  Ipnathlp.dll    (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.134      648,192  Lsasrv.dll      (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.132       36,864  Mf3216.dll      (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.137       51,712  Msasn1.dll      (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.128      969,216  Msgina.dll      (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.133      253,952  Mst120.dll      (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.122      301,568  Netapi32.dll    (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.133       73,728  Nmcom.dll       (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.134      550,400  Rtcdll.dll      (pre-sp1)
   27-Mar-2004  01:01  5.1.2600.136      136,704  Schannel.dll    (pre-sp1)
   26-Mar-2004  19:43  5.1.2600.1348     364,544  Callcont.dll    (with sp1)
   26-Mar-2004  19:43  5.1.2600.1363      40,960  Evtgprov.dll    (with sp1)
   26-Mar-2004  19:43  5.1.2600.1346     257,536  Gdi32.dll       (with sp1)
   26-Mar-2004  19:43  5.1.2600.1348     253,440  H323.tsp        (with sp1)
   26-Mar-2004  19:43  5.1.2600.1348     593,408  H323msp.dll     (with sp1)
   26-Mar-2004  19:30  5.1.2600.1340     741,376  Helpctr.exe     (with sp1)
   26-Mar-2004  19:43  5.1.2600.1364     439,808  Ipnathlp.dll    (with sp1)
   26-Mar-2004  19:43  5.1.2600.1361     667,648  Lsasrv.dll      (with sp1)
   26-Mar-2004  19:43  5.1.2600.1331      36,864  Mf3216.dll      (with sp1)
   26-Mar-2004  19:43  5.1.2600.1362      51,712  Msasn1.dll      (with sp1)
   26-Mar-2004  19:43  5.1.2600.1343     971,264  Msgina.dll      (with sp1)
   26-Mar-2004  19:43  5.1.2600.1348     253,952  Mst120.dll      (with sp1)
   26-Mar-2004  19:43  5.1.2600.1343     306,176  Netapi32.dll    (with sp1)
   26-Mar-2004  19:43  5.1.2600.1348      73,728  Nmcom.dll       (with sp1)
   26-Mar-2004  19:43  5.1.2600.1351     548,352  Rtcdll.dll      (with sp1)
   26-Mar-2004  19:43  5.1.2600.1347     136,704  Schannel.dll    (with sp1)
   10-Mar-2004  17:59  5.1.2600.1363     593,408  Xpsp2res.dll    (with sp1)

Windows XP 64-Bit Edition Service Pack 1:

   日期         时间   版本            大小       文件名           文件夹
   --------------------------------------------------------------------------
   26-Mar-2004  19:40  5.1.2600.1363     134,656  Evtgprov.dll     IA64
   26-Mar-2004  19:40  5.1.2600.1346     884,736  Gdi32.dll        IA64
   26-Mar-2004  19:40  5.1.2600.1348   1,035,264  H323.tsp         IA64
   26-Mar-2004  19:40  5.1.2600.1348   2,230,272  H323msp.dll      IA64
   05-Feb-2004  21:40  5.1.2600.1340   2,426,368  Helpctr.exe      IA64
   26-Mar-2004  19:40  5.1.2600.1364   1,782,784  Ipnathlp.dll     IA64
   26-Mar-2004  19:40  5.1.2600.1361   2,069,504  Lsasrv.dll       IA64
   26-Mar-2004  19:40  5.1.2600.1331     128,512  Mf3216.dll       IA64
   26-Mar-2004  19:40  5.1.2600.1362     179,200  Msasn1.dll       IA64
   26-Mar-2004  19:40  5.1.2600.1343   1,272,320  Msgina.dll       IA64
   26-Mar-2004  19:40  5.1.2600.1343     903,168  Netapi32.dll     IA64
   26-Mar-2004  19:40  5.1.2600.1347     508,416  Schannel.dll     IA64
   26-Mar-2004  19:43  5.1.2600.1346     237,568  Wgdi32.dll       X86
   26-Mar-2004  19:43  5.1.2600.1348     253,440  Wh323.tsp        X86
   26-Mar-2004  19:43  5.1.2600.1348     593,408  Wh323msp.dll     X86
   26-Mar-2004  19:43  5.1.2600.1364     439,808  Wipnathlp.dll    X86
   26-Mar-2004  19:43  5.1.2600.1331      36,864  Wmf3216.dll      X86
   26-Mar-2004  19:43  5.1.2600.1362      51,712  Wmsasn1.dll      X86
   26-Mar-2004  19:43  5.1.2600.1343     971,264  Wmsgina.dll      X86
   26-Mar-2004  19:43  5.1.2600.1343     306,176  Wnetapi32.dll    X86
   26-Mar-2004  19:43  5.1.2600.1347     136,704  Wschannel.dll    X86
   10-Mar-2004  17:59  5.1.2600.1363     593,408  Wxpsp2res.dll    X86
   10-Mar-2004  17:59  5.1.2600.1363     592,896  Xpsp2res.dll     IA64

Windows XP 64-Bit Edition Version 2003:

   日期         时间      版本           大小             文件名   文件夹
   -----------------------------------------------------------------------------
   16-Mar-2004  01:54  5.2.3790.121      160,768  Eventlog.dll     IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.132      816,128  H323.tsp         IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.132    1,874,432  H323msp.dll      IA64   RTMGDR
   05-Feb-2004  00:43  5.2.3790.125    2,063,360  Helpctr.exe      IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.142    1,421,312  Ipnathlp.dll     IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.134    2,034,176  Lsasrv.dll       IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.139      160,256  Msasn1.dll       IA64   RTMGDR
   16-Mar-2004  01:54  5.2.3790.132      479,744  Schannel.dll     IA64   RTMGDR
   16-Mar-2004  02:00  5.2.3790.132      256,000  Wh323.tsp        X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.132      601,600  Wh323msp.dll     X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.142      448,512  Wipnathlp.dll    X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.139       60,928  Wmsasn1.dll      X86    RTMGDR\WOW
   16-Mar-2004  02:00  5.2.3790.132      153,088  Wschannel.dll    X86    RTMGDR\WOW
   16-Mar-2004  02:12  5.2.3790.121      167,424  Eventlog.dll     IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.132      816,128  H323.tsp         IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.132    1,874,432  H323msp.dll      IA64   RTMQFE
   05-Feb-2004  00:42  5.2.3790.125    2,063,360  Helpctr.exe      IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.142    1,421,312  Ipnathlp.dll     IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.134    2,038,272  Lsasrv.dll       IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.139      160,256  Msasn1.dll       IA64   RTMQFE
   16-Mar-2004  02:12  5.2.3790.132      479,744  Schannel.dll     IA64   RTMQFE
   16-Mar-2004  02:09  5.2.3790.132      256,000  Wh323.tsp        X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.132      601,600  Wh323msp.dll     X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.142      448,512  Wipnathlp.dll    X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.139       60,928  Wmsasn1.dll      X86    RTMQFE\WOW
   16-Mar-2004  02:09  5.2.3790.132      153,088  Wschannel.dll    X86    RTMQFE\WOW

注意 此安全更新的 Windows XP 和 Windows XP 64-Bit Edition Version 2003 版本被打包为双模式程序包，其中包含 Windows XP 的原始版本和 Windows XP Service Pack 1 (SP1) 的文件。有关双模式程序包的详细信息，请参见 Microsoft 知识库文章 328848。

安装 Windows XP 64-Bit Edition Version 2003 安全更新时，安装程序会检查系统上正在更新的文件中是否有以前被 Microsoft 修复程序更新过的文件。如果以前安装的修复程序已经更新过其中的某个文件，安装程序会将 RTMQFE 文件复制到系统中。否则，安装程序会将 RTMGDR 文件复制到系统中。有关详细信息，请参见 Microsoft 知识库文章824994。

验证更新安装

要验证受影响的系统上是否安装了安全更新，也许可以使用 Microsoft 基准安全分析器 (MBSA) 工具。使用此工具，管理员可以在本地和远程系统中扫描缺少的安全更新和常见的安全错误配置。

也许还可以通过查看以下注册表项，验证此安全更新已安装的文件

对于 Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64-Bit Edition Service Pack 1, Windows XP Tablet PC Edition, 和 Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB835732\Filelist

对于 Windows XP 64-Bit Edition Version 2003:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Filelist

注意 ：如果管理员或 OEM 将 835732 安全更新集成或组合到 Windows 安装源文件中，则可能无法正确创建此注册表项。

先决条件
对于 Windows 2000，此安全更新要求 Service Pack 2 (SP2)、Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。

已对上面列出的软件进行了测试，以确定这些版本是否受影响。其他版本或者不再包括安全更新支持，或者可能不受影响。要确定您的产品和版本的支持寿命，请访问 Microsoft 支持寿命 Web 站点。

有关如何获得最新 Service Pack 的详细信息，请参见 Microsoft 知识库文章 260910。

包括在将来的哪些 Service Pack 中：
这些问题的更新将包括在 Windows 2000 Service Pack 5 中。

安装信息

此安全更新支持以下安装开关：

/help 显示命令行选项

安装模式

/quiet安静模式（无用户交互或显示）

/passive 无人参与模式（只显示进度栏）

/uninstall卸载程序包

重新启动选项

/norestart 安装完成后不重新启动

/forcerestart ? 安装完成后重新启动

特殊选项

/l 列出已安装的 Windows 修复程序或更新程序包

/o 不经提示即改写 OEM 文件

/n 不备份卸载所需的文件

/f 在计算机关机时强制关闭其他程序

注意 ：可以将这些开关组合到一个命令中。为了向后兼容，此安全更新还支持以前版本的安装实用工具所使用的安装开关。有关受支持的安装开关的详细信息，请参见 Microsoft 知识库文章 262841。

部署信息

对于 Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windows2000-kb835732-x86-enu /passive /quiet

对于 Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4，如果安装此安全更新后不强制系统重新启动，请在命令提示符处使用以下命令：

Windows2000-kb835732-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的详细信息，请访问软件更新服务 Web 站点。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用"控制面板"中的"添加/删除程序"工具。

系统管理员还可以使用 Spuninst.exe 实用工具删除此安全更新。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB835732$\Spuninst 文件夹中。Spuninst.exe 实用工具支持以下安装开关：

/?: 显示安装开关列表

/u: 使用无人参与模式

/f: 关闭计算机时强制其他程序退出

/z: 完成安装后不重新启动

/q: 使用安静模式（没有用户交互）

文件信息

此更新的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用"控制面板"的"日期和时间"工具中的"时区"选项卡。

注意 ：安装期间可以更改日期和时间信息。应使用版本、大小和文件名信息来确定文件的正确性。

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, 和 Windows 2000 Service Pack 4:

   日期         时间   版本        大小       文件名    文件夹
   -----------------------------------------------------------------------
   24-Mar-2004  02:17  5.0.2195.6876     388,368  Advapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6824      42,256  Basesrv.dll      
   24-Mar-2004  02:17  5.0.2195.6866      69,904  Browser.dll      
   24-Mar-2004  02:17  5.0.2195.6901     394,512  Callcont.dll     
   21-Sep-2003  00:45  5.0.2195.6824     236,304  Cmd.exe          
   24-Mar-2004  02:17  5.131.2195.6824   543,504  Crypt32.dll      
   24-Mar-2004  02:17  5.131.2195.6824    61,200  Cryptnet.dll     
   24-Mar-2004  02:17  5.0.2195.6868      76,048  Cryptsvc.dll     
   24-Mar-2004  02:17  5.0.2195.6824     134,928  Dnsapi.dll       
   24-Mar-2004  02:17  5.0.2195.6876      92,432  Dnsrslvr.dll     
   24-Mar-2004  02:17  5.0.2195.6883      47,888  Eventlog.dll     
   24-Mar-2004  02:17  5.0.2195.6898     242,448  Gdi32.dll        
   24-Mar-2004  02:17  5.0.2195.6901     255,248  H323.tsp         
   24-Mar-2004  00:46                        502  Hfsecper.inf
   17-Mar-2004  21:50                        502  Hfsecupd.inf
   24-Mar-2004  02:17  5.0.2195.6902     442,640  Ipnathlp.dll     
   24-Mar-2004  02:17  5.0.2195.6890     143,632  Kdcsvc.dll       
   11-Mar-2004  02:37  5.0.2195.6903     210,192  Kerberos.dll     
   24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll     
   21-Sep-2003  00:32  5.0.2195.6824      71,888  Ksecdd.sys       
   11-Mar-2004  02:37  5.0.2195.6902     520,976  Lsasrv.dll       
   25-Feb-2004  23:59  5.0.2195.6902      33,552  Lsass.exe        
   24-Mar-2004  02:17  5.0.2195.6898      37,136  Mf3216.dll       
   10-Feb-2004  19:47  5.0.2195.6897      30,160  Mountmgr.sys     
   24-Mar-2004  02:17  5.0.2195.6824      54,544  Mpr.dll          
   24-Mar-2004  02:17  5.0.2195.6905      53,520  Msasn1.dll       
   24-Mar-2004  02:17  5.0.2195.6895     335,120  Msgina.dll       
   24-Mar-2004  02:17  5.0.2195.6901     249,616  Mst120.dll       
   11-Mar-2004  02:37  5.0.2195.6897     123,152  Msv1_0.dll       
   24-Mar-2004  02:17  5.0.2195.6897     312,592  Netapi32.dll     
   24-Mar-2004  02:17  5.0.2195.6891     371,472  Netlogon.dll     
   24-Mar-2004  02:17  5.0.2195.6901      62,224  Nmcom.dll        
   24-Mar-2004  02:17  5.0.2195.6899     497,936  Ntdll.dll        
   24-Mar-2004  02:17  5.0.2195.6896   1,028,880  Ntdsa.dll        
   25-Feb-2004  23:55  5.0.2195.6902   1,699,904  Ntkrnlmp.exe     
   25-Feb-2004  23:55  5.0.2195.6902   1,699,264  Ntkrnlpa.exe     
   25-Feb-2004  23:55  5.0.2195.6902   1,720,064  Ntkrpamp.exe     
   11-Mar-2004  02:37  5.0.2195.6902   1,726,032  Ntoskrnl.exe     
   24-Mar-2004  02:17  5.0.2195.6824     115,984  Psbase.dll       
   24-Mar-2004  02:17  5.0.2195.6892      90,264  Rdpwd.sys        
   24-Mar-2004  02:17  5.0.2195.6897      49,936  Samlib.dll       
   24-Mar-2004  02:17  5.0.2195.6897     388,368  Samsrv.dll       
   24-Mar-2004  02:17  5.0.2195.6893     111,376  Scecli.dll       
   24-Mar-2004  02:17  5.0.2195.6903     253,200  Scesrv.dll       
   11-Mar-2004  02:37  5.1.2195.6899     143,120  Schannel.dll     
   19-Jun-2003  20:05  5.0.2195.6707      17,168  Seclogon.dll     
   24-Mar-2004  02:17  5.0.2195.6894     971,536  Sfcfiles.dll     
   05-Feb-2004  20:18  5.0.2195.6896   5,869,056  Sp3res.dll       
   24-Mar-2004  02:17  1.0.0.4            27,920  Um和lg.dll      
   24-Mar-2004  02:17  5.0.2195.6897     403,216  User32.dll       
   05-Aug-2003  22:14  5.0.2195.6794     385,808  Userenv.dll      
   24-Mar-2004  02:17  5.0.2195.6824      50,960  W32time.dll      
   21-Sep-2003  00:32  5.0.2195.6824      57,104  W32tm.exe        
   11-Mar-2004  02:37  5.0.2195.6897   1,720,368  Win32k.sys       
   12-Dec-2003  21:38  5.1.2600.1327     311,296  Winhttp.dll      
   11-Mar-2004  02:37  5.0.2195.6898     181,520  Winlogon.exe     
   25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll       
   24-Mar-2004  02:17  5.131.2195.6824   167,184  Wintrust.dll     
   24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll  Uniproc   
   24-Mar-2004  02:17  5.0.2195.6899     497,936  Ntdll.dll     Uniproc   
   11-Mar-2004  02:37  5.0.2195.6897   1,720,368  Win32k.sys    Uniproc   
   25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll    Uniproc  

验证更新安装

要验证受影响的系统上是否安装了安全更新，也许可以使用 Microsoft 基准安全分析器 (MBSA) 工具。使用此工具，管理员可以在本地和远程系统中扫描缺少的安全更新和常见的安全错误配置。

也许还可以通过查看以下注册表项，验证此安全更新已安装的文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB835732\Filelist

注意 ：如果管理员或 OEM 将 835732 安全更新集成或组合到 Windows 安装源文件中，则可能无法正确创建此注册表项。

先决条件
此安全更新要求 Windows NT Workstation 4.0 Service Pack 6a (SP6a)、Windows NT Server 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6)。

注意 已对上面列出的软件进行了测试，以确定这些版本是否受影响。其他版本或者不再包括安全更新支持，或者可能不受影响。请访问 Web 站点. 请访问 Microsoft Support Lifecycle Web 站点，确定产品和版本的支持周期。

已对上面列出的软件进行了测试，以确定这些版本是否受影响。其他版本或者不再包括安全更新支持，或者可能不受影响。请访问 Microsoft Support Lifecycle Web 站点，确定产品和版本的支持周期。

有关如何获得最新 Service Pack 的详细信息，请参见 Microsoft 知识库文章 152734。

安装信息

此安全更新支持以下安装开关：

/y: 执行删除（仅与 /m 或 /q 一起使用）

/f: 关机过程中强制程序退出

/n: 不创建 Uninstall 文件夹

/z: 完成更新后不重新启动

/q: 使用不带用户界面的安静模式或无人参与模式（此开关是 /m 的超集）

/m: 使用无人参与模式，有用户界面

/l: 列出安装的修复程序

/x: 解压缩文件，但不运行安装程序

注意 : 可以将这些开关组合到一个命令中。有关受支持的安装开关的详细信息，请参见 Microsoft 知识库文章 262841。

部署信息

对于 Windows NT Server 4.0，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsnt4server-kb835732-x86-enu /q

对于 Windows NT Server 4.0 Terminal Server Edition：

Windowsnt4terminalserver-kb835732-x86-enu /q

对于 Windows NT Workstation 4.0：

Windowsnt4workstation-kb835732-x86-enu /q

对于 Windows NT Server 4.0，如果在安装此安全更新后不强制系统重新启动，请在命令提示符处使用以下命令：

Windowsnt4server-kb835732-x86-enu /z

对于 Windows NT Server 4.0 Terminal Server Edition：

Windowsnt4terminalserver-kb835732-x86-enu /z

对于 Windows NT Workstation 4.0：

Windowsnt4workstation-kb835732-x86-enu /z

有关如何使用软件更新服务部署此安全更新的更多信息，请访问 软件更新服务 Web 站点。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用"控制面板"中的"添加/删除程序"工具。

系统管理员可以使用 Hotfix.exe 实用工具删除此安全更新。Hotfix.exe 实用工具位于 %Windir%\$NTUninstallKB835732$ 文件夹中。Hotfix.exe 实用工具支持以下安装开关：

/y: 执行删除（仅与 /m 或 /q 开关一起使用）

/f: 关机过程中强制程序退出

/n: 不创建 Uninstall 文件夹

/z: 不创建 Uninstall 文件夹

/q: 使用安静或无人参与模式，没有用户界面（此开关是 /m 的超集）

/m: 使用无人参与模式，有用户界面

/l: 列出安装的修复程序

文件信息

此更新的英文版具有下表所列的（或更新的）文件属性。这些文件的日期和时间按照协调通用时间 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 和本地时间之间的时差，可使用"控制面板"的"日期和时间"工具中的"时区"选项卡。

注意 ：安装期间可以更改日期和时间信息。应使用版本、大小和文件名信息来确定文件的正确性。

Windows NT Workstation 4.0

   日期         时间   版本        大小       文件名     文件名
   --------------------------------------------------------------------
   24-Jan-2004  00:12  5.131.1880.14     465,680  Crypt32.dll      
   25-Sep-2002  21:36  5.0.1558.6072      90,384  Cryptdlg.dll     
   12-Dec-2003  00:10  5.131.1878.14     440,080  Cryptui.dll      
   27-Feb-2004  16:43  4.0.1381.7263     205,584  Gdi32.dll        
   23-Feb-2004  15:13  4.0.1381.7263      40,720  Mf3216.dll       
   05-Mar-2004  23:59  5.0.2195.6905      53,520  Msasn1.dll       
   28-Feb-2004  01:31  5.131.1880.14      37,136  Mscat32.dll      
   09-Jan-2004  15:40  4.0.1381.7255     125,200  Msgina.dll       
   07-Jan-2003  02:22  5.131.1878.13      28,432  Mssip32.dll      
   18-Mar-2004  10:20  4.0.1381.7265     958,336  Ntkrnlmp.exe     
   18-Mar-2004  10:20  4.0.1381.7265     937,984  Ntoskrnl.exe     
   25-Oct-2003  01:13  4.86.1964.1880    143,632  Schannel.dll     
   12-Dec-2003  22:24  5.131.1880.14       6,928  Softpub.dll      
   27-Feb-2004  16:43  4.0.1381.7255     326,928  User32.dll       
   07-Jan-2004  10:47  4.0.1381.7255   1,255,152  Win32k.sys       
   27-Feb-2004  16:43  4.0.1381.7260     174,864  Winsrv.dll       
   19-Feb-2004  17:50  5.131.1880.14     165,648  Wintrust.dll
   25-Oct-2003  01:13  4.87.1964.1880    112,912  Schannel.dll 128bit

Windows NT Server 4.0:

   日期         时间   版本        大小       文件名     文件名
   -----------------------------------------------------------------------
   24-Jan-2004  00:12  5.131.1880.14     465,680  Crypt32.dll      
   25-Sep-2002  21:36  5.0.1558.6072      90,384  Cryptdlg.dll     
   12-Dec-2003  00:10  5.131.1878.14     440,080  Cryptui.dll      
   27-Feb-2004  16:43  4.0.1381.7263     205,584  Gdi32.dll        
   23-Feb-2004  15:13  4.0.1381.7263      40,720  Mf3216.dll       
   05-Mar-2004  23:59  5.0.2195.6905      53,520  Msasn1.dll       
   28-Feb-2004  01:31  5.131.1880.14      37,136  Mscat32.dll      
   09-Jan-2004  15:40  4.0.1381.7255     125,200  Msgina.dll       
   07-Jan-2003  02:22  5.131.1878.13      28,432  Mssip32.dll      
   18-Mar-2004  10:20  4.0.1381.7265     958,336  Ntkrnlmp.exe     
   18-Mar-2004  10:20  4.0.1381.7265     937,984  Ntoskrnl.exe     
   25-Oct-2003  01:13  4.86.1964.1880    143,632  Schannel.dll     
   12-Dec-2003  22:24  5.131.1880.14       6,928  Softpub.dll      
   27-Feb-2004  16:43  4.0.1381.7255     326,928  User32.dll       
   07-Jan-2004  10:47  4.0.1381.7255   1,255,152  Win32k.sys       
   27-Feb-2004  16:43  4.0.1381.7260     174,864  Winsrv.dll       
   19-Feb-2004  17:50  5.131.1880.14     165,648  Wintrust.dll     
   25-Oct-2003  01:13  4.87.1964.1880    112,912  Schannel.dll  128 Bit

Windows NT Server 4.0 终端服务器版:

   日期         时间   版本        大小       文件名     文件名
   -----------------------------------------------------------------------
   24-Jan-2004  00:12  5.131.1880.14     465,680  Crypt32.dll      
   25-Sep-2002  21:36  5.0.1558.6072      90,384  Cryptdlg.dll     
   12-Dec-2003  00:10  5.131.1878.14     440,080  Cryptui.dll      
   24-Feb-2004  18:25  4.0.1381.33562    206,096  Gdi32.dll        
   24-Feb-2004  18:25  4.0.1381.33562     40,208  Mf3216.dll       
   05-Mar-2004  23:59  5.0.2195.6905      53,520  Msasn1.dll       
   28-Feb-2004  01:31  5.131.1880.14      37,136  Mscat32.dll      
   09-Jan-2004  15:41  4.0.1381.33559    208,656  Msgina.dll       
   07-Jan-2003  02:22  5.131.1878.13      28,432  Mssip32.dll      
   18-Mar-2004  11:44  4.0.1381.33563  1,004,160  Ntkrnlmp.exe     
   18-Mar-2004  11:44  4.0.1381.33563    983,104  Ntoskrnl.exe     
   25-Oct-2003  01:13  4.86.1964.1880    143,632  Schannel.dll     
   12-Dec-2003  22:24  5.131.1880.14       6,928  Softpub.dll      
   19-Aug-2003  13:58  4.0.1381.33552    332,048  User32.dll       
   26-Jan-2004  16:59  4.0.1381.33559  1,280,816  Win32k.sys       
   16-Dec-2003  17:56  4.0.1381.33559    196,368  Winsrv.dll       
   19-Feb-2004  17:50  5.131.1880.14     165,648  Wintrust.dll     
   25-Oct-2003  01:13  4.87.1964.1880    112,912  Schannel.dll 128bit

验证更新安装

要验证受影响的系统上是否安装了安全更新，也许可以使用 Microsoft 基准安全分析器 (MBSA) 工具。使用此工具，管理员可以在本地和远程系统中扫描缺少的安全更新和常见的安全错误配置。

也许还可以通过查看以下注册表项，验证此安全更新已安装的文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB835732\File 1

注意 ：如果管理员或 OEM 将 835732 安全更新集成或组合到 Windows 安装源文件中，则可能无法正确创建此注册表项。