Esiste un modo in Windows per verificare che dica Bollettino sulla sicurezza MS**-***
o che CVE-****-*****
sia stato corretto? ad esempio qualcosa di simile a quello di RedHatrpm -q --changelog service
Windows 2008 R2 SP1
Esiste un modo in Windows per verificare che dica Bollettino sulla sicurezza MS**-***
o che CVE-****-*****
sia stato corretto? ad esempio qualcosa di simile a quello di RedHatrpm -q --changelog service
Windows 2008 R2 SP1
Risposte:
L'esecuzione di SystemInfo sul server ( systeminfo /s $SERVER
) dovrebbe anche elencare gli aggiornamenti rapidi installati.
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
Corro PSinfo -h contro il server per mostrare gli aggiornamenti rapidi installati.
Un'altra alternativa se non puoi usare pstools e ti trovi bloccato con gli strumenti nativi di Winder:
reg query hklm\software\microsoft\windows\currentversion\uninstall /s | findstr "KB[0-9].*" > %TEMP%\Installed.txt & notepad %TEMP%\Installed.txt
WMIC può elencare gli aggiornamenti rapidi installati:
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
Può anche cercare un aggiornamento rapido specifico. Qui mostro due ricerche - una riuscita, una non riuscita:
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
Anche per il controllo delle vulnerabilità su sottosistemi che potresti non conoscere sul sistema, Microsoft Baseline Security Analayzer è uno strumento abbastanza utile. Non sono sempre quelli che conosci a farti arrivare, a volte ci sono cose strane installate che non sono scansionate o revisionate da WSUS o Microsoft Update che possono rimanere senza patch o non mitigate per la vita del sistema.