Existe uma maneira no Windows de verificar que diz Boletim de Segurança MS**-***ou CVE-****-*****foi corrigido? por exemplo, algo semelhante ao da RedHatrpm -q --changelog service
Windows 2008 R2 SP1
Existe uma maneira no Windows de verificar que diz Boletim de Segurança MS**-***ou CVE-****-*****foi corrigido? por exemplo, algo semelhante ao da RedHatrpm -q --changelog service
Windows 2008 R2 SP1
Respostas:
A execução de SystemInfo no servidor ( systeminfo /s $SERVER) também deve listar os hotfixes instalados.
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
Eu executo o PSinfo -h no servidor para mostrar os hotfixes instalados.
Outra alternativa se você não pode usar o pstools e se vê preso às ferramentas Winder nativas:
reg query hklm\software\microsoft\windows\currentversion\uninstall /s | findstr "KB[0-9].*" > %TEMP%\Installed.txt & notepad %TEMP%\Installed.txt
O WMIC pode listar os hotfixes instalados:
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
Também pode procurar um hotfix específico. Aqui, mostro duas pesquisas - uma bem-sucedida e outra malsucedida:
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
Também para verificar vulnerabilidades em subsistemas que você talvez não conheça no sistema, o Microsoft Baseline Security Analayzer é uma ferramenta bastante útil. Nem sempre é o que você sabe sobre isso, mas às vezes existem coisas estranhas instaladas que não são verificadas ou atendidas pelo WSUS ou Microsoft Update que podem permanecer sem patch ou sem mitigação durante a vida útil do sistema.