Comment vérifier qu'une vulnérabilité connue de Windows a été corrigée?

8

Existe-t-il un moyen dans Windows de vérifier que le bulletin de sécurité est correct MS**-***ou CVE-****-*****a été corrigé? par exemple quelque chose qui ressemble à RedHatrpm -q --changelog service

Windows 2008 R2 SP1

windows pci-dss vulnerabilities security frogstarr78
la source

Réponses:

8

L'exécution de SystemInfo sur votre serveur ( systeminfo /s $SERVER) doit également répertorier les correctifs installés.

Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11

la source
ça l'a fait. Thanx
frogstarr78
La fraîcheur et la simplicité de cela ne peuvent pas être sous-estimées. :)
Mitch
3

Je lance PsInfo -h contre le serveur pour afficher les correctifs installés.

Mitch
la source
sympa, mais il ne répertorie aucun correctif
frogstarr78
Cela devrait ressembler à quelque chose comme ça, si je savais quoi que ce soit sur la mise en forme de ce truc correctement. HotFix installé 2007-11-17 Hotfix Microsoft .NET Framework 1.1 (KB928366) 2008-10-27 Hotfix Microsoft .NET Framework 1.1 (KB947742) 2007-05-25 Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) 2004-07- 17 Composants Microsoft Data Access KB870669
Mitch
Je comprends. Le lien que vous avez fourni a également un assez bon exemple de sortie. Il ne répertorie rien pour moi. Je ne pense pas qu'il ait quoi que ce soit à faire avec moi en utilisant SP1?
frogstarr78
Je ne suis pas sûr, je vois des commentaires sur le SP qui ne s'affichent pas correctement sur R2. Une autre solution que vous pourriez essayer est un script Powershell qui tirera les correctifs pour vous.
Mitch
Ça ira. Thanx Mitch
frogstarr78
3

Une autre alternative si vous ne pouvez pas utiliser pstools et que vous vous retrouvez coincé avec les outils natifs de Winder:

reg query hklm\software\microsoft\windows\currentversion\uninstall /s | findstr "KB[0-9].*" > %TEMP%\Installed.txt & notepad %TEMP%\Installed.txt
Glen
la source
J'aime mieux ça. Je préfère le cli moi-même. Cependant, il n'y a toujours rien de répertorié lorsque j'exécute cela.
frogstarr78
3

WMIC peut répertorier les correctifs installés:

C:\>wmic qfe get hotfixid, installedon
HotFixID   InstalledOn
KB2605658  11/30/2011
KB2608610  9/1/2011
KB2608612  9/26/2011
KB2614194  9/26/2011
...(more)...

Il peut également rechercher un correctif spécifique. Ici, je montre deux recherches - une réussie, une infructueuse:

C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID   InstalledOn
KB2608610  9/1/2011

C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
quux
la source
1

Aussi pour vérifier les vulnérabilités sur les sous-systèmes que vous ne connaissez peut-être pas sur le système, le Microsoft Baseline Security Analayzer est un outil assez utile. Ce ne sont pas toujours ceux que vous connaissez qui vous obtiennent, parfois il y a des choses bizarres installées qui ne sont pas analysées ou gérées par WSUS ou Microsoft Update qui peuvent rester non corrigées ou non atténuées pendant la durée de vie du système.

Fiasco Labs
la source
Je vais le vérifier
merci