¿Hay alguna manera en Windows de verificar que diga el Boletín de seguridad MS**-***o que CVE-****-*****haya sido parcheado? por ejemplo, algo parecido a RedHat'srpm -q --changelog service
Windows 2008 R2 SP1
¿Hay alguna manera en Windows de verificar que diga el Boletín de seguridad MS**-***o que CVE-****-*****haya sido parcheado? por ejemplo, algo parecido a RedHat'srpm -q --changelog service
Windows 2008 R2 SP1
Respuestas:
Ejecutar SystemInfo contra su servidor ( systeminfo /s $SERVER) también debería enumerar las revisiones instaladas.
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
Corro PsInfo -h contra el servidor para mostrar las revisiones instaladas.
Otra alternativa si no puede usar pstools y queda atrapado con las herramientas nativas de Winder:
reg query hklm\software\microsoft\windows\currentversion\uninstall /s | findstr "KB[0-9].*" > %TEMP%\Installed.txt & notepad %TEMP%\Installed.txt
WMIC puede enumerar las revisiones instaladas:
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
También puede buscar una revisión específica. Aquí muestro dos búsquedas, una exitosa y otra fallida:
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
También para verificar vulnerabilidades en subsistemas que quizás no conozca en el sistema, Microsoft Baseline Security Analayzer es una herramienta bastante útil. No siempre son los que usted conoce lo que lo atrapan, a veces hay cosas extrañas instaladas que no son escaneadas o mantenidas por WSUS o Microsoft Update que pueden permanecer sin parches o sin mitigar durante la vida útil del sistema.