在 Windows 中是否有办法检查安全公告MS**-***
或CVE-****-*****
已修补?例如类似于 RedHat 的rpm -q --changelog service
Windows 2008 R2 SP1
答案1
跑步系统信息针对您的服务器(systeminfo /s $SERVER
)也应该列出已安装的修补程序。
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
答案2
WMIC 可以列出已安装的修补程序:
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
它还可以搜索针对特定修补程序。这里我展示了两次搜索 - 一次成功,一次失败:
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
答案3
我跑PSinfo -h针对服务器显示已安装的修补程序。
答案4
此外,为了检查系统中您可能不知道的子系统的漏洞,微软基准安全分析器是一款相当有用的工具。它并不总是你所了解的那些东西能帮到你,有时会安装一些奇怪的东西,这些东西没有被 WSUS 或 Microsoft Update 扫描或维护,在系统的整个生命周期内,它们可能一直得不到修补或缓解。