所以我在 1 月 18 日运行了 Microsoft Baseline Security Analyzer。我意识到它没有标记出解决 specter/meltdown 漏洞所需的 KB。
此处讨论的 KB 是 KB4056897,我意识到检测失败可能是由于缺少注册表项,如以下链接所述:
经过进一步研究,似乎 MBSA 也依赖于 Windows 注册表项来检测补丁。
(https://biztechmagazine.com/article/2011/04/be-proactive-microsofts-baseline-security-analyzer)
我的问题是:
- 所有用户是否都需要包含此注册表项以使 MBSA 正确运行?
- MBSA 有没有官方公告说明第 1 点?
答案1
1. 所有用户是否都需要包含此注册表项以使 MBSA 正确运行?
即使要设置注册表,也只能对每个系统设置一次。要设置的注册表将适用于整个系统。
现在开始设置注册表;是的,您必须手动设置注册表,或者使用防病毒软件(如果您有一个兼容且支持此功能的软件),或者使用 AD 中的组策略。
2. MBSA 有没有官方公告说明第 1 点?
是的,在微软的咨询章节中“重要提示:2018 年 1 月 3 日发布的 Windows 安全更新和防病毒软件”中,他们明确提到了这一行:
Windows Defender Antivirus、System Center Endpoint Protection 和 Microsoft Security Essentials 与 2018 年 1 月的安全更新兼容,并已设置所需的注册表项。
...........................................................
未安装防病毒软件的客户
如果客户无法安装或运行防病毒软件,Microsoft 建议按照如下所述手动设置注册表项,以接收 2018 年 1 月的安全更新。
设置注册表项
笔记:除非防病毒软件供应商设置以下注册表项,否则客户将不会收到 2018 年 1 月的安全更新(或任何后续安全更新),并且不会受到安全漏洞的保护:
Key="HKEY_LOCAL_MACHINE"
Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
如您所见,文章中没有包含/提及 MBSA,这意味着有人必须手动设置注册表才能获取 2018 年 1 月的 Windows 更新,前提是已设置了先决条件。