¿Hay alguna manera en Windows de verificar que diga Boletín de seguridad MS**-***o CVE-****-*****que haya sido parcheado? por ejemplo, algo parecido a RedHatrpm -q --changelog service
Ventanas 2008 R2 SP1
Respuesta1
CorrerInformación del sistemacontra su servidor ( systeminfo /s $SERVER) también debería enumerar las revisiones instaladas.
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
Respuesta2
WMIC puede enumerar las revisiones instaladas:
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
También puedebuscarpara una revisión específica. Aquí muestro dos búsquedas, una exitosa y otra fallida:
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
Respuesta3
CorroPSinfo-hcontra el servidor para mostrar las revisiones instaladas.
Respuesta4
También para verificar vulnerabilidades en subsistemas que quizás no conozca en el sistema,el analizador de seguridad básico de Microsoftes una herramienta bastante útil. No siempre son los que conoces los que te atrapan, a veces hay elementos extraños instalados que no son escaneados ni reparados por WSUS o Microsoft Update y que pueden permanecer sin parches o sin mitigar durante la vida útil del sistema.