como determinar se tenho a atualização de segurança mais recente ou não pelo PowerShell?

Você pode usar o script do Exchange Server Health Checker no GitHub para ver se o servidor está atualizado ou não:
https://github.com/dpaulson45/HealthChecker#download

1. No servidor, abra o EMS e, em seguida, abra a pasta onde você baixou o script HealthChecker.ps1 do PowerShell. Agora execute o seguinte comando

.\HealthChecker.ps1

2. Este script listará todas as vulnerabilidades de segurança que você precisa corrigir. Se você encontrar várias vulnerabilidades ou se o seu servidor Exchange estiver comprometido, você precisará usar o EOMT. Você pode consultar os seguintes links: Falhas de vulnerabilidade de execução remota de código do Microsoft Exchange e suas correções

https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-health-checker-has-a-new-home/ba-p/2306671

https://petri.com/understanding-exchange-server-updates-and-the-process-to-patching

Pelo que eu sei, não parece haver nenhum script ou comando que possa detectar se as versões atuais do Exchange e do servidor Windows são as mais recentes.

Os métodos disponíveis são obter manualmente as versões atuais e depois comparar com asdocumentos da Microsoft:

1 Navegue até o seguinte local:Painel de controle->Desinstalar um programa&Ver atualizações instaladas

2 Execute os seguintes comandos como administrador no Exchange PowerShell:

$ExchangeServers = Get-ExchangeServer | Sort-Object Name
ForEach ($Server in $ExchangeServers)
{
Invoke-Command -ComputerName $Server.Name -ScriptBlock { Get-Command Exsetup.exe | ForEach-Object { $_.FileversionInfo } }
}

---

Ou você pode navegar até o seguinte local:Control Panel\System and Security\Windows Update\Change settingse marque a caixa de seleção "Forneça-me atualizações para outros produtos da Microsoft quando eu atualizar o Windows" para que você obtenha as versões SU mais recentes do servidor Exchange e versões de patch do servidor Windows ao verificar atualizações: