Есть ли способ в Windows проверить это, скажем, Бюллетень безопасности MS**-*** или CVE-****-***** был исправлен? например что-то похожее на RedHat rpm -q --changelog service
Windows 2008 R2 с пакетом обновления 1 (SP1)
Бег Системная информация против вашего сервера (systeminfo /s $SERVER) также должен содержать список установленных исправлений.
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
WMIC может перечислить установленные исправления:
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
Он также может поиск для конкретного исправления. Здесь я показываю два поиска - один успешный, один неудачный:
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
Другая альтернатива, если вы не можете использовать pstools и застряли в собственных инструментах Winder:
reg query hklm\software\microsoft\windows\currentversion\uninstall /s | findstr "KB[0-9].*" > %TEMP%\Installed.txt & notepad %TEMP%\Installed.txt
я бегу PSinfo -h против сервера, чтобы показать установленные исправления.
Также для проверки уязвимостей в подсистемах, о которых вы могли не знать в системе, анализатор безопасности Microsoft Baseline Security довольно полезный инструмент. Это не всегда то, о чем вы знаете, иногда устанавливаются странные вещи, которые не сканируются и не обслуживаются WSUS или Центром обновления Майкрософт, которые могут оставаться без исправлений или исправлений в течение всего срока службы системы.