Existe uma maneira no Windows de verificar se o boletim de segurança MS**-*** ou CVE-****-***** foi corrigido? por exemplo. algo parecido com o rpm -q --changelog service
Windows 2008 R2 SP1
A execução SystemInfo do seu servidor ( systeminfo /s $SERVER ) também deve listar os hotfixes instalados. / p>
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
Eu executo PSinfo -h no servidor para exibir os hotfixes instalados.
Outra alternativa, se você não puder usar pstools e ficar preso a ferramentas nativas do Winder:
reg query hklm\software\microsoft\windows\currentversion\uninstall /s | findstr "KB[0-9].*" > %TEMP%\Installed.txt & notepad %TEMP%\Installed.txt
O WMIC pode listar os hotfixes instalados:
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
Ele também pode pesquisar para um hotfix específico. Aqui eu mostro duas buscas - uma bem-sucedida, uma sem sucesso:
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
Também para verificar vulnerabilidades em subsistemas que você talvez não conheça no sistema, o Analisador de Segurança do Microsoft Baseline é uma ferramenta bastante útil. Nem sempre são os que você conhece que te levam, às vezes há coisas estranhas instaladas que não são escaneadas ou atendidas pelo WSUS ou pelo Microsoft Update, que podem permanecer sem correção ou não mitigadas durante a vida útil do sistema.