既知のWindowsの脆弱性にパッチが適用されていることを確認するにはどうすればよいですか?
Windowsで、セキュリティ情報MS**-***またはCVE-****-*****にパッチが適用されていることを確認する方法はありますか?例えばRedHatのrpm -q --changelog serviceに似たもの
Windows 2008 R2 SP1
サーバーに対して SystemInfo を実行しています(systeminfo /s $SERVER)インストールされている修正プログラムもリストする必要があります。
Hotfix(s): 333 Hotfix(s) Installed.
[161]: IDNMitigationAPIs - Update
[162]: NLSDownlevelMapping - Update
[163]: KB929399
[164]: KB952069_WM9
[165]: KB968816_WM9
[166]: KB973540_WM9L
[167]: KB936782_WMP11
WMICは、インストールされている修正プログラムを一覧表示できます。
C:\>wmic qfe get hotfixid, installedon
HotFixID InstalledOn
KB2605658 11/30/2011
KB2608610 9/1/2011
KB2608612 9/26/2011
KB2614194 9/26/2011
...(more)...
また、特定の修正プログラムを検索することもできます。ここでは、2つの検索を示します。1つは成功、もう1つは失敗です。
C:\>wmic qfe where (hotfixid = 'KB2608610') get hotfixid, installedon
HotFixID InstalledOn
KB2608610 9/1/2011
C:\>wmic qfe where (hotfixid = 'nosuch') get hotfixid, installedon
No Instance(s) Available.
サーバーに対して PSinfo -h を実行して、インストールされている修正プログラムを表示します。
Pstoolsを使用できず、ネイティブのWinderツールで立ち往生している場合の別の方法:
reg query hklm\software\Microsoft\windows\currentversion\uninstall /s | findstr "KB[0-9].*" > %TEMP%\Installed.txt & notepad %TEMP%\Installed.txt
また、システム上で知らない可能性のあるサブシステムの脆弱性をチェックする場合、 Microsoft Baseline Security Analayzer はかなり便利なツールです。 WSUSまたはMicrosoftUpdateによってスキャンまたはサービスされない、システムの存続期間中パッチが適用されない、または軽減されないままになる可能性のある奇妙なものがインストールされている場合があります。