¿Cómo enumerar las actualizaciones de seguridad faltantes para los servidores de Windows?

Recomendaría las respuestas de Iszi arriba, pero como ya no tienes acceso, es posible que no sean posibles. No tengo conocimiento de ninguna lista completa que incluya todos los parches para una plataforma dada, ya que los parches faltantes también dependerán de otras cosas instaladas que no son necesariamente necesarias (controladores, .NET, etc.). Si no tiene acceso, no es el único que podría implementar los cambios de todos modos. Sin embargo, dicho esto ... se podría instalar otra instalación nueva de Windows, aplicar todos los parches, exportar la lista y luego modificarlos.

Acabo de encontrar esta lista de parches lanzados para 2003: enlace . Puede ser un buen comienzo para ti.

Parece que realmente estás tratando de recorrer el camino largo, aquí. Lo que necesita es una solución de actualización sin conexión, y hay algunas opciones disponibles.

WSUS Offline Update le permite descargar los parches de Windows Update en una unidad USB e instalarlos en otra computadora que no tenga Una conexión a internet. Puede descargar todas las actualizaciones disponibles y dejar que la computadora remota descubra las que no necesita.

Escáneres de vulnerabilidad como Nexpose , Nessus , McAfee Vulnerability Manager y GFI LanGuard se pueden instalar en plataformas portátiles (por ejemplo, computadoras portátiles). Estos evaluarán el software instalado y la configuración de su sistema a través de una conexión de red (por supuesto, deberá conectar la computadora portátil a la misma red que el sistema de destino o conectarse directamente mediante un cable cruzado) y proporcionar una lista completa de los parches faltantes. y fallas de configuración. Esto incluirá no solo las actualizaciones necesarias de Windows, sino también las actualizaciones para muchos otros programas. Algunos escáneres incluyen un sistema de administración de parches, que se puede usar para enviar automáticamente las actualizaciones necesarias al sistema después de un escaneo, incluso sin instalar realmente el software cliente en el objetivo.

Es posible que pueda aplicar ingeniería inversa a una lista de parches al consultar el archivo de boletines de seguridad de Microsoft. . Sin embargo, sé un gran trabajo.

Sería mejor si pudiera hacer que los administradores del servidor vuelvan a ejecutar el análisis, pero esta vez use la herramienta adecuada para el trabajo, Microsoft Baseline Security Analyzer , ya que le dirá lo que falta, en lugar de lo que está instalado.

Si falla ambos, puede intentar crear un servidor 2003 y ejecutar MBSA en él sin aplicar ningún parche, para ver qué cree que debe instalar. Puede que no sea 100% exacto, pero podría ser suficiente para decirle si el proceso de aplicación de parches está funcionando.

Supongo que lo que tienes es el resultado de la clase WMI win32_quickfixengineering o el comando get-hotfix powershell.

No he visto una buena manera de generar definitivamente una lista de parches faltantes en esas circunstancias, sin embargo, hay dos cosas que podrían ser de utilidad.

1. Verifique la fecha de instalación del parche instalada, si el sistema muestra que, para la mayoría de los parches, puede suponer que es probable que se estén ejecutando actualizaciones de Windows hasta esa fecha (esto solo es útil para una aproximación aproximada y lista)
2. Cree una máquina virtual del mismo tipo de sistema operativo, instale todos los parches disponibles y ejecute el comando get-hotfix powershell y difiera los resultados con la información que tiene.

Si tiene un servidor wsus en su red para administrar las actualizaciones, pídale al administrador del servidor WSUS que le proporcione la lista de actualizaciones no aplicadas.