等保测评2.0-Windows Server主机漏洞修复(4)

怼卟起硪嗳妳

概述

利用Nessus漏扫工具对Windows Server 2016 系统进行漏洞扫描，发现漏洞如下表所示。

序号	漏洞信息	备注
1	139488 - KB4571694: Windows 10 Version 1607 and Windows Server 2016 August 2020 Security Update	关键critical
2	132858 - KB4534271: Windows 10 Version 1607 and Windows Server 2016 January 2020 Security Update	关键critical

从上表及上图可知，系统缺少关键的KBs（安全补丁程序）。一般情况下，下载安装缺失的安全补丁程序即可修复该系统漏洞告警。
然而，通过KB的ID（例如KB4534271）在Microsoft Update Catalog网站上无法查询到该补丁程序，这该如何解决呢？本期文章就以此为案例向各位小伙伴总结分享相关的修复方案。


系统漏洞修复目标

下载合适的安全补丁程序修复系统缺少的关键安全补丁程序。
Windows系统安全补丁程序

首先，Windows系统安全补丁程序是累计发布，即，最新安全补丁程序可替代之前发布的补丁程序。
如下图所示，截至今日，适用于Windows Server 2016 系统的最新补丁“2022-适用于 Windows Server 2016 的 10 累积更新，适合基于 x64 的系统 (KB5018411)”所替代的安全补丁程序；
因此，无法下载安全补丁，是被其它累计更新程序所替代，微软也就不提供单独的下载链接了。


其次，安装Windows系统安全补丁程序有一定的依赖关系。例如，本次案例中系统（系统版本及补丁如下图所示）直接安装“KB5018411”则会出现报错。


系统漏洞修复操作

经实际测试验证，上述的系统版本，需按照下表所示的顺序下载、安装补丁程序即可修复本次案例中的系统漏洞。
下表所属的安全补丁程序均可从Microsoft Update Catalog网站下载。

安全补丁程序下载、安装的顺序	安全补丁程序的描述	KB的ID	备注
1	2018-适用于 Windows Server 2016 的 05 累积更新，适合基于 x64 的系统 (KB4103720)	KB4103720	要求重启系统
2	2021-适用于 Windows Server 2016 的 01 更新，适用于基于 x64 的系统 (KB4589210)	KB4589210	要求重启系统
3	2022-适用于 Windows Server 2016 的 09 服务堆栈更新，适合基于 x64 的系统 (KB5017396)	KB5017396
4	2022-适用于 Windows Server 2016 的 08 安全更新，适合基于 x64 的系统 (KB5012170)	KB5012170
5	用于基于 x64 的系统的 Windows Server 2016 安全更新程序 (KB4535680)	KB4535680
6	2022-适用于 Windows Server 2016 的 10 累积更新，适合基于 x64 的系统 (KB5018411)	KB5018411	要求重启系统

如何获知某个系统版本的安全补丁程序下载、安装顺序呢？
其实很简单，部署一台测试系统，开启系统自动更新下载、安装安全补丁程序，直至该系统更新至最新。最后，通过查看该系统的更新记录即可获知该顺序。
同时，可记录测试系统更新下载、安装补丁程序的时间，做好生产系统的停机维护计划。
测试验证

通过Nessus漏扫工具重新对系统进行扫描，可验证上表的系统漏洞已成功修复。
总结

以上分享，希望各位小伙伴有所收获，不足之处，欢迎各位小伙伴留言指正。