很多时候 OCS Inventory 抓到的软件的发布者以及软件名称与 NIST NVD 的资讯可能不匹配,例如 7-Zip 的发布者名称为 Igor Pavlov,而软件名称又包含版本相当混乱,这些因素都会造成 CVE 扫描无效。
在 NIST NVD 的发布者与软件名称皆为 7-Zip
这也是为甚么我一值强调 CVE 字典的维护十分重要,请确认企业软件白名单的软件发布者与名称资讯与 NIST NVD 一致。
我们到选单的「Manage」,点选「CVE Inventory」,新增 7-Zip 的正规表达式。
可以看到 CVE 扫描找出一堆存在安全漏洞的 7-Zip 版本
我们可以在 All Software 轻易找出哪些电脑安装了 7-Zip
接着透过 PowerShell 来移除 7-Zip
使用下列的 Script 进行反安装,点选 Validate。
Start-Process "C:\\Program Files\\7-Zip\\Uninstall.exe" -ArgumentList \'/S\'
可以透过 Search with Various Criteria 找出所有安装 7-Zip 的电脑,全部勾选后点击 Deploy。
Mass Assignment 选择 For Selection,Use the Advanced Options of Teledeploy 选择 NO,点选 Validate。
勾选我们想要部署的 Uninstall 7-Zip.exe,点选 Add Selected Packages。
可以到该 Package 的 Statistics 查看移除的进度
在确定 CVE 漏洞的版本移除完毕后,我们就可以透过 OCS Inventory 的代理程式安装最新版的 7-Zip。
选择 Install MSI Application
填写下列资讯,建议使用 MSI 档案来进行软件安装。
/qn 和 /norestart 是标準的 Windows Installer 命令列参数,通常用于自动化安装的情境。
- /qn:即背景静默执行,安装过程中不会显示任何视窗、对话框或通知,适用于需要无需用户互动的情况,例如批量部署。
- /norestart:在安装完成后不要让电脑重新启动,防止中断其他作业。
可以透过下列方式来查询 MSI 档支援的参数
7z2408-x64.msi -h
透过 Search with Various Criteria 找出想要安装 7-Zip 的电脑,全部勾选后点击 Deploy。例如作业系统为 Windows 及型号为 Desktop 与 Notebook 的电脑才进行安装。
勾选我们想要部署的 Install 7z2408-x64.msi,点选 Add Selected Packages。
可以到该 Package 的 Statistics 查看安装的进度
找台成功的电脑验证一下,可以看到移除与安装的时间。
OCS Inventory 能够协助我们轻鬆辨识含有 CVE 漏洞的资讯设备,并让管理人员透过代理程式实现批次执行软件的移除、升级或安装,让企业能快速地发现潜在的安全威胁,并採取主动措施来强化资讯安全。
今天的分享就到这边,感谢收看。