很多時候 OCS Inventory 抓到的軟體的發布者以及軟體名稱與 NIST NVD 的資訊可能不匹配，例如 7-Zip 的發布者名稱為 Igor Pavlov，而軟體名稱又包含版本相當混亂，這些因素都會造成 CVE 掃描無效。

在 NIST NVD 的發布者與軟體名稱皆為 7-Zip

這也是為甚麼我一值強調 CVE 字典的維護十分重要，請確認企業軟體白名單的軟體發布者與名稱資訊與 NIST NVD 一致。

我們到選單的「Manage」，點選「CVE Inventory」，新增 7-Zip 的正規表達式。

可以看到 CVE 掃描找出一堆存在安全漏洞的 7-Zip 版本

我們可以在 All Software 輕易找出哪些電腦安裝了 7-Zip

接著透過 PowerShell 來移除 7-Zip

使用下列的 Script 進行反安裝，點選 Validate。

Start-Process "C:\Program Files\7-Zip\Uninstall.exe" -ArgumentList '/S'

可以透過 Search with Various Criteria 找出所有安裝 7-Zip 的電腦，全部勾選後點擊 Deploy。

Mass Assignment 選擇 For Selection，Use the Advanced Options of Teledeploy 選擇 NO，點選 Validate。

勾選我們想要部署的 Uninstall 7-Zip.exe，點選 Add Selected Packages。

可以到該 Package 的 Statistics 查看移除的進度

在確定 CVE 漏洞的版本移除完畢後，我們就可以透過 OCS Inventory 的代理程式安裝最新版的 7-Zip。

選擇 Install MSI Application

填寫下列資訊，建議使用 MSI 檔案來進行軟體安裝。

/qn 和 /norestart 是標準的 Windows Installer 命令列參數，通常用於自動化安裝的情境。

• /qn：即背景靜默執行，安裝過程中不會顯示任何視窗、對話框或通知，適用於需要無需用戶互動的情況，例如批量部署。
• /norestart：在安裝完成後不要讓電腦重新啟動，防止中斷其他作業。

可以透過下列方式來查詢 MSI 檔支援的參數

7z2408-x64.msi -h

透過 Search with Various Criteria 找出想要安裝 7-Zip 的電腦，全部勾選後點擊 Deploy。
例如作業系統為 Windows 及型號為 Desktop 與 Notebook 的電腦才進行安裝。

勾選我們想要部署的 Install 7z2408-x64.msi，點選 Add Selected Packages。

可以到該 Package 的 Statistics 查看安裝的進度

找台成功的電腦驗證一下，可以看到移除與安裝的時間。

OCS Inventory 能夠協助我們輕鬆辨識含有 CVE 漏洞的資訊設備，並讓管理人員透過代理程式實現批次執行軟體的移除、升級或安裝，讓企業能快速地發現潛在的安全威脅，並採取主動措施來強化資訊安全。

今天的分享就到這邊，感謝收看。