Skill

performing-endpoint-vulnerability-remediation

Prioritizes CVEs by CVSS/EPSS/CISA KEV risk scores, deploys patches via WSUS/SCCM/Intune/PowerShell, applies config changes, and verifies endpoint fixes. For vulnerability scans, critical CVE responses, and patch SLAs.

Powershell

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在以下情况下使用本技能：

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

performing-endpoint-vulnerability-remediation

5.9k

Performs endpoint vulnerability remediation: prioritizes CVEs by CVSS/EPSS/CISA KEV risk scores, deploys patches via WSUS/SCCM, applies configs, validates fixes. For scans, advisories, compliance SLAs.

7 files

cybersecurity-skills

performing-endpoint-vulnerability-remediation

Performs endpoint vulnerability remediation: prioritizes CVEs using CVSS/EPSS/CISA KEV, deploys patches via WSUS/SCCM/Intune, applies configs, validates fixes. For Nessus/Qualys scans or CVE advisories.

asi

implementing-patch-management-workflow

Guides implementing patch management workflows to identify, test, deploy, and verify software updates using WSUS, SCCM, Ansible for IT vulnerability remediation.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

执行端点漏洞修复

使用场景

在以下情况下使用本技能：

修复扫描器（Nessus、Qualys、Rapid7）发现的漏洞
响应需要立即修补的零日 CVE 公告
维护补丁管理 SLA 合规性（严重漏洞 14 天内，高危漏洞 30 天内）
根据漏洞扫描结果构建优先修复计划

不适用于漏洞扫描本身（使用扫描工具）或应用层漏洞修复（使用 DevSecOps 流程）。

前置条件

漏洞扫描结果（CSV/XML 格式的 Nessus、Qualys 或 Rapid7 导出）
补丁管理平台（WSUS、SCCM、Intune 或第三方如 Automox）
目标端点或部署基础设施的管理员访问权限
生产端点补丁的变更管理流程
生产推广前补丁验证的测试环境

操作流程

步骤 1：导入并优先处理漏洞发现

优先级评分综合考虑：
1. CVSS 基础分（0-10）
2. EPSS（漏洞利用预测评分系统）- 被利用的概率
3. CISA KEV（已知被利用漏洞）目录成员资格
4. 资产重要性（受影响端点的业务影响）
5. 网络暴露程度（互联网可访问 vs. 内部）

优先级矩阵：
  P1（严重 - 14 天 SLA）：
    - CVSS >= 9.0 或
    - 列入 CISA KEV 或
    - 在野外主动被利用 + CVSS >= 7.0

  P2（高危 - 30 天 SLA）：
    - CVSS 7.0-8.9 且
    - EPSS > 0.5（50% 被利用概率）

  P3（中危 - 60 天 SLA）：
    - CVSS 4.0-6.9 或
    - CVSS 7.0-8.9 且 EPSS < 0.1

  P4（低危 - 90 天 SLA）：
    - CVSS < 4.0 且
    - 无已知利用

步骤 2：确定修复操作

对于每个漏洞，确定适当的修复措施：

修复类型：
1. 补丁：应用供应商安全更新（最常见）
2. 配置变更：修改设置进行缓解（注册表、GPO）
3. 升级：更新到更新版本的软件
4. 变通方案：在补丁不可用时应用临时缓解
5. 补偿控制：网络分段、WAF 规则、EDR 规则
6. 接受风险：记录经 CISO 批准的已接受风险

步骤 3：通过 WSUS/SCCM 部署补丁

# WSUS：批准补丁进行部署
# 1. 打开 WSUS 控制台
# 2. 导航到 更新 → 安全更新
# 3. 为目标计算机组批准所选 KB

# SCCM：创建软件更新组
# 1. 软件库 → 软件更新 → 所有软件更新
# 2. 选择所需 KB → 创建软件更新组
# 3. 在维护窗口内部署到目标集合

# Intune：创建 Windows 更新圈
# 设备 → Windows → 更新圈
# 配置：质量更新延迟 = 0 天（用于严重更新）
# 功能更新延迟 = 按策略

# PowerShell：强制 Windows 更新检查
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -KBArticleID "KB5034441" -Install -AcceptAll -AutoReboot

# 验证补丁安装
Get-HotFix -Id "KB5034441"
systeminfo | findstr "KB5034441"

步骤 4：应用基于配置的修复

# 示例：禁用 SMBv1（CVE-2017-0144 - EternalBlue）
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

# 示例：在非打印服务器上禁用打印后台处理程序（CVE-2021-34527 - PrintNightmare）
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

# 示例：禁用 LLMNR（凭据窃取缓解）
# 通过 GPO：计算机配置 → 管理模板 → 网络 → DNS 客户端
# 关闭多播名称解析：已启用
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" `
  -Name EnableMulticast -Value 0 -PropertyType DWORD -Force

# 示例：限制 NTLM 身份验证
# 通过 GPO：安全设置 → 本地策略 → 安全选项
# 网络安全：限制 NTLM：审计/拒绝

步骤 5：处理零日漏洞（无补丁可用）

当供应商补丁尚未发布时：

1. 查看供应商公告中的变通方案
   - Microsoft: https://msrc.microsoft.com/update-guide
   - Adobe: https://helpx.adobe.com/security.html
   - Linux：发行版安全跟踪器

2. 应用临时缓解措施：
   - 禁用有漏洞的功能/服务
   - 为利用尝试部署 EDR 检测规则
   - 应用网络级阻断（WAF/防火墙规则）
   - 限制对有漏洞应用程序的访问

3. 监控补丁发布：
   - 订阅供应商安全邮件列表
   - 监控 CISA KEV 新增条目
   - 为下一个补丁星期二设置日历提醒

4. 记录有到期日期的变通方案

步骤 6：验证修复

# 重新扫描已修复端点以确认漏洞关闭
# 选项 1：有针对性的漏洞扫描
nessuscli scan --target 192.168.1.0/24 --plugin-id 12345

# 选项 2：PowerShell 验证
# 检查特定 KB 是否已安装
$kb = Get-HotFix -Id "KB5034441" -ErrorAction SilentlyContinue
if ($kb) {
    Write-Host "通过：KB5034441 已安装在 $(hostname)" -ForegroundColor Green
} else {
    Write-Host "失败：$(hostname) 上缺少 KB5034441" -ForegroundColor Red
}

# 检查服务是否已禁用
$svc = Get-Service -Name Spooler
if ($svc.StartType -eq 'Disabled') {
    Write-Host "通过：打印后台处理程序已禁用" -ForegroundColor Green
}

# 检查注册表配置
$val = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" `
  -Name SMB1 -ErrorAction SilentlyContinue
if ($val.SMB1 -eq 0) {
    Write-Host "通过：SMBv1 已禁用" -ForegroundColor Green
}

步骤 7：报告和跟踪

生成修复状态报告：

修复指标：
  - 漏洞总数：X
  - 已修复：Y（Z%）
  - 待处理（SLA 内）：A
  - 逾期（超过 SLA）：B
  - 已接受风险：C
  - 平均修复时间（MTTR）：D 天
  - SLA 合规率：E%

关键概念

术语	定义
CVSS	通用漏洞评分系统；0-10 的漏洞严重性评分
EPSS	漏洞利用预测评分系统；CVE 在 30 天内在野外被利用的概率（0-1）
CISA KEV	CISA 已知被利用漏洞目录；联邦法规要求在规定时间内修补这些 CVE
SLA	基于漏洞严重性的修复时间线服务级别协议
MTTR	平均修复时间；从漏洞发现到确认修复的平均天数
补偿控制	直接修复不可行时的替代安全措施

工具与系统

Nessus/Tenable.io：漏洞扫描和修复跟踪
Qualys VMDR：漏洞管理、检测和响应平台
Rapid7 InsightVM：带实时仪表盘的漏洞评估
WSUS/SCCM/Intune：Microsoft 补丁部署基础设施
Automox：面向 Windows、macOS、Linux 的云原生补丁管理
CISA KEV 目录: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

常见误区

未测试直接打补丁：先对测试组应用补丁。某些补丁会导致应用程序兼容性问题或蓝屏。
忽略 EPSS 评分：EPSS 0.01 的 CVSS 9.8 漏洞可能比 EPSS 0.95（正在被主动利用）的 CVSS 7.5 漏洞更不紧迫。
未验证修复：部署补丁不能保证安装成功。始终重新扫描以确认关闭。
将关键服务器排除在补丁之外："无法重启"的服务器会积累严重漏洞。安排维护窗口。
平等对待所有 CVE：基于风险的优先级排序（CVSS + EPSS + 资产重要性 + 暴露度）比先修补所有严重漏洞更有效。