Scanoptionen

Im Dialogfeld Scanoptionen legen Sie Optionen für Patchscans und Bereitstellungen fest.

Feld

Beschreibung

Standardvorlage für Patchscans

Die Scanvorlage, die Sie als Standardvorlage für die Durchführung von Scans verwenden möchten.

Nur die Suchliste verwenden (nur nach Domäne scannen)

Beim Scannen von Domänen werden diejenigen Computer gescannt, die in der "Suchliste" der Computer in Ihrem Microsoft-Netzwerk enthalten sind, aber nicht alle Computer in der Domäne, wie vom Domänencontroller vorgegeben. Bei Verwendung dieser Option reduziert sich in der Regel die Anzahl der Computer, zu denen das Programm bei der Durchführung des Scans eine Verbindung herzustellen versucht. Weitere Informationen finden Sie unter Ermitteln von Computern.

Ausschlüsse von Computergruppen immer erzwingen

Werden mehrere Computergruppen in einem Scanvorgang verwendet, und wird ein Computer aus einer Computergruppe ausgeschlossen, ist aber noch in einer anderen vorhanden, dann wird der Computer aus dem Vorgang ausgeschlossen. Ist jedoch in derselben Situation das Kontrollkästchen Ausschlüsse von Computergruppen immer erzwingen nicht aktiviert, wird der Computer in den Vorgang eingeschlossen.

Beispiele:

  • Auf der Seite Agentenloser Betrieb wählen Sie zwei Computergruppen aus, die Sie scannen möchten. ComputerA wird aus einer Gruppe ausgeschlossen, ist aber in der anderen Gruppe enthalten. Wenn das Kontrollkästchen Ausschlüsse von Computergruppen immer erzwingen aktiviert ist, wird ComputerA nicht in den Scanvorgang einbezogen. Wenn das Kontrollkästchen Ausschlüsse von Computergruppen immer erzwingen nicht aktiviert ist, wird ComputerA in den Scanvorgang einbezogen.
  • Sie scannen eine geschachtelte Gruppe, die aus zwei Gruppen besteht. In einer der Gruppen ist die Domäne ABC.com ausgeschlossen, während die andere Gruppe aus drei Computern der Domäne ABC.com besteht. Wenn das Kontrollkästchen Ausschlüsse von Computergruppen immer erzwingen aktiviert ist, werden die drei Computer nicht in den Scanvorgang einbezogen. Wenn das Kontrollkästchen Ausschlüsse von Computergruppen immer erzwingen nicht aktiviert ist, werden die drei Computer in den Scanvorgang einbezogen.

Ersatzpatches verwenden

Weist Security Controls an, nur nach Patches zu scannen, die nicht ersetzt werden und dabei Patches zu ignorieren, die durch andere Patches ersetzt wurden. Anstatt zum Beispiel alle fehlenden Internet Explorer-Patches zu melden, werden nur die neuesten und aktuellsten IE-Patches gemeldet.

Importierte Dateien beibehalten

Die von einem Scanvorgang verwendeten Ergebnisdateien werden auf unbegrenzte Zeit auf Datenträger gespeichert und nicht gelöscht, sobald der Import der Daten in das Programm abgeschlossen ist.

Sichere LDAP-Verbindungen verlangen

Verhindert die Verwendung des unsicheren Ports 389, falls der sichere Port 636 beim Abfragen der Org.-Einheiten oder Computer in LDAP im Computergruppeneditor und während eines Scans ausfallen sollte. Diese Option ist standardmäßig deaktiviert.

Port 389 wird nach dem Klicken auf Active Directory durchsuchen im Computergruppeneditor immer zum Durchsuchen von Domänen verwendet. Die an den Port gesendeten Daten werden mithilfe von Kerberos verschlüsselt, sodass kein Sicherheitsrisiko besteht.

Kontinuierliches agentenloses Scannen aktivieren

Fügt eine Option zum Planen wiederkehrender agentenloser Patchscans im Minutenintervall hinzu. Diese Option wird nur für bestimmte Bedingungen innerhalb von Network Access Control (NAC)-Umgebungen empfohlen.

Ausführlichere Informationen finden Sie unter Kontinuierliches agentenloses Scannen.

Wenn diese Option aktiviert ist und geplante Scans mit Minutenintervall vorhanden sind, können Sie diese Option erst dann deaktivieren, nachdem Sie die geplanten Scans unter Verwendung der Verwaltung für geplante Konsolentasks gelöscht haben.

Verbindungs-Timeout (in Sekunden)

Die maximale Zeit, für die eine Konsole bei einem Scan auf eine Antwort des Zielcomputers wartet. Wenn die Konsole innerhalb der hier angegebenen Anzahl von Sekunden keine Verbindung zum Zielcomputer herstellen kann, wird der Computer übersprungen. Der Timeout bei einem Verbindungsversuch kann früher eintreten als durch den angegebenen Wert definiert. Die Option legt einfach einen Höchstwert für die Wartezeit fest.

Zeitüberschreitung (Minuten) für den Import der Patchscanergebnisse

Die maximale Zeit die gewartet wird, bis die Konsole die Scanergebnisse aller Zielcomputer importiert hat. Falls nach Ablauf der angegebenen Anzahl an Minuten nicht alle Computer Ergebnisse gemeldet haben, wartet die Konsole nicht ehr länger, sondern fährt mit Aktivitäten fort, die im Anschluss an den Scan folgen. Dazu gehört etwa das Generieren von Berichten und Versenden per E-Mail.

Mit Computern verbinden über

Gibt die Methode an, die verwendet wird, wenn Sie eine Verbindung zu Ihren Clientcomputern herstellen. Es gibt zwei Optionen:

  • IP-Adresse: Die Konsole stellt über die IP-Adresse der Computer eine Verbindung zu Clients her. Dies ist die Standardeinstellung.
  • Vollqualifizierter Domänenname (FQDN): Sie können diese Methode verwenden, wenn die Kerberos-Authentifizierung in Ihrer Umgebung verwendet wird und eine Validierung des Dienstprinzipalnamens (SPN) für Endpunktverbindungen der Art "Server Message Block" (SMB) erforderlich ist.

Detaillierte Informationen finden Sie unter IP-Adresse vs. FQDN.

Diese Einstellung kann auf Computergruppenebene überschrieben werden. Sie kann auch auf Computerebene für Scans überschrieben werden, die über die Computeransicht oder die Scan-Ansicht eingeleitet werden.

Globales Threadpool

Gibt die Gesamtzahl der Threads an, die während eines Patchscans oder einer Bereitstellung, eines Assetscans oder eines Energiestatusscans genutzt werden können. Der von Ihnen angegebene Wert wird mit der Anzahl der logischen CPUs auf dem Konsolencomputer multipliziert, um so die maximale Anzahl von Threads zu ermitteln, die während einer Scaninstanz verwendet werden können. Jeweils ein Thread wird zum Scannen eines Computers genutzt. Wenn Sie also maximal 64 Threads angeben, bedeutet das, dass während eines Scans 64 Computer gleichzeitig gescannt werden können. Wenn viele Maschinen gleichzeitig gescannt werden dürfen, werden dadurch mehr Netzwerkressourcen erforderlich. Reduzieren Sie diese Zahl, wenn Sie über eine langsame Verbindung scannen.

Wenn Sie Computergruppen scannen, die durch einen IP-Bereich, eine Domäne oder eine Organisationseinheit definierte Computer beinhalten, wird diese Option ebenfalls vor dem Scan verwendet. Dadurch wird die Anzahl der Threads begrenzt, anhand derer bestimmt wird, welche Computer gescannt werden sollten.

Standard-Bereitstellungsvorlage

Gibt die Bereitstellungsvorlage an, die standardmäßig zu verwenden ist. Alle von Ihnen zuvor definierten Vorlagen werden in die Dropdownliste aufgenommen. Nähere Informationen finden Sie unter Informationen zu Bereitstellungsvorlagen.

Temporäres Systemlaufwerk erstellen, falls keines vorhanden ist

Ermöglicht es Security Controls, während des Authentifizierungsprozesses einen temporären Administratorfreigabenamen auf einem Zielcomputer zu erstellen. Der Freigabename wird vom Zielcomputer entfernt, wenn der Scan oder die Bereitstellung abgeschlossen ist.

Zwar trifft diese Option für die meisten Organisationen nicht zu, aber falls Sie eine Organisation sind, bei der aus welchen Gründen auch immer die Administratorfreigabenamen (C$, D$ usw.) auf den Zielcomputern deaktiviert wurden, dann müssen Sie dieses Kontrollkästchen aktivieren, damit Security Controls auf diese Computer zugreifen kann.