スキャン オプション

[スキャン オプション] ダイアログでは、パッチのスキャンおよび配布のオプションを指定できます。

フィールド

説明

既定のパッチ スキャン テンプレート

パッチ スキャンを実行するときに、既定に設定するスキャン テンプレート

参照リストのみを使用する (ドメインでのみスキャン)

ドメインをスキャンするときには、ドメイン コントローラで指定されたドメインのすべてのコンピュータではなく、Microsoft ネットワークのコンピュータの「参照リスト」に含まれるコンピュータがスキャンされます。 一般的に、このオプションを使用すると、スキャンを実行するときに、接続先として試行されるコンピュータの数が少なくなります。 詳細については、「コンピュータの検出」をご参照ください。

常にコンピュータ グループを強制的に除外する

スキャン処理で複数のコンピュータ グループを使用し、コンピュータが1つのコンピュータ グループから除外され、別のコンピュータ グループに含まれている場合は、このコンピュータは処理から除外されます。 [コンピュータ グループの除外を常に適用する] チェックボックスをオフにした場合は、同じ状況でも、コンピュータが処理の対象になります。

例:

  • [エージェントレス処理] ページで、スキャンするコンピュータ グループを2つ選択します。コンピュータ A は1つのグループから除外されていますが、他のグループに含まれています。 [コンピュータ グループの除外を常に適用する] チェックボックスをオンにすると、コンピュータ A はスキャンの対象外です。[コンピュータ グループの除外を常に適用する] チェックボックスをオフにすると、コンピュータ A はスキャンの対象になります。
  • 2つのグループから構成されるネストされたグループをスキャンします。1つのグループでは、ドメイン ABC.com が除外されています。 他のグループには、ABC.com ドメインからのコンピュータが3台あります。 [コンピュータ グループの除外を常に適用する] チェックボックスをオンにすると、3台のコンピュータはスキャンの対象外です。[コンピュータ グループの除外を常に適用する] チェックボックスをオフにすると、3台のコンピュータはスキャンの対象になります。

置換パッチを使用する

Security Controls に対して、置換されていないパッチのみをスキャンするように命令し、他のパッチで置換されたパッチは無視されます。たとえば、インストールされていないすべての Internet Explorer を報告するのではなく、最新の IE パッチのみが報告されます。

インポートされたファイルを保持する

結果がインポートされた後に、スキャン処理で使用される結果ファイルが削除されずに、ディスク上に無制限に格納されます。

セキュリティで保護された LDAP 接続を要求

コンピュータ グループ エディタ内であれスキャン中であれ LDAP で OU やコンピュータを問い合わせる際に、セキュア ポート636が失敗した場合でも、非セキュア ポート389が使用されないようにします。 これは既定では無効になっています。

コンピュータ グループ エディタで [Active Directory の参照] をクリックした後、ドメインを参照する際にはポート389が常に使用されます。 ただし、送信されるデータは Kerberos を使用して暗号化されるため、セキュリティのリスクはありません。

継続的なエージェントレス スキャンを有効にする

分単位の頻度で継続的に発生するエージェントレス パッチ スキャンをスケジュールするためのオプションを追加します。 ネットワーク アクセス制御 (NAC) 環境における、特定の状況下での使用のみが推奨されます。

詳細については、「継続的なエージェントレス スキャン」をご参照ください。

このオプションが有効になっていて、分単位の頻度でスケジュールされたスキャンが存在する場合、スケジュール コンソール タスク マネージャを使用して、それらのスケジュール済みスキャンを削除するまで、このオプションを無効にすることはできません。

接続タイムアウト (秒)

スキャン中に対象コンピュータがコンソールに応答するのを待機する最大時間。 指定した時間 (秒) 内に、コンソールが対象コンピュータに接続できない場合、コンピュータはスキップされます。 接続の試行が指定された時間よりも前にタイムアウトする場合があり、待機時間の最大値を追加します。

パッチ スキャン結果インポート タイムアウト (分)

コンソールがすべてのターゲット コンピュータからスキャン結果をインポートするのを待機する最大時間。 指定された時間 (分) 内にすべてのコンピュータから結果が報告されないと、コンソールは待機を停止し、スキャン後のアクティビティ (レポートの生成、電子メールの送信など) に進みます。

コンピュータへの接続方法

クライアント コンピュータに接続するときに使用する方法を指定します。 2 つのオプションがあります。

  • IP アドレス: コンソールは、コンピュータの IP アドレスを使用してクライアントに接続します。 これは既定の設定です。
  • 完全修飾ドメイン名 (FQDN): 環境で Kerberos 認証が使用され、Server Message Block (SMB) エンドポイント接続でサービス プリンシパル名 (SPN) 検証が必要な場合、この方法が必要になることがあります。

詳細については、「IP アドレスと FQDN」をご参照ください。

この設定は、コンピュータ グループ レベルで上書きできます。 コンピュータ ビューまたはスキャン ビューから開始されたスキャンでは、コンピュータ レベルでも上書きできます。

グローバル スレッド プール

パッチ スキャンまたは配布、資産スキャン、または電源ステータス スキャン中に使用できる、しきい値の合計数を指定します。 1つのスレッドは1つのコンピュータをスキャンするために使用されます。 このため、最大64スレッドを指定する場合は、64コンピュータを1回のスキャンで同時にスキャンできることを意味します。 同時に多数のコンピュータをスキャンできるようにすると、必要なネットワーク リソースが増えます。 低速リンク上でスキャンしている場合は、この数を減らします。

IP 範囲、ドメイン、または組織単位で定義されるコンピュータを含むコンピュータ グループをスキャンする場合は、スキャン前にこのオプションも使用されます。 スキャンするコンピュータを決定するために使用されるスレッド数を制限します。

既定の配布テンプレート

既定で使用する配布テンプレートを指定します。 以前に定義した新規配布テンプレートはすべて、ドロップダウン リストに組み込まれます。 詳細については、「配布テンプレート」をご参照ください。

存在しない場合は、一時システム ドライブ共有を作成する

Security Controls では、認証処理中に、対象コンピュータで一時管理者共有名を作成して使用できます。スキャンまたは配布が完了すると、共有名は対象コンピュータから削除されます。

通常、このオプションは適用されませんが、何らかの理由で対象コンピュータの管理者共有名 (C$, D$ など) を無効にしたり名前を変更した場合には、Security Controls がこれらのコンピュータにアクセスするには、このチェック ボックスをオンにする必要があります。