パッチオプション

フィールド	説明
既定のパッチスキャンテンプレート	パッチスキャンを実行するときに、既定に設定するスキャンテンプレート。
参照リストのみを使用する (ドメインでのみスキャン)	ドメインをスキャンするときには、ドメインコントローラで指定されたドメインのすべてのコンピュータではなく、Microsoft ネットワークのコンピュータの「参照リスト」に含まれるコンピュータがスキャンされます。一般的に、このオプションを使用すると、スキャンを実行するときに、接続先として試行されるコンピュータの数が少なくなります。詳細については、「コンピュータの検出」をご参照ください。
常にコンピュータグループを強制的に除外する	スキャン処理で複数のコンピュータグループを使用し、コンピュータが1つのコンピュータグループから除外され、別のコンピュータグループに含まれている場合は、このコンピュータは処理から除外されます。 [コンピュータグループの除外を常に適用する] チェックボックスをオフにした場合は、同じ状況でも、コンピュータが処理の対象になります。例: [エージェントレス処理] ページで、スキャンするコンピュータグループを2つ選択します。コンピュータ A は1つのグループから除外されていますが、他のグループに含まれています。 [コンピュータグループの除外を常に適用する] チェックボックスをオンにすると、コンピュータ A はスキャンの対象外です。[コンピュータグループの除外を常に適用する] チェックボックスをオフにすると、コンピュータ A はスキャンの対象になります。 2つのグループから構成されるネストされたグループをスキャンします。1つのグループでは、ドメイン ABC.com が除外されています。他のグループには、ABC.com ドメインからのコンピュータが3台あります。 [コンピュータグループの除外を常に適用する] チェックボックスをオンにすると、3台のコンピュータはスキャンの対象外です。[コンピュータグループの除外を常に適用する] チェックボックスをオフにすると、3台のコンピュータはスキャンの対象になります。
置換パッチを使用する	Security Controls に対して、置換されていないパッチのみをスキャンするように命令し、他のパッチで置換されたパッチは無視されます。たとえば、インストールされていないすべての Internet Explorer を報告するのではなく、最新の IE パッチのみが報告されます。
インポートされたファイルを保持する	結果がインポートされた後に、スキャン処理で使用される結果ファイルが削除されずに、ディスク上に無制限に格納されます。
セキュリティで保護された LDAP 接続を要求	コンピュータグループエディタ内であれスキャン中であれ LDAP で OU やコンピュータを問い合わせる際に、セキュアポート636が失敗した場合でも、非セキュアポート389が使用されないようにします。これは既定では無効になっています。コンピュータグループエディタで [Active Directory の参照] をクリックした後、ドメインを参照する際にはポート389が常に使用されます。ただし、送信されるデータは Kerberos を使用して暗号化されるため、セキュリティのリスクはありません。
継続的なエージェントレススキャンを有効にする	分単位の頻度で継続的に発生するエージェントレスパッチスキャンをスケジュールするためのオプションを追加します。ネットワークアクセス制御 (NAC) 環境における、特定の状況下での使用のみが推奨されます。詳細については、「継続的なエージェントレススキャン」をご参照ください。このオプションが有効になっていて、分単位の頻度でスケジュールされたスキャンが存在する場合、スケジュールコンソールタスクマネージャを使用して、それらのスケジュール済みスキャンを削除するまで、このオプションを無効にすることはできません。
接続タイムアウト (秒)	スキャン中に対象コンピュータがコンソールに応答するのを待機する最大時間。指定した時間 (秒) 内に、コンソールが対象コンピュータに接続できない場合、コンピュータはスキップされます。接続の試行が指定された時間よりも前にタイムアウトする場合があり、待機時間の最大値を追加します。
パッチスキャン結果インポートタイムアウト (分)	コンソールがすべてのターゲットコンピュータからスキャン結果をインポートするのを待機する最大時間。指定された時間 (分) 内にすべてのコンピュータが結果を報告しなかった場合、コンソールは待機するのを停止し、スキャン後のアクティビティ (レポートの生成、電子メールの送信など) に進みます。
コンピュータへの接続方法	クライアントコンピュータに接続するときに使用する方法を指定します。 2 つのオプションがあります。 IP アドレス: コンソールは、コンピュータの IP アドレスを使用してクライアントに接続します。これは既定の設定です。完全修飾ドメイン名 (FQDN): 環境で Kerberos 認証が使用され、Server Message Block (SMB) エンドポイント接続でサービスプリンシパル名 (SPN) 検証が必要な場合、この方法が必要になることがあります。詳細については、「IP アドレスと FQDN」をご参照ください。この設定は、コンピュータグループレベルで上書きできます。コンピュータビューまたはスキャンビューから開始されたスキャンでは、コンピュータレベルでも上書きできます。
グローバルスレッドプール	パッチスキャンまたは配布、資産スキャン、または電源ステータススキャン中に使用できる、しきい値の合計数を指定します。 1つのスレッドは1つのコンピュータをスキャンするために使用されます。このため、最大64スレッドを指定する場合は、64コンピュータを1回のスキャンで同時にスキャンできることを意味します。同時に多数のコンピュータをスキャンできるようにすると、必要なネットワークリソースが増えます。低速リンク上でスキャンしている場合は、この数を減らします。 IP 範囲、ドメイン、または組織単位で定義されるコンピュータを含むコンピュータグループをスキャンする場合は、スキャン前にこのオプションも使用されます。スキャンするコンピュータを決定するために使用されるスレッド数を制限します。
既定の配布テンプレート	既定で使用する配布テンプレートを指定します。以前に定義した新規配布テンプレートはすべて、ドロップダウンリストに組み込まれます。詳細については、「配布テンプレート」をご参照ください。
存在しない場合は、一時システムドライブ共有を作成する	Security Controls では、認証処理中に、対象コンピュータで一時管理者共有名を作成して使用できます。スキャンまたは配布が完了すると、共有名は対象コンピュータから削除されます。通常、このオプションは適用されませんが、何らかの理由で対象コンピュータの管理者共有名 (C$, D$ など) を無効にしたり名前を変更した場合には、Security Controls がこれらのコンピュータにアクセスするには、このチェックボックスをオンにする必要があります。

既定のパッチスキャンテンプレート

パッチスキャンを実行するときに、既定に設定するスキャンテンプレート。

参照リストのみを使用する (ドメインでのみスキャン)

ドメインをスキャンするときには、ドメインコントローラで指定されたドメインのすべてのコンピュータではなく、Microsoft ネットワークのコンピュータの「参照リスト」に含まれるコンピュータがスキャンされます。一般的に、このオプションを使用すると、スキャンを実行するときに、接続先として試行されるコンピュータの数が少なくなります。詳細については、「コンピュータの検出」をご参照ください。

常にコンピュータグループを強制的に除外する

スキャン処理で複数のコンピュータグループを使用し、コンピュータが1つのコンピュータグループから除外され、別のコンピュータグループに含まれている場合は、このコンピュータは処理から除外されます。 [コンピュータグループの除外を常に適用する] チェックボックスをオフにした場合は、同じ状況でも、コンピュータが処理の対象になります。

例:

[エージェントレス処理] ページで、スキャンするコンピュータグループを2つ選択します。コンピュータ A は1つのグループから除外されていますが、他のグループに含まれています。 [コンピュータグループの除外を常に適用する] チェックボックスをオンにすると、コンピュータ A はスキャンの対象外です。[コンピュータグループの除外を常に適用する] チェックボックスをオフにすると、コンピュータ A はスキャンの対象になります。
2つのグループから構成されるネストされたグループをスキャンします。1つのグループでは、ドメイン ABC.com が除外されています。他のグループには、ABC.com ドメインからのコンピュータが3台あります。 [コンピュータグループの除外を常に適用する] チェックボックスをオンにすると、3台のコンピュータはスキャンの対象外です。[コンピュータグループの除外を常に適用する] チェックボックスをオフにすると、3台のコンピュータはスキャンの対象になります。

置換パッチを使用する

Security Controls に対して、置換されていないパッチのみをスキャンするように命令し、他のパッチで置換されたパッチは無視されます。たとえば、インストールされていないすべての Internet Explorer を報告するのではなく、最新の IE パッチのみが報告されます。

インポートされたファイルを保持する

結果がインポートされた後に、スキャン処理で使用される結果ファイルが削除されずに、ディスク上に無制限に格納されます。

セキュリティで保護された LDAP 接続を要求

コンピュータグループエディタ内であれスキャン中であれ LDAP で OU やコンピュータを問い合わせる際に、セキュアポート636が失敗した場合でも、非セキュアポート389が使用されないようにします。これは既定では無効になっています。

コンピュータグループエディタで [Active Directory の参照] をクリックした後、ドメインを参照する際にはポート389が常に使用されます。ただし、送信されるデータは Kerberos を使用して暗号化されるため、セキュリティのリスクはありません。

継続的なエージェントレススキャンを有効にする

分単位の頻度で継続的に発生するエージェントレスパッチスキャンをスケジュールするためのオプションを追加します。ネットワークアクセス制御 (NAC) 環境における、特定の状況下での使用のみが推奨されます。

詳細については、「継続的なエージェントレススキャン」をご参照ください。

このオプションが有効になっていて、分単位の頻度でスケジュールされたスキャンが存在する場合、スケジュールコンソールタスクマネージャを使用して、それらのスケジュール済みスキャンを削除するまで、このオプションを無効にすることはできません。

接続タイムアウト (秒)

スキャン中に対象コンピュータがコンソールに応答するのを待機する最大時間。指定した時間 (秒) 内に、コンソールが対象コンピュータに接続できない場合、コンピュータはスキップされます。接続の試行が指定された時間よりも前にタイムアウトする場合があり、待機時間の最大値を追加します。

パッチスキャン結果インポートタイムアウト (分)

コンソールがすべてのターゲットコンピュータからスキャン結果をインポートするのを待機する最大時間。指定された時間 (分) 内にすべてのコンピュータが結果を報告しなかった場合、コンソールは待機するのを停止し、スキャン後のアクティビティ (レポートの生成、電子メールの送信など) に進みます。

コンピュータへの接続方法

クライアントコンピュータに接続するときに使用する方法を指定します。 2 つのオプションがあります。

IP アドレス: コンソールは、コンピュータの IP アドレスを使用してクライアントに接続します。これは既定の設定です。
完全修飾ドメイン名 (FQDN): 環境で Kerberos 認証が使用され、Server Message Block (SMB) エンドポイント接続でサービスプリンシパル名 (SPN) 検証が必要な場合、この方法が必要になることがあります。

詳細については、「IP アドレスと FQDN」をご参照ください。

この設定は、コンピュータグループレベルで上書きできます。コンピュータビューまたはスキャンビューから開始されたスキャンでは、コンピュータレベルでも上書きできます。

グローバルスレッドプール

パッチスキャンまたは配布、資産スキャン、または電源ステータススキャン中に使用できる、しきい値の合計数を指定します。 1つのスレッドは1つのコンピュータをスキャンするために使用されます。このため、最大64スレッドを指定する場合は、64コンピュータを1回のスキャンで同時にスキャンできることを意味します。同時に多数のコンピュータをスキャンできるようにすると、必要なネットワークリソースが増えます。低速リンク上でスキャンしている場合は、この数を減らします。

IP 範囲、ドメイン、または組織単位で定義されるコンピュータを含むコンピュータグループをスキャンする場合は、スキャン前にこのオプションも使用されます。スキャンするコンピュータを決定するために使用されるスレッド数を制限します。

既定の配布テンプレート

既定で使用する配布テンプレートを指定します。以前に定義した新規配布テンプレートはすべて、ドロップダウンリストに組み込まれます。詳細については、「配布テンプレート」をご参照ください。

存在しない場合は、一時システムドライブ共有を作成する

Security Controls では、認証処理中に、対象コンピュータで一時管理者共有名を作成して使用できます。スキャンまたは配布が完了すると、共有名は対象コンピュータから削除されます。

通常、このオプションは適用されませんが、何らかの理由で対象コンピュータの管理者共有名 (C$, D$ など) を無効にしたり名前を変更した場合には、Security Controls がこれらのコンピュータにアクセスするには、このチェックボックスをオンにする必要があります。

スキャン オプション

スキャンオプション