修补选项

字段	说明
默认修补程序扫描模板	执行修补程序扫描时希望设置为默认模板的扫描模板。
仅使用浏览列表(仅按域的扫描)	扫描域时，扫描的计算机为包含在 Microsoft 网络中的计算机的“浏览列表”中的计算机，而不是由域控制器指定的域中的所有计算机。执行扫描时，使用此选项通常会减少程序尝试连接到的计算机的数量。有关详细信息，请参阅发现计算机。
总是强制执行计算机组排除	在一次扫描操作中使用多个计算机组时，如果一个计算机组排除某台计算机而另一个组包含该计算机，将从操作中排除该计算机。如果未启用始终强制执行计算机组排除复选框，对于相同情况，操作中将包含该计算机。示例：在无代理操作页面上，选择要扫描的两个计算机组。一个组排除计算机 A，另一个组包含该计算机。如果启用了始终强制执行计算机组排除复选框，扫描中将不会包含计算机 A。如果未启用始终强制执行计算机组排除复选框，扫描中将包含计算机 A。扫描两个组构成的嵌套组。一个组中排除了域 ABC.com，而另一个组包含 ABC.com 域中的三台计算机。如果启用了始终强制执行计算机组排除复选框，扫描中将不会包含这三台计算机。如果未启用始终强制执行计算机组排除复选框，扫描中将包含这三台计算机。
使用替换修补程序	指示 Security Controls 仅扫描未被替换的修补程序，忽略被其他修补程序替换的修补程序。例如，仅报告最新和当前的 IE 修补程序，而不是报告所有缺失的 Internet Explorer 修补程序。
保留导入的文件	扫描操作使用的结果文件会永久存储在磁盘上，而不是在将结果导入程序后将其删除。
需要安全的 LDAP 连接	如果在计算机组编辑器和扫描期间查询 LDAP 中的 OU 或计算机时安全端口 636 故障，防止使用不安全的端口 389。默认情况下，此功能处于禁用状态。点击计算机组编辑器上的浏览 Active Directory 后，浏览域时将始终使用端口 389。但是，发送给该端口的数据会使用 Kerberos 加密，因此不存在安全风险。
启用连续无代理扫描	添加一个选项，以基于分钟的间隔计划定期无代理修补程序扫描。只推荐在网络访问控制 (NAC) 环境中的某些情况下使用此选项。有关更多详细信息，请参阅连续无代理扫描。如果启用了此选项，并且存在使用基于分钟的间隔的计划扫描，您将无法禁用此选项，直到使用计划控制台任务管理器删除这些计划扫描为止。
连接超时(秒)	扫描期间等待目标计算机响应控制台的最长时间。如果控制台无法在指定时间内（以秒为单位）连接至目标计算机，则会跳过此计算机。连接尝试可能在达到指定值之前超时，此选项仅设置一个等待时间的最大值。
修补程序扫描结果导入超时(分钟)	控制台等候从所有目标计算机导入扫描结果的最长时间。如果所有计算机都未在指定分钟数内报告结果，则控制台将停止等待，并将继续执行所有扫描后的活动，如生成报告或发送电子邮件。
计算机连接方法	指定在连接到您的客户端计算机时要使用的方法。有两个选项： IP 地址：控制台将使用计算机的 IP 地址连接到客户端。这是默认设置。完全限定域名 (FQDN)：如果您的环境中使用 Kerberos 身份验证，并且服务器消息块 (SMB) 端点连接需要服务器主体名称 (SPN) 验证，则您可能需要此方法。有关更多详细信息，请参阅 IP 地址与 FQDN。可以在计算机组级别覆盖此设置。对于从计算机视图或扫描视图发起的扫描，也可以在计算机级别覆盖此设置。
全局线程池	指定修补程序扫描或部署、资产扫描或电源状态扫描期间可使用的线程总数。将您所指定的值乘以控制台计算机上的逻辑 CPU 数量，即可确定扫描实例期间可使用的总线程数。一个线程将用于扫描一台计算机，因此如果指定最多 64 个线程，则表示一次扫描期间可同步扫描 64 台计算机。如果允许同时扫描多台计算机，将需要更多的网络资源。如果正在通过慢速链接扫描，则减小此数量。如果正在扫描的计算机组包含由 IP 范围、域或组织单位定义的计算机，则在扫描之前也将使用此选项。此选项将限制用于确定目标扫描计算机的线程数量。
默认部署模板	指定在默认情况下使用的部署模板。您之前定义的任何新部署模板都将包含在下拉列表中。有关详细信息，请参阅关于部署模板。
如果不存在临时系统驱动器共享，则进行创建	允许 Security Controls 在身份验证过程中在目标计算机上创建并使用临时的管理员共享名。扫描或部署完成后，会从目标计算机移除共享名。然而此选项不适用于大多数组织，如果组织由于某种原因已禁用或重命名目标计算机上的管理员共享名（C$、D$ 等），则必须先选中此复选框，然后 Security Controls 才能访问这些计算机。

默认修补程序扫描模板

执行修补程序扫描时希望设置为默认模板的扫描模板。

仅使用浏览列表(仅按域的扫描)

扫描域时，扫描的计算机为包含在 Microsoft 网络中的计算机的“浏览列表”中的计算机，而不是由域控制器指定的域中的所有计算机。执行扫描时，使用此选项通常会减少程序尝试连接到的计算机的数量。有关详细信息，请参阅发现计算机。

总是强制执行计算机组排除

在一次扫描操作中使用多个计算机组时，如果一个计算机组排除某台计算机而另一个组包含该计算机，将从操作中排除该计算机。如果未启用始终强制执行计算机组排除复选框，对于相同情况，操作中将包含该计算机。

示例：

在无代理操作页面上，选择要扫描的两个计算机组。一个组排除计算机 A，另一个组包含该计算机。如果启用了始终强制执行计算机组排除复选框，扫描中将不会包含计算机 A。如果未启用始终强制执行计算机组排除复选框，扫描中将包含计算机 A。
扫描两个组构成的嵌套组。一个组中排除了域 ABC.com，而另一个组包含 ABC.com 域中的三台计算机。如果启用了始终强制执行计算机组排除复选框，扫描中将不会包含这三台计算机。如果未启用始终强制执行计算机组排除复选框，扫描中将包含这三台计算机。

使用替换修补程序

指示 Security Controls 仅扫描未被替换的修补程序，忽略被其他修补程序替换的修补程序。例如，仅报告最新和当前的 IE 修补程序，而不是报告所有缺失的 Internet Explorer 修补程序。

保留导入的文件

扫描操作使用的结果文件会永久存储在磁盘上，而不是在将结果导入程序后将其删除。

需要安全的 LDAP 连接

如果在计算机组编辑器和扫描期间查询 LDAP 中的 OU 或计算机时安全端口 636 故障，防止使用不安全的端口 389。默认情况下，此功能处于禁用状态。

点击计算机组编辑器上的浏览 Active Directory 后，浏览域时将始终使用端口 389。但是，发送给该端口的数据会使用 Kerberos 加密，因此不存在安全风险。

启用连续无代理扫描

添加一个选项，以基于分钟的间隔计划定期无代理修补程序扫描。只推荐在网络访问控制 (NAC) 环境中的某些情况下使用此选项。

有关更多详细信息，请参阅连续无代理扫描。

如果启用了此选项，并且存在使用基于分钟的间隔的计划扫描，您将无法禁用此选项，直到使用计划控制台任务管理器删除这些计划扫描为止。

连接超时(秒)

扫描期间等待目标计算机响应控制台的最长时间。如果控制台无法在指定时间内（以秒为单位）连接至目标计算机，则会跳过此计算机。连接尝试可能在达到指定值之前超时，此选项仅设置一个等待时间的最大值。

修补程序扫描结果导入超时(分钟)

控制台等候从所有目标计算机导入扫描结果的最长时间。如果所有计算机都未在指定分钟数内报告结果，则控制台将停止等待，并将继续执行所有扫描后的活动，如生成报告或发送电子邮件。

计算机连接方法

指定在连接到您的客户端计算机时要使用的方法。有两个选项：

IP 地址：控制台将使用计算机的 IP 地址连接到客户端。这是默认设置。
完全限定域名 (FQDN)：如果您的环境中使用 Kerberos 身份验证，并且服务器消息块 (SMB) 端点连接需要服务器主体名称 (SPN) 验证，则您可能需要此方法。

有关更多详细信息，请参阅 IP 地址与 FQDN。

可以在计算机组级别覆盖此设置。对于从计算机视图或扫描视图发起的扫描，也可以在计算机级别覆盖此设置。

全局线程池

指定修补程序扫描或部署、资产扫描或电源状态扫描期间可使用的线程总数。将您所指定的值乘以控制台计算机上的逻辑 CPU 数量，即可确定扫描实例期间可使用的总线程数。一个线程将用于扫描一台计算机，因此如果指定最多 64 个线程，则表示一次扫描期间可同步扫描 64 台计算机。如果允许同时扫描多台计算机，将需要更多的网络资源。如果正在通过慢速链接扫描，则减小此数量。

如果正在扫描的计算机组包含由 IP 范围、域或组织单位定义的计算机，则在扫描之前也将使用此选项。此选项将限制用于确定目标扫描计算机的线程数量。

默认部署模板

指定在默认情况下使用的部署模板。您之前定义的任何新部署模板都将包含在下拉列表中。有关详细信息，请参阅关于部署模板。

如果不存在临时系统驱动器共享，则进行创建

允许 Security Controls 在身份验证过程中在目标计算机上创建并使用临时的管理员共享名。扫描或部署完成后，会从目标计算机移除共享名。

然而此选项不适用于大多数组织，如果组织由于某种原因已禁用或重命名目标计算机上的管理员共享名（C$、D$ 等），则必须先选中此复选框，然后 Security Controls 才能访问这些计算机。

扫描选项