修補選項

欄位	說明
預設修補程式掃描範本	執行修補程式掃描時要設定為預設的掃描範本。
僅試用瀏覽清單 (僅按照網域掃描)	掃描網域時，掃描的電腦是 Microsoft 網路中的電腦「瀏覽清單」包含的電腦，而非網域控制器指定的網域之中所有的電腦。使用此選項一般會減少程式執行掃描時嘗試連線的電腦數。如需詳細資訊，請參閱搜尋電腦。
總是強制電腦群組排除	在掃描作業中使用多個電腦群組時，如果電腦被排除在一個電腦群組外，而包含在其他電腦群組內，則會將該台電腦排除在該作業外。如果未勾選一律強制執行電腦群組排除核取方塊，則電腦將涵蓋在該作業內。範例: 在無代理程式操作頁面上，選取兩個您要掃描的電腦群組。 MachineA 被排除在一個群組外，但是包含在另一個群組內。如果勾選一律強制執行電腦群組排除核取方塊，則 MachineA 將不會涵蓋在該掃描內。如果未勾選一律強制執行電腦群組排除核取方塊，則 MachineA 將會涵蓋在該掃描內。您掃描包含 2 個群組的巢狀群組。在其中一個群組中，已排除網域 ABC.com，但是另一個群組包含 ABC.com 網域中的 3 台電腦。如果勾選一律強制執行電腦群組排除核取方塊，則這 3 台電腦將不會涵蓋在該掃描內。如果未勾選一律強制執行電腦群組排除核取方塊，則這 3 台電腦將會涵蓋在該掃描內。
使用取代修補程式	指示 Security Controls 僅掃描未取代的修補程式，忽略其他修補程式已取代的修補程式。例如，不回報所有遺失的 Internet Explorer 修補程式，只回報最新的 IE 修補程式。
保留匯入的檔案	掃描作業所用的結果檔案將無限期儲存於磁碟上，而不會在結果匯入程式後予以刪除。
需要安全 LDAP 連線	在電腦群組編輯器中和掃描期間查詢 LDAP 中的 OU 或電腦時，如果安全連接埠 636 故障，則防止使用不安全的連接埠 389。這預設為停用狀態。按一下電腦群組編輯器上的瀏覽 Active Directory 後瀏覽網域時，一律使用連接埠 389。不過，傳送到其中的資料是使用 Kerberos 加密的，因此不存在安全風險。
啟用連續無代理程式掃描	新增選項，以分鐘為間隔單位排程週期性無代理程式修補程式掃描。此選項僅建議在網路存取控制 (NAC) 環境內的特定情況下使用。如需更多詳細資訊，請參閱連續無代理程式掃描。如果啟用此選項且已有使用分鐘為間隔的排程掃描，在您使用排程控制台工作管理員刪除上述排程掃描之前，您無法停用此選項。
連線逾時 (秒)	等候目標電腦在掃描期間回應控制台的時間上限。如果控制台無法在指定的秒數內連線到目標電腦，將略過該電腦。連線嘗試可能在指定值之前逾時，該值只是等候時間的上限值。
修補程式掃描結果匯入逾時 (分)	等待控制台從所有目標電腦匯入掃描結果的時間上限。若所有電腦均未在指定分鐘數內回報結果，控制台將停止等候並繼續任何後續掃描活動，例如產生報告及傳送電子郵件。
連線到電腦的方式:	指定連線到您用戶端電腦時要使用的方法。有兩個選項: IP 位址: 控制台將使用電腦的 IP 位址連接至用戶端。這是預設設定。完整網域名稱 (FQDN): 如果您的環境使用的是 Kerberos 驗證，且伺服器訊息區 (SMB) 端點連線需進行服務主體名稱 (SPN) 驗證時，則您可能需要此種方法。如需更多詳細資訊，請參閱 IP 位址與 FQDN。此設定可能會在電腦群組層級遭到覆寫。針對從「電腦檢視」及「掃描檢視」所起始的掃描，其也可能會在電腦層級遭到覆寫。
全域執行緒集區	指定在修補程式掃描或部署、資產掃描，或是電源狀態掃描期間可使用的執行緒總數。您指定的值將乘以控制台電腦的邏輯 CPU 數，藉以決定掃描執行個體期間可使用的執行緒數上限。一個執行緒將用來掃描一台電腦，因此，如果您指定最多 64 個執行緒，表示一次掃描可同時掃描 64 台電腦。允許一次掃描多台電腦需要較多的網路資源。如果透過速度慢的連結進行掃描，則減少此數字。如果您正在掃描包含由 IP 範圍、網域或組織單位定義之電腦的電腦群組，則在掃描前也會先使用此選項。此選項將限制用於判斷應掃描哪些電腦的執行緒數量。
預設部署範本	指定預設使用的部署範本。您先前定義的任何新部署範本均將包含在下拉式清單中。如需詳細資訊，請參閱關於部署範本。
建立暫時系統磁碟機共用 (如果不存在)	使 Security Controls 於驗證程序期間在目標電腦上建立並使用暫時管理員共用名稱。掃描或部署完成時，將從目標電腦移除共用名稱。此選項不適用於大多數組織，如果您的組織基於某種原因將目標電腦上的管理員共用名稱（C$、D$ 等）停用或重新命名，您必須勾選這個核取方塊，Security Controls 才能存取這些電腦。

預設修補程式掃描範本

執行修補程式掃描時要設定為預設的掃描範本。

僅試用瀏覽清單 (僅按照網域掃描)

掃描網域時，掃描的電腦是 Microsoft 網路中的電腦「瀏覽清單」包含的電腦，而非網域控制器指定的網域之中所有的電腦。使用此選項一般會減少程式執行掃描時嘗試連線的電腦數。如需詳細資訊，請參閱搜尋電腦。

總是強制電腦群組排除

在掃描作業中使用多個電腦群組時，如果電腦被排除在一個電腦群組外，而包含在其他電腦群組內，則會將該台電腦排除在該作業外。如果未勾選一律強制執行電腦群組排除核取方塊，則電腦將涵蓋在該作業內。

範例:

在無代理程式操作頁面上，選取兩個您要掃描的電腦群組。 MachineA 被排除在一個群組外，但是包含在另一個群組內。如果勾選一律強制執行電腦群組排除核取方塊，則 MachineA 將不會涵蓋在該掃描內。如果未勾選一律強制執行電腦群組排除核取方塊，則 MachineA 將會涵蓋在該掃描內。
您掃描包含 2 個群組的巢狀群組。在其中一個群組中，已排除網域 ABC.com，但是另一個群組包含 ABC.com 網域中的 3 台電腦。如果勾選一律強制執行電腦群組排除核取方塊，則這 3 台電腦將不會涵蓋在該掃描內。如果未勾選一律強制執行電腦群組排除核取方塊，則這 3 台電腦將會涵蓋在該掃描內。

使用取代修補程式

指示 Security Controls 僅掃描未取代的修補程式，忽略其他修補程式已取代的修補程式。例如，不回報所有遺失的 Internet Explorer 修補程式，只回報最新的 IE 修補程式。

保留匯入的檔案

掃描作業所用的結果檔案將無限期儲存於磁碟上，而不會在結果匯入程式後予以刪除。

需要安全 LDAP 連線

在電腦群組編輯器中和掃描期間查詢 LDAP 中的 OU 或電腦時，如果安全連接埠 636 故障，則防止使用不安全的連接埠 389。這預設為停用狀態。

按一下電腦群組編輯器上的瀏覽 Active Directory 後瀏覽網域時，一律使用連接埠 389。不過，傳送到其中的資料是使用 Kerberos 加密的，因此不存在安全風險。

啟用連續無代理程式掃描

新增選項，以分鐘為間隔單位排程週期性無代理程式修補程式掃描。此選項僅建議在網路存取控制 (NAC) 環境內的特定情況下使用。

如需更多詳細資訊，請參閱連續無代理程式掃描。

如果啟用此選項且已有使用分鐘為間隔的排程掃描，在您使用排程控制台工作管理員刪除上述排程掃描之前，您無法停用此選項。

連線逾時 (秒)

等候目標電腦在掃描期間回應控制台的時間上限。如果控制台無法在指定的秒數內連線到目標電腦，將略過該電腦。連線嘗試可能在指定值之前逾時，該值只是等候時間的上限值。

修補程式掃描結果匯入逾時 (分)

等待控制台從所有目標電腦匯入掃描結果的時間上限。若所有電腦均未在指定分鐘數內回報結果，控制台將停止等候並繼續任何後續掃描活動，例如產生報告及傳送電子郵件。

連線到電腦的方式:

指定連線到您用戶端電腦時要使用的方法。有兩個選項:

IP 位址: 控制台將使用電腦的 IP 位址連接至用戶端。這是預設設定。
完整網域名稱 (FQDN): 如果您的環境使用的是 Kerberos 驗證，且伺服器訊息區 (SMB) 端點連線需進行服務主體名稱 (SPN) 驗證時，則您可能需要此種方法。

如需更多詳細資訊，請參閱 IP 位址與 FQDN。

此設定可能會在電腦群組層級遭到覆寫。針對從「電腦檢視」及「掃描檢視」所起始的掃描，其也可能會在電腦層級遭到覆寫。

全域執行緒集區

指定在修補程式掃描或部署、資產掃描，或是電源狀態掃描期間可使用的執行緒總數。您指定的值將乘以控制台電腦的邏輯 CPU 數，藉以決定掃描執行個體期間可使用的執行緒數上限。一個執行緒將用來掃描一台電腦，因此，如果您指定最多 64 個執行緒，表示一次掃描可同時掃描 64 台電腦。允許一次掃描多台電腦需要較多的網路資源。如果透過速度慢的連結進行掃描，則減少此數字。

如果您正在掃描包含由 IP 範圍、網域或組織單位定義之電腦的電腦群組，則在掃描前也會先使用此選項。此選項將限制用於判斷應掃描哪些電腦的執行緒數量。

預設部署範本

指定預設使用的部署範本。您先前定義的任何新部署範本均將包含在下拉式清單中。如需詳細資訊，請參閱關於部署範本。

建立暫時系統磁碟機共用 (如果不存在)

使 Security Controls 於驗證程序期間在目標電腦上建立並使用暫時管理員共用名稱。掃描或部署完成時，將從目標電腦移除共用名稱。

此選項不適用於大多數組織，如果您的組織基於某種原因將目標電腦上的管理員共用名稱（C$、D$ 等）停用或重新命名，您必須勾選這個核取方塊，Security Controls 才能存取這些電腦。

掃描選項