» Startseite » Admin-Konfigurationen (Alte UI) » Allgemeine Einstellungen » Integrationen mit ME-Produkten » Benutzerdefinierte Trigger ändern

Sicherheitseinstellungen

Sicherheitseinstellungen erlauben dem Administrator, sicherheitsbezogene Optionen zu konfigurieren, ohne auf Unterstützung durch Techniker zur Behebung von Sicherheitsverstößen angewiesen zu sein. Durch die Sicherheitseinstellungen kann der Administrator Schutzmaßnahmen für die Anwendung gegen potenzielle Schwachstellen und Sicherheitsverletzungen konfigurieren.

Sie können Sicherheitseinstellungen konfigurieren, indem Sie zu Admin > Allgemein  > Sicherheitseinstellungen.

Erforderliche Rolle: SDAdmin

Inhalte

Allgemeine Einstellungen:

Konfigurieren Sie die Schwelle und Dauer der Kontosperrung: Mit dieser Option stellen Sie sicher, dass ein Benutzerkonto nach einer vorgegebenen Anzahl fehlgeschlagener Anmeldeversuche gesperrt wird. Sie können die anzuzeigende Nachricht anpassen, die erscheint, wenn das Benutzerkonto aufgrund zu vieler fehlgeschlagener Anmeldeversuche gesperrt wird. Diese Konfiguration gilt für alle Authentifizierungsarten.

Um die Schwelle und Dauer der Kontosperrung zu konfigurieren,

  1. Aktivieren Schwelle und Dauer der Kontosperrung konfigurieren.
  2. Geben Sie die Schwelle für die Kontosperrung an.
  3. Geben Sie die Anzahl der zulässigen Anmeldeversuche (N) und die Dauer zur Zurücksetzung eines gesperrten Benutzerkontos an.
  4. Wählen Sie, ob das Benutzerkonto nur auf dem Computer gesperrt wird, auf dem der Anmeldeversuch erfolgte, oder auf jedem Computer.
  5. Passen Sie die anzuzeigende Nachricht an, wenn das Benutzerkonto gesperrt ist.
  6. Wählen Sie, ob Techniker per E-Mail oder als Technikerbereich-Benachrichtigung im Header informiert werden.

Sie können ein gesperrtes Konto durch einen Klick auf den bereitgestellten Link entsperren. Alternativ können Sie auch navigieren zu ESM-Verzeichnis >> Benutzer und klicken Sie auf Gesperrte Konten Schaltfläche in der Symbolleiste. Ein Pop-up zeigt die gesperrten Konten mit deren Domäne und IP-Adresse an. Wählen Sie das gesperrte Konto aus und klicken Sie Entsperren.

Beim (N-1)ten Fehlversuch, also dem Versuch vor dem letzten, wird eine Captcha-Authentifizierung erzwungen, um sicherzustellen, dass Bruteforce-Angreifer keine Roboter verwenden, um ein Benutzerkonto zu sperren.

Gleichzeitige Anmeldung deaktivieren: Mit dieser Option können Sie gleichzeitige Anmeldungen von verschiedenen IP-Adressen einschränken. Wenn diese Option aktiviert ist, werden gleichzeitige Anmeldeversuche in den folgenden Fällen wie folgt behandelt:

  • Versucht sich der Benutzer von einer anderen IP-Adresse anzumelden, schlägt die Anmeldung mit einer Fehlermeldung fehl.
  • Versucht sich der Benutzer über ein Inkognito-Fenster (bei Chrome) oder einem anderen Browser auf derselben IP-Adresse anzumelden, wird er von der laufenden Sitzung abgemeldet.
Die gleichzeitige Anmeldung ist standardmäßig aktiviert.

Server-Port- und Protokollkonfiguration: Sie können wählen, ob die Anwendung im HTTP- oder HTTPS-Modus ausgeführt wird.

  • HTTP-Modus aktivieren: Geben Sie den Standard-Serverport an, auf dem die Anwendung laufen soll.

  • HTTPS-Modus aktivieren: Nach Angabe des Serverports legen Sie die TLS-Versionen und Verschlüsselungsmethoden fest, um eine ordnungsgemäße Datenverschlüsselung zu gewährleisten und Hacker daran zu hindern, Daten zu stehlen.

Ablaufdatum für "Angemeldet bleiben"-Funktion konfigurieren: Sie können die Dauer festlegen, wie lange ein Benutzer angemeldet bleiben kann. Am Ablaufdatum muss der Benutzer sich durch erneute Eingabe der Anmeldedaten erneut authentifizieren. Standardmäßig muss sich der Benutzer alle 45 Tage neu anmelden.

Passwort vergessen aktivieren: Aktivieren/Deaktivieren Sie die Passwort vergessen Option auf der Anmeldeseite für Benutzer, die sich mittels lokaler Authentifizierung anmelden. Wenn diese Option aktiviert ist, können Benutzer die Passwort-vergessen-Funktion nutzen, um über Eingabe ihres Benutzernamens und der Domäne einen Link zum Zurücksetzen des Passworts an ihre primäre E-Mail-Adresse zu erhalten. Ist die E-Mail-Adresse nicht konfiguriert oder in mehreren Profilen verwendet, wird keine E-Mail gesendet. In solchen Fällen kann der Administrator das Passwort manuell zurücksetzen.



Um die E-Mail-Benachrichtigung zum Zurücksetzen des Passworts anzupassen, gehen Sie zu Benachrichtigungsregeln und klicken Sie auf Vorlage anpassen gegenüber Senden Sie Self-Service-Anmeldedaten. Ändern Sie Betreff und Nachricht nach Bedarf. Verwenden Sie die entsprechenden $ Variablen, um notwendige Links wie Passwort-Zurücksetzungs-Link und Server-URL usw. hinzuzufügen. Klicken Sie Speichern. Um die Gültigkeit des Passwort-Zurücksetzungs-Links zu ändern, wenden Sie sich bitte an unseren Support.

Konfiguration der Zeitüberschreitung für inaktive Sitzungen: Legen Sie die Dauer in Minuten fest, nach der der Benutzer bei einer inaktiven Sitzung aus der Web- und mobilen App abgemeldet wird. Sie können die Grenze zwischen 1 und 1440 Minuten setzen.


Der Standardzeitlimit für die mobile App-Sitzung beträgt 30 Minuten für Neuinstallationen von ServiceDesk Plus Version 11200 und später sowie AssetExplorer Version 6800 oder später. Für migrierte Builds bleibt das Zeitlimit für die mobile App deaktiviert und sollte je nach Bedarf konfiguriert werden.


Passwortschutz für alle Dateianhänge aktivieren: Sie können die Dateianhänge, die in Ihrer Anwendung gespeichert sind, durch Verschlüsselung auf Serverebene vor unbefugtem Zugriff schützen. Dies verhindert Sicherheitsverletzungen der Serverdaten. Das Passwort ist nur für den SDAdmin verfügbar und kann auch im Fall eines Verschlüsselungsfehlers verwendet werden.

Erweiterte Einstellungen:

Sicherheitsantwort-Header hinzufügen:Konfigurieren Sie Sicherheitsheader, um die Anwendung vor XSS-Angriffen und anderen Verwundbarkeitsangriffen zu schützen.

  • Wählen Sie den erforderlichen Sicherheitsantwort-Header aus der Liste.
  • Geben Sie den Wert des Antwort-Headers ein.

Sie können auch einen oder mehrere Antwort-Header ein- oder ausschließen.

Klicken Sie hier, um mehr über Sicherheitseinstellungen zu erfahren.

Domain-Dropdown während der Anmeldung aktivieren:

Diese Option listet die Domainnamen auf der Anmeldeseite auf. Ist sie deaktiviert, bleiben die Domainnamen für alle außer den Benutzern anonym.

Domain-Filterung während der Anmeldung:

Diese Option filtert die beim Login angezeigten Domains basierend auf dem eingegebenen Benutzernamen. Ist sie deaktiviert, wird die gesamte Domain-Liste angezeigt, wodurch die Wahrscheinlichkeit sinkt, dass Hacker die Domains kennen, in denen ein bestimmter Benutzer vorhanden ist. Beachten Sie, dass die Domain-Filterung nur aktiviert werden kann, wenn das Domain-Dropdown aktiviert ist.

Hochladen von gescannten XMLs über Nicht-Login-URLs stoppen:

Durch Aktivieren dieser Option wird die Anwendung bei unnötigen Datenuploads unempfindlich, wenn gescannte XML-Daten von einem Agenten über eine Nicht-Login-URL empfangen werden.

Technikern erlauben, eigene API-Schlüssel zu generieren

Diese Option erlaubt Technikern, eigene API-Schlüssel zur Verbindung von ServiceDesk Plus mit Drittanbieteranwendungen zu generieren. Ist sie deaktiviert, kann nur der Administrator API-Schlüssel für Techniker erzeugen.

Einfügen in Passwortfelder deaktivieren:

Diese Option verhindert, dass Benutzer Daten aus der Zwischenablage in alle Passwortfelder der Anwendung einfügen.

HTTP-Komprimierung deaktivieren:

Das Deaktivieren der HTTP-Komprimierung verhindert BREACH-Angriffe, da dieser Angriff nur auf über HTTP-Komprimierung übertragene Daten angewendet wird. Allerdings führt dies zu einem leichten Anstieg der Netzbandbreite und einer verringerten Anwendungsleistung.

Virenscan für Datei-Uploads aktivieren:

Sie können Ihre vorhandene Antivirus-Software in ServiceDesk Plus konfigurieren, um beim Datei-Upload und Empfang von E-Mail-Anhängen gefährdete Dateien zu erkennen. Nur Antivirus-Software, die das ICAP-Protokoll verwendet, kann konfiguriert werden.


Um einen Virenscan in der Anwendung zu konfigurieren,

  1. Gehen Sie zu Admin > Sicherheitseinstellungen > Erweiterte.
  2. Klicken Sie auf das Kontrollkästchen neben "Virenscan für Datei-Uploads aktivieren".
  3. Geben Sie den Hostnamen ein, auf dem der Antivirus installiert ist.
  4. Geben Sie den Dienstnamen und den Port des Antivirus-Tools ein. Diese Informationen finden Sie auf der Einstellungsseite Ihres Antivirus-Tools.
  5. Klicken Sie Speichern.


Nach der Konfiguration werden Datei-Uploads und Anhänge auf gefährdete Dateien gescannt.


Einige der konfigurierbaren Antivirus-Tools sind:


      1. BITDEFENDER_SECURITY_FOR_STORAGE
      2. ESET_FILE_SECURITY
      3. ESET_GATEWAY_SECURITY
      4. KASPERSKY_SECURITY_FOR_WINDOWS_SERVER
      5. MCAFEE_VIRUSSCAN_ENTERPRICE_FOE_STORAGE
      6. MCAFEE_WEB_GATEWAY
      7. SYMANTEC_PROTECHTION_ENGINE_FOR_CLOUD
      8. CLAM_AV_WITH_SQUID

Login-Details-Banner deaktivieren: Die letzten Login-Informationen werden den Benutzern beim Anmelden nicht angezeigt.

Ratenbegrenzung für alle Aktionen und Operationen deaktivieren: Alle Aktionen/Operationen können unabhängig von der konfigurierten Ratenbegrenzung durchgeführt werden.

Überwachen von verdächtigen Aktivitäten 

Um die Anwendung vor URL-Angriffen zu schützen, bietet ServiceDesk Plus eine Option, SDAdmins und OrgAdmins zu benachrichtigen, wenn die Anzahl der Zugriffsversuche auf eine URL innerhalb eines bestimmten Zeitrahmens die vordefinierte Ratenbegrenzung überschreitet.

Jede URL hat intern eine vordefinierte Ratenbegrenzung. Beim Erreichen dieser Begrenzung wird die Verbindung zur angeforderten URL für einen bestimmten Zeitraum blockiert und eine Benachrichtigung ausgelöst.

Benachrichtigungen werden an OrgAdmins gesendet, wenn URLs über die UI aufgerufen werden.

Benachrichtigungen werden an SDAdmins gesendet, wenn URLs über Integration Keys aufgerufen werden.

Die Benachrichtigung enthält Details wie die URL-Adresse, Benutzerdaten, die zur Aufrufung der URL verwendet wurden, Beschreibung, Datum/Uhrzeit, IP-Adresse des entsprechenden Rechners, Ratenbegrenzung konfigurieren Option zum Ändern der Ratenbegrenzung der URL.

Um die Benachrichtigung zu aktivieren,

  • Gehen Sie zu Admin > ESM-Verzeichnis > Allgemeine Einstellungen > Sicherheitseinstellungen.

  • Unter Erweiterte Einstellungen, wählen Sie Aktivieren Sie Push-Benachrichtigungen für Admins, wenn das Client-Anforderungs-Limit erreicht ist das Kontrollkästchen.

Die URL-Zugriffsbegrenzung kann auf zwei Arten geändert werden:

  1. Über Benachrichtigungen

  2. Durch Verwendung des Links für URL-Ratenbegrenzungsverstöße

 Eine Erhöhung der URL-Ratenbegrenzung kann die Anwendungsleistung beeinträchtigen und zu DoS (Denial of Service)-Angriffen führen.
Sie können nun die Schwellenwerte dieser URLs ändern, jedoch nicht die vorgegebene Zeitdauer.
Für jede URL gibt es einen vordefinierten Schwellenwert. Der eingegebene Wert darf das Dreifache des vorgegebenen Werts nicht überschreiten.

Um die Ratenbegrenzung über die Benachrichtigungen zu ändern,

  1. klicken Sie auf die Glocke oder Push-Benachrichtigung.

  1. Im angezeigten Fenster klicken Sie unter Ratenbegrenzung konfigurieren auf Bearbeiten.

  2. URL-Ratenbegrenzung - Geben Sie die Anzahl der Anfragen für die URL ein.

  3. Klicken Sie Aktualisieren , um die Änderungen zu speichern. Die Informationen zum zuletzt ändernden Benutzer, Datum und Uhrzeit werden im selben Fenster angezeigt.

Führen Sie die folgenden Schritte aus, um die Ratenbegrenzung über den Link für URL-Ratenbegrenzungsverstöße neben dem Kontrollkästchen Aktivieren Sie Push-Benachrichtigungen für Admins, wenn das Client-Anforderungs-Limit erreicht ist

  1. zu ändern:

  1. Klicken Sie auf URL-Ratenbegrenzungsverstöße, um die vollständige Liste der verdächtigen Aktivitäten anzuzeigen.

  2. Wählen Sie eine betroffene URL aus. Bearbeiten.

  1. URL-Ratenbegrenzung - Geben Sie die Anzahl der Anfragen für die URL ein.

  2. Klicken Sie Aktualisieren Klicken Sie im angezeigten Fenster unter Ratenbegrenzung konfigurieren auf

, um die Änderungen zu speichern. Die Informationen zum zuletzt ändernden Benutzer und zur Zeit werden angezeigt.

Passwort-Richtlinie

Die Ratenbegrenzung für dieselbe URL kann sowohl über die UI als auch mittels Integration Keys konfiguriert werden. Die über die UI von OrgAdmin gesetzte Ratenbegrenzung ist unabhängig von der mittels Integration Keys durch SDAdmin geänderten Ratenbegrenzung.Passwort-Richtlinie aktivieren

: Die Passwort-Richtlinie ermöglicht es dem Administrator, Kriterien für die Passworterstellung zu konfigurieren und durchzusetzen. Dies gewährleistet eine bessere Sicherheit der Benutzerpasswörter. Die Passwort-Richtlinie ist standardmäßig deaktiviert.

  • Die konfigurierte Passwort-Richtlinie wird angewendet, wenn:
  • Benutzer ihre Kontopasswörter ändern.
  • SDAdmin Benutzerpasswörter ändert.
  • Neue Benutzer über Webformular, CSV-Import, Active Directory-Import oder LDAP-Import hinzugefügt werden
  • Dynamische Benutzer hinzugefügt werden.

Lokales Authentifizierungspasswort gesetzt wird — sowohl automatisch generierte als auch vordefinierte Passwörter.

  • Um die Passwort-Richtlinie zu konfigurieren, Wählen Sie.
  • Passwort-Richtlinie aktivieren Kontrollkästchen
  • Wählen Sie die minimale Passwortlänge zwischen 8 und 99 aus. Der Standardwert ist 8.
    • Wählen Sie, ob das Passwort enthalten muss:
    • Sowohl Groß- als auch Kleinbuchstaben
  • Sonderzeichen/Symbole
  • Wählen Sie, wie viele vorherige Passwörter gespeichert und eine Wiederverwendung verhindert werden soll. Die Anwendung kann bis zu 8 Passwörter speichern.

Wählen Sie die Ablaufzeit für das Passwort aus.Erzwinge Passwortänderung bei erstem Login aktivieren

: Sie können diese Option aktivieren, um Benutzer während des ersten Logins zur Änderung ihres Passworts zu zwingen. Dies ist insbesondere bei vorgegebenen Passwörtern sinnvoll.

Sicherheitsmeter

Die Anwendung muss neu gestartet werden, damit Änderungen an den Einstellungen wirksam werden. 

  • Das Security Meter in ServiceDesk Plus ermöglicht es Ihnen, zu überwachen und zu beurteilen, wie effektiv Sie verschiedene integrierte Anwendungssicherheitsfunktionen konfiguriert haben. Das Security Meter zeigt eine Sicherheitspunktzahl in Prozent an, die auf der Anzahl der aktivierten Sicherheitseinstellungen im Verhältnis zu der Gesamtzahl der verfügbaren Sicherheitseinstellungen basiert. Je nach Punktzahl wird die Anwendungssicherheit in eine der folgenden vier Sicherheitsstufen eingeordnet: Unsicher:

  • Diese Stufe wird angezeigt, wenn die Punktzahl unter 50% liegt. Das bedeutet, dass weniger als 50% der integrierten Sicherheitseinstellungen konfiguriert sind. Schwache Sicherheit:

  • Diese Stufe wird angezeigt, wenn die Sicherheitspunktzahl zwischen 50 und 70% liegt. Das bedeutet, dass zwischen 50 und 70% der verfügbaren Sicherheitseinstellungen konfiguriert sind. Mäßige Sicherheit:

  • Diese Stufe wird angezeigt, wenn die Sicherheitspunktzahl zwischen 70 und 90% liegt. Das bedeutet, dass zwischen 70 und 90% der verfügbaren Sicherheitseinstellungen konfiguriert sind. Höchste Sicherheit:

Diese Stufe wird angezeigt, wenn die Sicherheitspunktzahl über 90% liegt. Das bedeutet, dass mehr als 90% der verfügbaren Sicherheitseinstellungen konfiguriert sind. Auf das Security Meter können SDAdmins oder SDOrgAdmins über

Admin/ESM-Verzeichnis > Allgemeine Einstellungen > Sicherheitseinstellungen zugreifen. Die Liste der verfügbaren Sicherheitseinstellungen kann auch direkt aus dem Security Meter durch Klicken auf

Alle Sicherheitseinstellungen anzeigen




abgerufen werden.



Die Liste zeigt Sicherheitselemente in mehreren Kategorien zusammen mit einem Statussymbol an, das anzeigt, ob die Einstellungen aktiviert/deaktiviert sind.

Je nach Einstellung werden Sie beim Klicken eines Elements auf der Liste entweder zur entsprechenden Konfigurationsseite weitergeleitet oder erhalten ein entsprechendes Konfigurationsfenster. Sie können dort die notwendigen Änderungen vornehmen und speichern.

Sicherheitswarnungen

Admins können ihre offiziellen Kontaktdaten speichern, um sofortige Benachrichtigungen zu Sicherheitsupdates oder -veröffentlichungen zu erhalten. Es werden keine Marketingmitteilungen an die gespeicherte Adresse gesendet. Admin > Allgemeine Einstellungen > Sicherheitseinstellungen > Die Liste zeigt Sicherheitselemente in mehreren Kategorien zusammen mit einem Statussymbol an, das anzeigt, ob die Einstellungen aktiviert/deaktiviert sind..

Mobil

Um Sicherheitswarnungen zu erhalten,

  • können OrgAdmins ihre offiziellen Kontaktdaten unter Sicherheitseinstellungen konfigurieren, die mit der mobilen App zusammenhängen

  • speichern. Kopieren/Einfügen erlauben:

  • Erlauben oder beschränken Sie Kopier-/Einfügeoperationen in der mobilen App. Anhangsoperationen erlauben:

  • Erlauben oder beschränken Sie Anhangsoperationen wie Hinzufügen, Anzeigen, Herunterladen und Löschen in der mobilen App. Bildschirmfotos erlauben:

  • Erlauben oder beschränken Sie Bildschirmfotos in der mobilen App.: Sitzungs-Timeout für die mobile App aktivieren:

    • Konfigurieren Sie Sitzungs-Timeouts, damit Benutzer nach einer bestimmten Inaktivitätsdauer aus der mobilen App abgemeldet werden. Sie können die Inaktivitätsdauer in Minuten festlegen. Azure Pre-Authentication aktivieren, Aktivieren Sie dies, wenn die Anwendung über einen Azure-Anwendungsproxy gehostet wird und die Pre-Authentifizierung als Entra ID konfiguriert ist (Benutzer müssen ihre Identität mit ihren Microsoft-Konten verifizieren)., Geben Sie dieClient-ID Client-Geheimnis.

    Autorisierungs-URL sowie

    • Token-URL an.Hinweis:

    • Folgen Sie den untenstehenden Schritten, um die Anwendungsdetails zu erhalten. Anwendungs-ID im Übersicht Abschnitt.
    • Autorisierungs-URL: OAuth 2.0-Autorisierungsendpunkt (v2) unter Übersicht > Endpunkt.
    • Token-URL: OAuth 2.0-Token-Endpunkt (v2) unter Übersicht > Endpunkt.
    • Client-Geheimnis: Fügen Sie ein Client-Geheimnis hinzu in Zertifikate & Geheimnisse > Aktivieren Sie dies, wenn die Anwendung über einen Azure-Anwendungsproxy gehostet wird und die Pre-Authentifizierung als Entra ID konfiguriert ist (Benutzer müssen ihre Identität mit ihren Microsoft-Konten verifizieren). und kopieren Sie die unter Wert.

    • angezeigte Zeichenfolge Aktualisieren Sie die Redirect-URL unter AuthentifizierungRedirect-URI

    in der registrierten Anwendung in Azure. Für Anweisungen zum Zulassen der Umgehung der Azure-Vor-Authentifizierung für REST-APIs beziehen Sie sich auf.