# Sicherheitseinstellungen

Sicherheitseinstellungen erlauben dem Administrator, sicherheitsbezogene Optionen zu konfigurieren, ohne auf Unterstützung durch Techniker zur Behebung von Sicherheitsverstößen angewiesen zu sein. Durch die Sicherheitseinstellungen kann der Administrator Schutzmaßnahmen für die Anwendung gegen potenzielle Schwachstellen und Sicherheitsverletzungen konfigurieren.

Sie können Sicherheitseinstellungen konfigurieren, indem Sie zu **Admin > Allgemein > Sicherheitseinstellungen** navigieren.

**Erforderliche Rolle**: SDAdmin

*Inhalte*

- [Allgemeine Einstellungen](https://www.manageengine.com/de/service-desk/help/adminguide/configurations/general/security-settings.html#general)
- [Erweiterte Einstellungen](https://www.manageengine.com/de/service-desk/help/adminguide/configurations/general/security-settings.html#advanced)
- [Passwort-Richtlinie](https://www.manageengine.com/de/service-desk/help/adminguide/configurations/general/security-settings.html#password-policy)
- [Sicherheitsmeter](https://www.manageengine.com/de/service-desk/help/adminguide/configurations/general/security-settings.html#security-meter)
- [Mobil](https://www.manageengine.com/de/service-desk/help/adminguide/configurations/general/security-settings.html#mobile)

## Allgemeine Einstellungen:

### Konfigurieren Sie die Schwelle und Dauer der Kontosperrung:

Mit dieser Option stellen Sie sicher, dass ein Benutzerkonto nach einer vorgegebenen Anzahl fehlgeschlagener Anmeldeversuche gesperrt wird. Sie können die anzuzeigende Nachricht anpassen, die erscheint, wenn das Benutzerkonto aufgrund zu vieler fehlgeschlagener Anmeldeversuche gesperrt wird. Diese Konfiguration gilt für alle Authentifizierungsarten.

Um die Schwelle und Dauer der Kontosperrung zu konfigurieren,

1. Aktivieren **Schwelle und Dauer der Kontosperrung konfigurieren**.
2. Geben Sie die Schwelle für die Kontosperrung an.
3. Geben Sie die Anzahl der zulässigen Anmeldeversuche (N) und die Dauer zur Zurücksetzung eines gesperrten Benutzerkontos an.
4. Wählen Sie, ob das Benutzerkonto nur auf dem Computer gesperrt wird, auf dem der Anmeldeversuch erfolgte, oder auf jedem Computer.
5. Passen Sie die anzuzeigende Nachricht an, wenn das Benutzerkonto gesperrt ist.
6. Wählen Sie, ob Techniker per E-Mail oder als Technikerbereich-Benachrichtigung im Header informiert werden.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_52_249.png)

Sie können ein gesperrtes Konto durch einen Klick auf den bereitgestellten Link entsperren. Alternativ können Sie auch navigieren zu **ESM-Verzeichnis >> Benutzer** und auf **Gesperrte Konten** klicken. Ein Pop-up zeigt die gesperrten Konten mit deren Domäne und IP-Adresse an. Wählen Sie das gesperrte Konto aus und klicken Sie **Entsperren**.

Beim (N-1)ten Fehlversuch wird eine Captcha-Authentifizierung erzwungen, um sicherzustellen, dass Bruteforce-Angreifer keine Roboter verwenden, um ein Benutzerkonto zu sperren.

### Gleichzeitige Anmeldung deaktivieren:

Mit dieser Option können Sie gleichzeitige Anmeldungen von verschiedenen IP-Adressen einschränken. Wenn diese Option aktiviert ist:

- Versucht sich der Benutzer von einer anderen IP-Adresse anzumelden, schlägt die Anmeldung mit einer Fehlermeldung fehl.
- Versucht sich der Benutzer über ein Inkognito-Fenster (bei Chrome) oder einem anderen Browser auf derselben IP-Adresse anzumelden, wird er von der laufenden Sitzung abgemeldet.

Die gleichzeitige Anmeldung ist standardmäßig aktiviert.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/Screen%20Shot%25-09-30%20at%208_48_55%20AM.png)

### Server-Port- und Protokollkonfiguration:

Sie können wählen, ob die Anwendung im HTTP- oder HTTPS-Modus ausgeführt wird.

- **HTTP-Modus aktivieren**: Geben Sie den Standard-Serverport an, auf dem die Anwendung laufen soll.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_53_5110.png)

- **HTTPS-Modus aktivieren**: Nach Angabe des Serverports legen Sie die TLS-Versionen und Verschlüsselungsmethoden fest, um eine ordnungsgemäße Datenverschlüsselung zu gewährleisten.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2295/image.png)

### Ablaufdatum für "Angemeldet bleiben"-Funktion konfigurieren

Sie können die Dauer festlegen, wie lange ein Benutzer angemeldet bleiben kann. Am Ablaufdatum muss der Benutzer sich erneut authentifizieren. Standardmäßig muss sich der Benutzer alle 45 Tage neu anmelden.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_56_1512.png)

### Passwort vergessen aktivieren

Aktivieren/Deaktivieren Sie die **Passwort vergessen**-Option auf der Anmeldeseite für Benutzer mit lokaler Authentifizierung. Wenn aktiviert, erhalten Benutzer nach Eingabe von Benutzername und Domäne einen Link zum Zurücksetzen des Passworts an ihre primäre E-Mail-Adresse.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/5594/Screenshot%25-11-14%20at%205_43_21%20PM.png)

Um die E-Mail-Benachrichtigung anzupassen, gehen Sie zu **Benachrichtigungsregeln** und klicken Sie auf **Vorlage anpassen** gegenüber **Senden Sie Self-Service-Anmeldedaten**. Verwenden Sie die entsprechenden $-Variablen für Links wie Passwort-Zurücksetzung und Server-URL.

### Konfiguration der Zeitüberschreitung für inaktive Sitzungen

Legen Sie die Dauer in Minuten fest, nach der der Benutzer bei einer inaktiven Sitzung aus der Web- und mobilen App abgemeldet wird (1–1440 Minuten).

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/ST.png)

Der Standardzeitlimit für die mobile App-Sitzung beträgt 30 Minuten für Neuinstallationen von ServiceDesk Plus Version 11200 und später.

### Passwortschutz für alle Dateianhänge aktivieren

Sie können Dateianhänge durch Verschlüsselung auf Serverebene schützen. Das Passwort ist nur für den SDAdmin verfügbar.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_56_1514.png)

## Erweiterte Einstellungen:

### Sicherheitsantwort-Header hinzufügen:

Konfigurieren Sie Sicherheitsheader, um die Anwendung vor XSS- und anderen Angriffen zu schützen.

- Wählen Sie den erforderlichen Sicherheitsantwort-Header aus.
- Geben Sie den Wert des Antwort-Headers ein.

Sie können auch Antwort-Header ein- oder ausschließen.

[Klicken Sie hier](https://www.manageengine.com/products/service-desk/servicedesk-plus-security-specifications.html#configurations), um mehr zu erfahren.

### Domain-Dropdown während der Anmeldung aktivieren:

Listet Domainnamen auf der Anmeldeseite auf. Ist sie deaktiviert, bleiben die Domainnamen anonym.

### Domain-Filterung während der Anmeldung:

Filtert angezeigte Domains basierend auf dem eingegebenen Benutzernamen. Nur aktivierbar, wenn das Domain-Dropdown aktiviert ist.

### Hochladen von gescannten XMLs über Nicht-Login-URLs stoppen:

Verhindert unnötige Datenuploads über Nicht-Login-URLs.

### Technikern erlauben, eigene API-Schlüssel zu generieren:

Erlaubt Technikern, eigene API-Schlüssel zur Verbindung mit Drittanbieteranwendungen zu generieren.

### Einfügen in Passwortfelder deaktivieren:

Verhindert das Einfügen aus der Zwischenablage in Passwortfelder.

### HTTP-Komprimierung deaktivieren:

Verhindert BREACH-Angriffe. Kann die Netzbandbreite erhöhen und Leistung verringern.

### Virenscan für Datei-Uploads aktivieren:

Konfigurieren Sie Antivirus-Software (ICAP-Protokoll) für Datei-Uploads und E-Mail-Anhänge.

1. Gehen Sie zu **Admin > Sicherheitseinstellungen > Erweiterte**.
2. Aktivieren Sie **Virenscan für Datei-Uploads aktivieren**.
3. Geben Sie Hostname, Dienstname und Port ein.
4. Klicken Sie **Speichern**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/Screen%20Shot%25-12-16%20at%203_25_02%20PM.png)

Einige konfigurierbare Antivirus-Tools:

1. BITDEFENDER_SECURITY_FOR_STORAGE
2. ESET_FILE_SECURITY
3. ESET_GATEWAY_SECURITY
4. KASPERSKY_SECURITY_FOR_WINDOWS_SERVER
5. MCAFEE_VIRUSSCAN_ENTERPRICE_FOE_STORAGE
6. MCAFEE_WEB_GATEWAY
7. SYMANTEC_PROTECHTION_ENGINE_FOR_CLOUD
8. CLAM_AV_WITH_SQUID

### Login-Details-Banner deaktivieren

Die letzten Login-Informationen werden nicht angezeigt.

### Ratenbegrenzung für alle Aktionen und Operationen deaktivieren

Alle Aktionen/Operationen können unabhängig von der konfigurierten Ratenbegrenzung durchgeführt werden.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/5955/image.png)

## Überwachen von verdächtigen Aktivitäten

ServiceDesk Plus benachrichtigt SDAdmins und OrgAdmins, wenn URL-Zugriffsversuche die vordefinierte Ratenbegrenzung überschreiten.

Benachrichtigungen enthalten:

- URL-Adresse
- Benutzerdaten
- Datum/Uhrzeit
- IP-Adresse
- Option **Ratenbegrenzung konfigurieren**

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/2025_06_18_09_56_441.png)

Eine Erhöhung der URL-Ratenbegrenzung kann die Anwendungsleistung beeinträchtigen und zu DoS-Angriffen führen.

## Passwort-Richtlinie

Die Passwort-Richtlinie ermöglicht das Konfigurieren und Erzwingen von Passwortkriterien. Standardmäßig deaktiviert.

Die Richtlinie wird angewendet bei:

- Passwortänderungen durch Benutzer
- Passwortänderungen durch SDAdmin
- Hinzufügen neuer Benutzer (Webformular, CSV, AD, LDAP)
- Dynamischen Benutzern
- Lokalen Authentifizierungspasswörtern

Konfiguration:

- Aktivieren Sie **Passwort-Richtlinie aktivieren**.
- Wählen Sie minimale Passwortlänge (8–99).
- Optional:
  - Groß- und Kleinbuchstaben erzwingen
  - Sonderzeichen/Symbole erzwingen
- Speichern Sie bis zu 8 vorherige Passwörter zur Verhinderung der Wiederverwendung.
- Wählen Sie Passwortablaufzeit.
- Aktivieren Sie **Erzwinge Passwortänderung bei erstem Login**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_10_01_2816.png)

## Sicherheitsmeter

Die Anwendung muss neu gestartet werden, damit Änderungen wirksam werden.

Das Security Meter zeigt eine Sicherheitspunktzahl in Prozent basierend auf aktivierten Einstellungen.

Sicherheitsstufen:

- **Unsicher**: unter 50 %
- **Schwache Sicherheit**: 50–70 %
- **Mäßige Sicherheit**: 70–90 %
- **Höchste Sicherheit**: über 90 %

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/422/2022_09_28_07_11_461.png)

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/7678/2022_09_28_07_11_463.png)

Je nach Einstellung werden Sie zur entsprechenden Konfigurationsseite weitergeleitet.

## Mobil

Um Sicherheitswarnungen zu erhalten:

- OrgAdmins können ihre offiziellen Kontaktdaten konfigurieren.
- **Kopieren/Einfügen erlauben**: Kopier-/Einfügeoperationen in der mobilen App erlauben oder beschränken.
- **Anhangsoperationen erlauben**: Hinzufügen, Anzeigen, Herunterladen, Löschen erlauben oder beschränken.
- **Bildschirmfotos erlauben**: Screenshots erlauben oder beschränken.
- **Sitzungs-Timeout für mobile App aktivieren**: Inaktivitätsdauer festlegen.
- **Azure Pre-Authentication aktivieren**: Wenn über Azure-Anwendungsproxy gehostet.

Geben Sie folgende Details an:

- Client-ID
- Client-Geheimnis
- Autorisierungs-URL
- Token-URL (https://portal.azure.com/)

Für Anweisungen zum Zulassen der Umgehung der Azure-Vor-Authentifizierung für REST-APIs beziehen Sie sich auf  
https://pitstop.manageengine.com/portal/en/kb/articles/access-servicedesk-apis-over-azure-pre-auth-with-entra-id

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2024_11_12_05_19_081.png)

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/image(2).png)