» Inicio » Configuraciones de administrador (IU antigua) » Configuración general » Integraciones con productos de ME » Cambiar desencadenadores personalizados

Configuración de seguridad

La configuración de seguridad permite al administrador configurar opciones relacionadas con la seguridad sin tener que buscar técnicos de soporte para ayudar a resolver brechas de seguridad. Mediante la configuración de seguridad, el administrador puede configurar medidas de protección para la aplicación contra posibles vulnerabilidades y brechas de seguridad.

Puede configurar los ajustes de seguridad navegando a Admin > General  > Configuración de seguridad.

Rol requerido: SDAdmin

Contenido

Configuración general:

Configurar el umbral y la duración del bloqueo de cuenta: Con esta opción, puede asegurarse de que una cuenta de usuario se bloquee después de un número predefinido de intentos fallidos de inicio de sesión. Puede personalizar el mensaje que se mostrará si el usuario es bloqueado debido a demasiados intentos de inicio de sesión. Esta configuración se aplica a todos los tipos de autenticación.

Para configurar el umbral y la duración del bloqueo de cuenta,

  1. Habilite Configurar el umbral y la duración del bloqueo de cuenta.
  2. Especifique el umbral de bloqueo de cuenta.
  3. Especifique el número de intentos de inicio de sesión (N) permitidos y la duración para restablecer una cuenta de usuario bloqueada.
  4. Elija si desea bloquear la cuenta de usuario solo en la computadora donde se intentó iniciar sesión o en cualquier computadora.
  5. Personalice el mensaje que se mostrará cuando la cuenta de usuario esté bloqueada.
  6. Elija notificar a los técnicos ya sea por correo electrónico o como una notificación en el espacio del técnico en el encabezado.

 

 

Puede desbloquear una cuenta bloqueada haciendo clic en el enlace proporcionado. Como alternativa, también puede navegar a ESM Directory >> Usuarios y hacer clic en el botón Cuentas bloqueadas en la barra de herramientas. Una ventana emergente mostrará las cuentas bloqueadas con su dominio y dirección IP. Seleccione la cuenta bloqueada y elija Desbloquear.

Durante el intento fallido número (N-1), es decir, el intento anterior al último, se aplicará la autenticación por captcha para garantizar que los atacantes de fuerza bruta no estén utilizando robots para bloquear una cuenta de usuario.

 

Deshabilitar inicio de sesión simultáneo: Con esta opción, puede restringir sesiones de inicio de sesión simultáneas desde diferentes direcciones IP. Cuando esta opción está habilitada, los intentos de inicio de sesión simultáneo en varios casos se manejarán como se indica a continuación:

  • Si el usuario intenta iniciar sesión desde una dirección IP diferente, el inicio de sesión fallará con un mensaje de error.
  • Si el usuario intenta iniciar sesión desde una ventana de incógnito (en el caso de Chrome) o un navegador diferente en la misma dirección IP, se cerrará la sesión activa del usuario.
El inicio de sesión simultáneo estará habilitado de forma predeterminada.

 

 

Configuración de puerto y protocolo del servidor: Puede elegir si desea ejecutar la aplicación en modo HTTP o HTTPS.

  • Habilitar modo HTTP: Especifique el puerto predeterminado del servidor donde debe ejecutarse la aplicación.

 

 

  • Habilitar modo HTTPS: Después de especificar el puerto del servidor, especifique las versiones de TLS y los cifrados para garantizar un cifrado adecuado de los datos, evitando que los hackers los roben.

 

 

Configurar la fecha de vencimiento para la función "Mantener mi sesión iniciada": Puede establecer la duración durante la cual el usuario puede permanecer con la sesión iniciada en la aplicación. En la fecha de vencimiento, el usuario debe volver a autenticarse ingresando nuevamente la información de inicio de sesión. De forma predeterminada, el usuario debe volver a autenticarse cada 45 días.

 

 

Habilitar Olvidé mi contraseña: Habilite/deshabilite la opción Olvidé mi contraseña en la página de inicio de sesión para usuarios que inician sesión mediante autenticación local. Una vez que esta opción esté habilitada, los usuarios podrán usar la opción de olvidé mi contraseña en su página de inicio de sesión para obtener un enlace de restablecimiento de contraseña enviado a su dirección de correo electrónico principal ingresando su nombre de usuario y dominio. Si el correo electrónico no está configurado o si ese correo en particular está configurado en varios perfiles, el correo no será enviado. En esos casos, el administrador puede restablecer la contraseña manualmente.



Para personalizar el correo electrónico de notificación de restablecimiento de contraseña, vaya a Reglas de notificación y haga clic en Personalizar plantilla junto a Enviar detalles de inicio de sesión de autoservicio. Modifique el asunto y el mensaje según sea necesario. Utilice las variables $ adecuadas para agregar los enlaces necesarios, como el enlace de restablecimiento de contraseña y la URL del servidor, etc. Haga clic en Guardar. Para modificar la validez del enlace de restablecimiento de contraseña, comuníquese con nuestro soporte.

Configuración del tiempo de espera de sesión inactiva: Establezca la duración en minutos después de la cual se cerrará la sesión del usuario en una sesión inactiva desde la web y la aplicación móvil. Puede establecer el límite entre 1 y 1440 minutos.


 

El tiempo de espera predeterminado de la sesión de la aplicación móvil es de 30 minutos para las instalaciones nuevas de ServiceDesk Plus versión 11200 en adelante y AssetExplorer versión 6800 o posterior. Para las compilaciones migradas, el tiempo de espera de sesión de la aplicación móvil permanecerá deshabilitado y deberá configurarse según sea necesario.


Habilitar protección con contraseña para todos los archivos adjuntos: Puede proteger los archivos adjuntos almacenados en su aplicación contra el acceso no autorizado cifrándolos a nivel del servidor. Esto evitará brechas de seguridad en los datos del servidor. La contraseña está disponible solo para el SDAdmin y también puede usarse en caso de falla de cifrado.

 

 

Configuraciones avanzadas:

Agregar encabezados de respuesta de seguridad: Configure encabezados de seguridad para proteger la aplicación contra ataques XSS y otros ataques de vulnerabilidad.

  • Elija de la lista el encabezado de respuesta de seguridad requerido.
  • Ingrese el valor del encabezado de respuesta.

También puede incluir o excluir uno o más encabezados de respuesta.

Haga clic aquí para obtener más información sobre las configuraciones de seguridad.

Habilitar lista desplegable de dominio durante el inicio de sesión:

Esta opción mostrará los nombres de dominio en la página de inicio de sesión. Si está deshabilitada, los nombres de dominio permanecerán anónimos para cualquiera que no sean los usuarios.

Filtrado de dominio durante el inicio de sesión:

Esta opción filtrará los dominios mostrados durante el inicio de sesión en función del nombre de usuario ingresado. Si está deshabilitada, se mostrará toda la lista de dominios, lo que reduce la probabilidad de que los hackers conozcan los dominios donde está presente un usuario en particular. Tenga en cuenta que puede habilitar el filtrado de dominio solo si la lista desplegable de dominio está habilitada.

Detener la carga de XML escaneados mediante una URL sin inicio de sesión:

Al habilitar esta opción, puede hacer que la aplicación no responda a cargas de datos innecesarias al recibir datos XML escaneados de un agente mediante una URL sin inicio de sesión.

Permitir que los técnicos generen sus propias claves API

Esta opción permite a los técnicos generar sus claves API para conectar ServiceDesk Plus con aplicaciones de terceros. Si está deshabilitada, solo el administrador puede generar claves API para los técnicos.

Deshabilitar pegado en los campos de contraseña:

Esta opción impedirá que los usuarios peguen datos del portapapeles en todos los campos de contraseña de la aplicación.

Deshabilitar compresión HTTP:

Deshabilitar la compresión HTTP evitará ataques BREACH, ya que este tipo de ataque solo ocurre en datos transferidos mediante compresión HTTP. Sin embargo, esto provocará un ligero aumento en el ancho de banda de la red y una disminución en el rendimiento de la aplicación.

Habilitar análisis antivirus para la carga de archivos:

Puede configurar su software antivirus existente en ServiceDesk Plus para detectar archivos vulnerables durante las cargas de archivos y la recepción de archivos adjuntos por correo electrónico. Solo se puede configurar software antivirus que utilice el protocolo ICAP.


Para configurar un análisis antivirus en la aplicación,

  1. Vaya a Admin > Security Settings > Advanced.
  2. Haga clic en la casilla de verificación junto a "Enable Antivirus scanning for file uploads".
  3. Ingrese el nombre del host donde está instalado el antivirus.
  4. Ingrese el nombre del servicio y el puerto de la herramienta antivirus. Esto se puede encontrar en la página de configuración de su herramienta antivirus.
  5. Haga clic en Save.


Una vez configurado, las cargas de archivos y la recepción de archivos adjuntos se analizarán en busca de archivos vulnerables.


Algunas de las herramientas antivirus que se pueden configurar:


      1. BITDEFENDER_SECURITY_FOR_STORAGE
      2. ESET_FILE_SECURITY
      3. ESET_GATEWAY_SECURITY
      4. KASPERSKY_SECURITY_FOR_WINDOWS_SERVER
      5. MCAFEE_VIRUSSCAN_ENTERPRICE_FOE_STORAGE
      6. MCAFEE_WEB_GATEWAY
      7. SYMANTEC_PROTECHTION_ENGINE_FOR_CLOUD
      8. CLAM_AV_WITH_SQUID

Deshabilitar banner de detalles de inicio de sesión: La información del último inicio de sesión no se mostrará a los usuarios cuando inicien sesión en la aplicación.

 

Deshabilitar límite de velocidad para todas las acciones y operaciones: Todas las acciones/operaciones pueden realizarse, independientemente del límite de velocidad configurado.

 

Monitorear actividades sospechosas 

Para proteger la aplicación contra ataques de URL, ServiceDesk Plus ofrece una opción para notificar a los SDAdmins y OrgAdmins cada vez que el número de intentos de acceso a una URL supera el límite de velocidad predefinido dentro de un período de tiempo determinado.

Cada URL tiene un límite de velocidad predefinido configurado internamente. Al alcanzar el límite de velocidad, la conexión a la URL solicitada se bloqueará durante un período de tiempo específico y se activará una notificación.

Las notificaciones se enviarán a los OrgAdmins cuando se acceda a las URL mediante la interfaz de usuario.

Las notificaciones se enviarán a los SDAdmins cuando se acceda a las URL mediante claves de integración.

La notificación incluye detalles como la dirección URL, los datos del usuario utilizados para invocar la URL, la descripción, la fecha/hora, la dirección IP de la máquina correspondiente y la opción Configurar límite de velocidad para modificar el límite de velocidad de la URL.

 

Para habilitar la notificación,

  • Vaya a Admin > ESM Directory > General Settings > Security Settings.

  • En Configuraciones avanzadas, seleccione la casilla Habilitar notificación push para administradores cuando se alcance el límite de velocidad de solicitudes del cliente.

 

El límite de acceso a la URL se puede modificar de dos maneras:

  1. Mediante notificaciones

  2. Usando el enlace de infracciones del límite de tasa de URL

 Aumentar el límite de tasa de la URL puede afectar el rendimiento de la aplicación y provocar ataques DoS (Denegación de Servicio).
Ahora puede modificar los límites de umbral de estas URL, pero no la duración de tiempo establecida.
Hay un límite de umbral predefinido para cada URL. El valor ingresado no debe exceder tres veces el valor predefinido establecido.

Para modificar el límite de tasa desde las notificaciones,

  1. Haga clic en la campana o en la notificación push.

  1. En la ventana mostrada, en Configurar límite de tasa, haga clic en Editar.

  2. Límite de tasa de URL - Ingrese el número de solicitudes para la URL.

  3. Haga clic en Actualizar para guardar los cambios. La información sobre el último usuario que realizó modificaciones, la fecha y la hora se muestra en la misma ventana.

Haga lo siguiente para modificar el límite de tasa desde el enlace Infracciones del límite de tasa de URL junto a la casilla de verificación Habilitar notificación push para administradores cuando se alcance el límite de tasa de solicitudes del cliente :

  1. Haga clic en Infracciones del límite de tasa de URL para ver la lista completa de actividades sospechosas.

  1. Seleccione una URL afectada.

  2. En la ventana mostrada, en Configurar límite de tasa, haga clic en Editar.

  1. Límite de tasa de URL - Ingrese el número de solicitudes para la URL.

  2. Haga clic en Actualizar para guardar los cambios. Se muestra la información sobre el último usuario que realizó modificaciones y la hora.

El límite de tasa para la misma URL se puede configurar tanto mediante la interfaz de usuario como usando claves de integración. El límite de tasa establecido mediante la interfaz por OrgAdmin es independiente del límite de tasa modificado mediante claves de integración por SDAdmin.

Política de contraseñas

Habilitar política de contraseñas: La política de contraseñas permite al administrador configurar y aplicar los criterios para crear contraseñas. Esto garantiza una mejor seguridad de las contraseñas de los usuarios. La política de contraseñas está deshabilitada de forma predeterminada.

La política de contraseñas configurada se aplicará cuando:

  • Los usuarios cambian las contraseñas de sus cuentas.
  • SDAdmin cambia las contraseñas de los usuarios.
  • Se agregan nuevos usuarios mediante formulario web, importación CSV, importación de Active Directory o importación LDAP
  • Se agregan usuarios dinámicos.
  • Se establece la contraseña de autenticación local, tanto contraseñas generadas automáticamente como predefinidas.
     

Para configurar la política de contraseñas,

  • Seleccione la casilla de verificación Habilitar política de contraseñas.
  • Seleccione la longitud mínima de la contraseña entre 8 y 99. El valor predeterminado es 8.
  • Seleccione si la contraseña debe incluir:
    • Tanto letras mayúsculas como minúsculas
    • Caracteres especiales/símbolos
  • Elija la cantidad de contraseñas anteriores que se recordarán para evitar su reutilización. La aplicación puede recordar hasta 8 contraseñas.
  • Seleccione el período de vencimiento de la contraseña.

 

Habilitar el restablecimiento forzado de contraseña en el primer inicio de sesión: Puede habilitar esta opción para obligar a los usuarios a cambiar su contraseña durante el primer inicio de sesión. Esto es beneficioso cuando se emiten contraseñas predefinidas.

 

 

La aplicación debe reiniciarse para que cualquier cambio en la configuración surta efecto. 

Medidor de seguridad

El Medidor de seguridad en ServiceDesk Plus le permite monitorear y evaluar qué tan eficazmente ha configurado varias funciones de seguridad integradas en la aplicación. El Medidor de seguridad muestra una puntuación de seguridad en porcentaje según la cantidad de configuraciones de seguridad que se han habilitado frente al número total de configuraciones de seguridad disponibles. Según la puntuación, la seguridad de su aplicación se clasifica en uno de los siguientes cuatro niveles de seguridad:

  • No seguro: Este nivel se muestra cuando la puntuación es inferior al 50%. Esto significa que ha configurado menos del 50% de las configuraciones de seguridad integradas disponibles.

  • Seguridad débil: Este nivel se muestra cuando la puntuación de seguridad está entre 50 y 70%. Esto significa que ha configurado entre el 50% y el 70% de las configuraciones de seguridad integradas disponibles.

  • Seguridad moderada: Este nivel se muestra cuando la puntuación de seguridad está entre 70 y 90%. Esto significa que ha configurado entre el 70% y el 90% de las configuraciones de seguridad integradas disponibles.

  • Altamente seguro: Este nivel se muestra cuando la puntuación de seguridad es superior al 90%. Esto significa que ha configurado más del 90% de las configuraciones de seguridad integradas disponibles.

Los SDAdmins o SDOrgAdmins pueden acceder al medidor de seguridad desde Admin/ESM Directory > General Settings > Security Settings.

 

 

También se puede acceder directamente a la lista de configuraciones de seguridad disponibles desde el medidor de seguridad haciendo clic en Ver todas las configuraciones de seguridad.

 

 

La lista muestra los elementos de seguridad en múltiples categorías junto con un ícono de estado que indica si la configuración está habilitada o deshabilitada.




Según la configuración, al hacer clic en un elemento de la lista, será llevado a la página de configuración correspondiente o se le mostrará una ventana emergente de configuración adecuada. Allí puede realizar los cambios necesarios y guardarlos.



 

Alertas de seguridad

 

Los administradores pueden almacenar sus datos de contacto oficiales para recibir notificaciones instantáneas sobre cualquier actualización o versión de seguridad. No se enviará ninguna comunicación de marketing a la dirección almacenada.

Para recibir alertas de seguridad,

Los administradores de la organización pueden almacenar sus datos de contacto oficiales en Admin > General Settings > Security Settings > Security Alerts.

 

 

Móvil 

Configure las opciones de seguridad relacionadas con la aplicación móvil.

  • Permitir copiar/pegar: Permita o restrinja las operaciones de copiar/pegar en la aplicación móvil.

  • Permitir operaciones con archivos adjuntos: Permita o restrinja las operaciones con archivos adjuntos, como agregar, ver, descargar y eliminar, en la aplicación móvil.

  • Permitir capturas de pantalla: Permita o restrinja las capturas de pantalla en la aplicación móvil.

  • Habilitar tiempo de espera de sesión para la aplicación móvil: Configure tiempos de espera de sesión para garantizar que los usuarios cierren sesión en la aplicación móvil después de cierto período de inactividad. Puede configurar el período de inactividad en minutos.

  • Habilitar autenticación previa de Azure: Habilite esto si la aplicación está alojada mediante un proxy de aplicación de Azure y la autenticación previa está configurada como Entra ID (los usuarios deben verificar sus identidades mediante sus cuentas de Microsoft.

    • Proporcione el ID de cliente, el secreto de cliente, la URL de autorización, y la URL del token.

Nota: Consulte los pasos a continuación para obtener los detalles de la aplicación.

  • En la aplicación registrada en Azure, puede encontrar lo siguiente:

  • ID de cliente: ID de la aplicación en la sección Descripción general.
  • URL de autorización: Punto de conexión de autorización de OAuth 2.0 (v2) en Descripción general > Punto de conexión.
  • URL del token: Punto de conexión de token de OAuth 2.0 (v2) en Descripción general > Punto de conexión.
  • Secreto de cliente: Agregue un secreto de cliente en Certificates & Secrets > Client Secret y copie la cadena que se muestra en Value.

  • Actualice la URL de redirección en AutenticaciónURI de redirección en la aplicación registrada en Azure.

Para obtener instrucciones sobre cómo permitir que las API de REST omitan la autenticación previa de Azure, consulte este documento.

 

 
 

Con la confianza de las mejores organizaciones del mundo

Brindemos un mejor soporte juntos, más rápido y más fácil
Registrese(Cloud) Descargar(On-Premise)Request a free demo
ITSM Software de help deskIntegraciónMSP