# Configuración de seguridad

La configuración de seguridad permite al administrador configurar opciones relacionadas con la seguridad sin tener que buscar técnicos de soporte para ayudar a resolver brechas de seguridad. Mediante la configuración de seguridad, el administrador puede configurar medidas de protección para la aplicación contra posibles vulnerabilidades y brechas de seguridad.

Puede configurar los ajustes de seguridad navegando a **Admin > General > Configuración de seguridad**.

**Rol requerido**: SDAdmin

*Contenido*

- [Configuración general](#general)
- [Configuraciones avanzadas](#advanced)
- [Política de contraseñas](#password-policy)
- [Medidor de seguridad](#security-meter)
- [Móvil](#mobile)

## Configuración general

### Configurar el umbral y la duración del bloqueo de cuenta

Con esta opción, puede asegurarse de que una cuenta de usuario se bloquee después de un número predefinido de intentos fallidos de inicio de sesión. Puede personalizar el mensaje que se mostrará si el usuario es bloqueado debido a demasiados intentos de inicio de sesión. Esta configuración se aplica a todos los tipos de autenticación.

Para configurar el umbral y la duración del bloqueo de cuenta:

1. Habilite **Configurar el umbral y la duración del bloqueo de cuenta**.
2. Especifique el umbral de bloqueo de cuenta.
3. Especifique el número de intentos de inicio de sesión (N) permitidos y la duración para restablecer una cuenta de usuario bloqueada.
4. Elija si desea bloquear la cuenta de usuario solo en la computadora donde se intentó iniciar sesión o en cualquier computadora.
5. Personalice el mensaje que se mostrará cuando la cuenta de usuario esté bloqueada.
6. Elija notificar a los técnicos ya sea por correo electrónico o como una notificación en el espacio del técnico en el encabezado.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_52_249.png)

Puede desbloquear una cuenta bloqueada haciendo clic en el enlace proporcionado. Como alternativa, también puede navegar a **ESM Directory >> Usuarios** y hacer clic en el botón **Cuentas bloqueadas** en la barra de herramientas. Una ventana emergente mostrará las cuentas bloqueadas con su dominio y dirección IP. Seleccione la cuenta bloqueada y elija **Desbloquear**.

Durante el intento fallido número (N-1), es decir, el intento anterior al último, se aplicará la autenticación por captcha para garantizar que los atacantes de fuerza bruta no estén utilizando robots para bloquear una cuenta de usuario.

### Deshabilitar inicio de sesión simultáneo

Con esta opción, puede restringir sesiones de inicio de sesión simultáneas desde diferentes direcciones IP. Cuando esta opción está habilitada, los intentos de inicio de sesión simultáneo en varios casos se manejarán como se indica a continuación:

- Si el usuario intenta iniciar sesión desde una dirección IP diferente, el inicio de sesión fallará con un mensaje de error.
- Si el usuario intenta iniciar sesión desde una ventana de incógnito (en el caso de Chrome) o un navegador diferente en la misma dirección IP, se cerrará la sesión activa del usuario.

> El inicio de sesión simultáneo estará habilitado de forma predeterminada.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/Screen%20Shot%20-09-30%20at%208_48_55%20AM.png)

### Configuración de puerto y protocolo del servidor

Puede elegir si desea ejecutar la aplicación en modo HTTP o HTTPS.

- **Habilitar modo HTTP**: Especifique el puerto predeterminado del servidor donde debe ejecutarse la aplicación.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_53_5110.png)

- **Habilitar modo HTTPS**: Después de especificar el puerto del servidor, especifique las versiones de TLS y los cifrados para garantizar un cifrado adecuado de los datos, evitando que los hackers los roben.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2295/image.png)

### Configurar la fecha de vencimiento para la función "Mantener mi sesión iniciada"

Puede establecer la duración durante la cual el usuario puede permanecer con la sesión iniciada en la aplicación. En la fecha de vencimiento, el usuario debe volver a autenticarse ingresando nuevamente la información de inicio de sesión. De forma predeterminada, el usuario debe volver a autenticarse cada 45 días.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_56_1512.png)

### Habilitar Olvidé mi contraseña

Habilite/deshabilite la opción **Olvidé mi contraseña** en la página de inicio de sesión para usuarios que inician sesión mediante autenticación local.

Una vez que esta opción esté habilitada, los usuarios podrán usar la opción de olvidé mi contraseña en su página de inicio de sesión para obtener un enlace de restablecimiento de contraseña enviado a su dirección de correo electrónico principal ingresando su nombre de usuario y dominio. Si el correo electrónico no está configurado o si ese correo en particular está configurado en varios perfiles, el correo no será enviado. En esos casos, el administrador puede restablecer la contraseña manualmente.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/5594/Screenshot%20-11-14%20at%205_43_21%20PM.png)

Para personalizar el correo electrónico de notificación de restablecimiento de contraseña, vaya a **Reglas de notificación** y haga clic en **Personalizar plantilla** junto a **Enviar detalles de inicio de sesión de autoservicio**. Modifique el asunto y el mensaje según sea necesario. Utilice las variables $ adecuadas para agregar los enlaces necesarios, como el enlace de restablecimiento de contraseña y la URL del servidor, etc. Haga clic en **Guardar**.

Para modificar la validez del enlace de restablecimiento de contraseña, comuníquese con nuestro soporte.

### Configuración del tiempo de espera de sesión inactiva

Establezca la duración en minutos después de la cual se cerrará la sesión del usuario en una sesión inactiva desde la web y la aplicación móvil. Puede establecer el límite entre 1 y 1440 minutos.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/ST.png)

> El tiempo de espera predeterminado de la sesión de la aplicación móvil es de 30 minutos para las instalaciones nuevas de ServiceDesk Plus versión 11200 en adelante y AssetExplorer versión 6800 o posterior. Para las compilaciones migradas, el tiempo de espera de sesión de la aplicación móvil permanecerá deshabilitado y deberá configurarse según sea necesario.

### Habilitar protección con contraseña para todos los archivos adjuntos

Puede proteger los archivos adjuntos almacenados en su aplicación contra el acceso no autorizado cifrándolos a nivel del servidor. Esto evitará brechas de seguridad en los datos del servidor. La contraseña está disponible solo para el SDAdmin y también puede usarse en caso de falla de cifrado.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_09_56_1514.png)

## Configuraciones avanzadas

### Agregar encabezados de respuesta de seguridad

Configure encabezados de seguridad para proteger la aplicación contra ataques XSS y otros ataques de vulnerabilidad.

- Elija de la lista el encabezado de respuesta de seguridad requerido.
- Ingrese el valor del encabezado de respuesta.

También puede incluir o excluir uno o más encabezados de respuesta.

[Haga clic aquí](https://www.manageengine.com/products/service-desk/servicedesk-plus-security-specifications.html#configurations) para obtener más información sobre las configuraciones de seguridad.

### Habilitar lista desplegable de dominio durante el inicio de sesión

Esta opción mostrará los nombres de dominio en la página de inicio de sesión. Si está deshabilitada, los nombres de dominio permanecerán anónimos para cualquiera que no sean los usuarios.

### Filtrado de dominio durante el inicio de sesión

Esta opción filtrará los dominios mostrados durante el inicio de sesión en función del nombre de usuario ingresado. Si está deshabilitada, se mostrará toda la lista de dominios, lo que reduce la probabilidad de que los hackers conozcan los dominios donde está presente un usuario en particular. Puede habilitar el filtrado de dominio solo si la lista desplegable de dominio está habilitada.

### Detener la carga de XML escaneados mediante una URL sin inicio de sesión

Al habilitar esta opción, puede hacer que la aplicación no responda a cargas de datos innecesarias al recibir datos XML escaneados de un agente mediante una URL sin inicio de sesión.

### Permitir que los técnicos generen sus propias claves API

Permite a los técnicos generar sus claves API para conectar ServiceDesk Plus con aplicaciones de terceros. Si está deshabilitada, solo el administrador puede generar claves API para los técnicos.

### Deshabilitar pegado en los campos de contraseña

Impide que los usuarios peguen datos del portapapeles en todos los campos de contraseña de la aplicación.

### Deshabilitar compresión HTTP

Evita ataques BREACH, ya que este tipo de ataque solo ocurre en datos transferidos mediante compresión HTTP. Sin embargo, esto provocará un ligero aumento en el ancho de banda de la red y una disminución en el rendimiento de la aplicación.

### Habilitar análisis antivirus para la carga de archivos

Puede configurar su software antivirus existente en ServiceDesk Plus para detectar archivos vulnerables durante las cargas de archivos y la recepción de archivos adjuntos por correo electrónico. Solo se puede configurar software antivirus que utilice el protocolo ICAP.

Para configurar un análisis antivirus en la aplicación:

1. Vaya a **Admin > Security Settings > Advanced**.
2. Haga clic en la casilla de verificación junto a **Enable Antivirus scanning for file uploads**.
3. Ingrese el nombre del host donde está instalado el antivirus.
4. Ingrese el nombre del servicio y el puerto de la herramienta antivirus.
5. Haga clic en **Save**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/Screen%20Shot%20-12-16%20at%203_25_02%20PM.png)

Algunas herramientas antivirus compatibles:

1. BITDEFENDER_SECURITY_FOR_STORAGE  
2. ESET_FILE_SECURITY  
3. ESET_GATEWAY_SECURITY  
4. KASPERSKY_SECURITY_FOR_WINDOWS_SERVER  
5. MCAFEE_VIRUSSCAN_ENTERPRICE_FOE_STORAGE  
6. MCAFEE_WEB_GATEWAY  
7. SYMANTEC_PROTECHTION_ENGINE_FOR_CLOUD  
8. CLAM_AV_WITH_SQUID

### Deshabilitar banner de detalles de inicio de sesión

La información del último inicio de sesión no se mostrará a los usuarios cuando inicien sesión en la aplicación.

### Deshabilitar límite de velocidad para todas las acciones y operaciones

Todas las acciones/operaciones pueden realizarse, independientemente del límite de velocidad configurado.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/5955/image.png)

## Monitorear actividades sospechosas

Para proteger la aplicación contra ataques de URL, ServiceDesk Plus ofrece una opción para notificar a los SDAdmins y OrgAdmins cada vez que el número de intentos de acceso a una URL supera el límite de velocidad predefinido dentro de un período de tiempo determinado.

Cada URL tiene un límite de velocidad predefinido configurado internamente. Al alcanzar el límite, la conexión a la URL solicitada se bloqueará durante un período específico y se activará una notificación.

La notificación incluye detalles como la dirección URL, los datos del usuario utilizados para invocar la URL, la descripción, la fecha/hora, la dirección IP y la opción **Configurar límite de velocidad** para modificar el límite.

Para habilitar la notificación:

- Vaya a **Admin > ESM Directory > General Settings > Security Settings**.
- En **Configuraciones avanzadas**, seleccione **Habilitar notificación push para administradores cuando se alcance el límite de velocidad de solicitudes del cliente**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/2025_06_18_09_56_441.png)

> Aumentar el límite de tasa de la URL puede afectar el rendimiento de la aplicación y provocar ataques DoS (Denegación de Servicio).  
> El valor ingresado no debe exceder tres veces el valor predefinido.

## Política de contraseñas

### Habilitar política de contraseñas

Permite configurar y aplicar criterios para crear contraseñas más seguras. Está deshabilitada de forma predeterminada.

Se aplicará cuando:

- Los usuarios cambien sus contraseñas.
- El SDAdmin cambie contraseñas.
- Se agreguen nuevos usuarios (formulario web, CSV, AD o LDAP).
- Se agreguen usuarios dinámicos.
- Se establezca la contraseña de autenticación local.

Para configurar:

- Seleccione **Habilitar política de contraseñas**.
- Seleccione la longitud mínima (8–99).
- Indique si debe incluir:
  - Letras mayúsculas y minúsculas.
  - Caracteres especiales/símbolos.
- Configure el historial de contraseñas (hasta 8).
- Seleccione el período de vencimiento.

### Habilitar el restablecimiento forzado de contraseña en el primer inicio de sesión

Obliga a los usuarios a cambiar su contraseña durante el primer inicio de sesión.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_09_28_10_01_2816.png)

> La aplicación debe reiniciarse para que los cambios surtan efecto.

## Medidor de seguridad

El Medidor de seguridad muestra una puntuación en porcentaje según la cantidad de configuraciones habilitadas frente al total disponible.

Niveles:

- **No seguro**: < 50%.
- **Seguridad débil**: 50–70%.
- **Seguridad moderada**: 70–90%.
- **Altamente seguro**: > 90%.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/422/2022_09_28_07_11_461.png)

También puede acceder a la lista completa de configuraciones desde **Ver todas las configuraciones de seguridad**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/4912/.gif)

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/7678/2022_09_28_07_11_463.png)

## Alertas de seguridad

Los administradores pueden almacenar sus datos de contacto oficiales para recibir notificaciones sobre actualizaciones o versiones de seguridad. No se enviará comunicación de marketing.

Ruta: **Admin > General Settings > Security Settings > Security Alerts**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2526/2023_05_09_12_03_081.png)

## Móvil

Configure opciones relacionadas con la aplicación móvil:

- **Permitir copiar/pegar**.
- **Permitir operaciones con archivos adjuntos**.
- **Permitir capturas de pantalla**.
- **Habilitar tiempo de espera de sesión para la aplicación móvil**.
- **Habilitar autenticación previa de Azure**.

Para autenticación previa de Azure, proporcione:

- **ID de cliente**
- **Secreto de cliente**
- **URL de autorización**
- **URL del token**

En la aplicación registrada en [Azure](http://portal.azure.com/):

- ID de cliente: **ID de la aplicación** en **Descripción general**.
- URL de autorización: **Punto de conexión de autorización de OAuth 2.0 (v2)**.
- URL del token: **Punto de conexión de token de OAuth 2.0 (v2)**.
- Secreto de cliente: en **Certificates & Secrets > Client Secret**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2024_11_12_05_19_081.png)

Actualice la URL de redirección en **Autenticación > URI de redirección**.

Para permitir que las API REST omitan la autenticación previa de Azure, consulte [este documento](https://pitstop.manageengine.com/portal/en/kb/articles/access-servicedesk-apis-over-azure-pre-auth-with-entra-id).

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/image(2).png)