AD Account Guard

In modernen IT-Umgebungen stellen verwaiste und inaktive Benutzerkonten eines der größten Sicherheitsrisiken dar. Studien zeigen, dass über 30% aller erfolgreichen Cyberangriffe auf kompromittierte Zugangsdaten zurückzuführen sind – häufig von Konten, die längst hätten deaktiviert werden sollen.

AD Account Guard

Für wen ist AD Account Guard geeignet?

IT-Administratoren & System Engineers

Sie profitieren von der Automatisierung wiederkehrender Aufgaben und der Entlastung des Helpdesks. Das Tool läuft im Hintergrund und greift nur ein, wenn nötig.

IT-Sicherheitsbeauftragte

Vollständige Protokollierung aller Aktionen ermöglicht Nachweise für Audits. Die automatische Sperrung inaktiver Konten reduziert die Angriffsfläche erheblich.

Compliance-Verantwortliche

Die User-Report-Funktion erfüllt Anforderungen an regelmäßige Access Reviews (ISO 27001, SOC 2). DSGVO-konforme Log-Retention ist integriert.

IT-Leiter & CISOs

Messbare Verbesserung der Sicherheitslage durch proaktives Account-Management. Reduzierte Betriebskosten durch Automatisierung.

Unternehmensgrößen

  • Kleine Unternehmen (50-200 Benutzer): Einfache Einrichtung, sofortiger Nutzen
  • Mittelstand (200-2000 Benutzer): Skalierbare Lösung mit Multi-DC-Unterstützung
  • Große Organisationen (2000+ Benutzer): Enterprise-ready mit umfangreichen Schutzfiltern
Wichtig
⚠️ AD Account Guard setzt eine Active Directory Umgebung voraus. Für Azure AD/Entra ID Only-Umgebungen ist es nicht geeignet.

Produkthandbuch AD Account Guard

FREE DOWNLOAD

Send download link to:

Ich bestätige, die Datenschutzerklärung gelesen zu haben.

Lizenzierung

Gute Software muss nicht teuer sein.

Einmalig 219,00 € (inkl. 19% MwSt.) sonst 299,00 €

  • Standortlizenz ohne Benutzerbegrenzung
  • Keine Folgekosten, keine Abonnements
  • Kostenlose Updates innerhalb der Hauptversion

Die Herausforderung

IT-Administratoren stehen vor mehreren Problemen:

  • Mitarbeiter vergessen regelmäßig, ihre Passwörter rechtzeitig zu ändern
  • Inaktive Konten (z.B. von ehemaligen Mitarbeitern oder Langzeitkranken) bleiben aktiv
  • Manuelle Überwachung ist zeitaufwändig und fehleranfällig
  • Compliance-Anforderungen (ISO 27001, DSGVO, BSI IT-Grundschutz) fordern nachweisbare Prozesse
  • Helpdesk wird mit Passwort-Reset-Anfragen überlastet
  • User-Re-Validation (Validierung der Benutzerrechte)

Die Lösung: ISW – AD Account Guard

AD Account Guard automatisiert die gesamte Benutzerkonto-Überwachung und entlastet damit die IT-Abteilung erheblich:

  • Proaktive Warnungen: Benutzer werden automatisch vor Passwort-Ablauf gewarnt
  • Inaktivitätserkennung: Konten ohne Anmeldung werden erkannt und nach Vorwarnung gesperrt
  • Compliance-Reports: Regelmäßige Account-Validierungs-E-Mails an jeden Benutzer
  • Lückenlose Protokollierung: Alle Aktionen werden für Audits dokumentiert
  • Flexibler Schutz: Service-Accounts und neue Mitarbeiter werden automatisch geschützt
💡 ROI-Beispiel: Bei 500 Benutzern und durchschnittlich 5 Minuten pro manuellem Check spart AD Account Guard über 40 Stunden pro Monat – plus vermiedene Sicherheitsvorfälle.

ISW – AD Account Guard ist ein umfassendes Tool zur automatisierten Verwaltung von Active Directory Benutzerkonten. Es überwacht Passwort-Ablaufzeiten und Benutzer-Inaktivität, sendet Warnungen per E-Mail und kann inaktive Konten automatisch sperren.

Hauptfunktionen

  • Passwort-Ablauf-Warnungen vor Ablauf des Kennworts
  • Inaktivitäts-Überwachung mit konfigurierbaren Zeiträumen
  • Automatische Kontosperrung nach definierter Inaktivität
  • Schutz-Filter für Service-Accounts und neue Konten
  • Multi-DC-Abfrage für genaue LastLogon-Ermittlung
  • E-Mail-Benachrichtigungen mit HTML-Formatierung
  • Task Scheduler Integration für automatische Ausführung
  • Detaillierte Protokollierung aller Aktionen
  • User-Reports für Compliance (Account-Validierung)
  • DSGVO-konforme Log-Retention

User-Reports für Compliance (Account-Validierung)

Bei dieser E-Mail handelt es sich um eine sogenannte User-Re-Validation. Der Benutzer kann seine eigenen Rechte im Active Directory einsehen und kontrollieren und bei Unstimmigkeiten selbständig auf den Vorgesetzten oder einem IT-Kollegen zugehen.

Diese Reports können optional an einen Compliance-Officer (Intervall) in einem verschlüsseltem ZIP, als Anhang versendet werden.

User-Reports für Compliance

Prozessablauf

Bei jeder Ausführung durchläuft AD Account Guard einen definierten Prozess für jeden aktiven Benutzer im konfigurierten SearchBase.

ISW - AD Account Guard

Ablaufdiagramm

Ablaufdiagramm

Passwort-Ablauf Warnung

Diese E-Mail würde optional z.B. an einem Admin oder einem Compliance-Officer gesendet, sobald es zu einer Accountsperrung kam.

Account automatisch gesperrt

Schutz-Filter

Schutz-Filter verhindern, dass bestimmte Accounts fälschlicherweise verarbeitet werden. Der OU/Container-Ausschluss wird als ERSTES geprüft und gilt für ALLE Aktionen.

Neue Accounts (Tage)

Accounts, die erst kürzlich erstellt wurden, werden nicht gesperrt. Dies schützt neue Mitarbeiter, die vielleicht noch keinen Laptop haben oder in der Einarbeitung sind.

Nach PW-Änderung (Tage)

Accounts, deren Passwort kürzlich geändert wurde, werden nicht gesperrt. Wenn der Helpdesk das Passwort eines inaktiven Users zurücksetzt, soll der Account nicht sofort wieder gesperrt werden.

Schutzmodus

Task-Scheduler Integration

AD Account Guard kann als geplante Aufgabe eingerichtet werden, um automatisch und regelmäßig zu laufen.

Task-Scheduler Integration

Täglicher Task

Der tägliche Task führt die Prüfung einmal pro Tag zu einer festgelegten Uhrzeit aus.

  1. Wechseln Sie zum Tab ‘Task’
  2. Geben Sie einen Task-Namen ein (z.B. ‘ADAccountGuard-Daily’)
  3. Setzen Sie die Startzeit (empfohlen: früh morgens, z.B. 07:00)
  4. Klicken Sie ‘Task erstellen’

Stündlicher Task

Der stündliche Task führt die Prüfung wiederholt in einem konfigurierbaren Intervall aus.

Logs & Reports

AD Account Guard protokolliert alle Aktionen in CSV-Dateien für Nachverfolgung und Compliance.

Log-Dateien

  • ADAccountGuard_YYYY-MM-DD.csv: Hauptprotokoll aller Aktionen
  • csv: Spezifisches Log für gesperrte Accounts
  • xml: Tracking für User-Report-Intervalle

Log-Typen

  • PW-Warnung: Passwort-Ablauf-Warnung gesendet
  • Inakt-Warnung: Inaktivitäts-Warnung gesendet
  • Gesperrt: Account wurde deaktiviert
  • Geschützt: Account wurde durch Schutz-Filter geschützt
  • WhatIf: Aktion wurde nur simuliert
  • User-Report: Account-Validierung gesendet
  • Fehler: Ein Fehler ist aufgetreten

DSGVO Log-Retention

Die DSGVO fordert, dass personenbezogene Daten nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind. AD Account Guard unterstützt dies durch automatische Log-Bereinigung.

DSGVO Log-Retention

Rechtlicher Hintergrund

  • 5 Abs. 1 lit. e DSGVO: Speicherbegrenzung
  • Log-Dateien enthalten Benutzernamen, E-Mail-Adressen, Anmeldedaten
  • Regelmäßige Löschung ist daher rechtlich geboten

Sicherheit & Passwortspeicherung

AD Account Guard speichert sensible Daten wie SMTP-Passwörter sicher verschlüsselt. Die Anwendung verwendet AES-256 Verschlüsselung mit PBKDF2-Schlüsselableitung.

AES-256 Verschlüsselung

Die Verschlüsselung nutzt modernste kryptografische Standards:

AES-256-CBC: Industriestandard für symmetrische Verschlüsselung

PBKDF2 mit 100.000 Iterationen: Schutz gegen Brute-Force

SHA-256: Sichere Hash-Funktion für Schlüsselableitung

Maschinenspezifischer Schlüssel: Computername + Systempfad

Zufälliger IV: Jede Verschlüsselung hat neuen Vektor

AD Account Guard – AD-Sicherheit auf den Punkt

Teil der ISW-Tools Suite von IT-Service Walter

© 2026 IT-Service Walter | Alle Rechte vorbehalten