ISW AD Password Rotator v2.7

Allgemein
Version 2.7 · Mai 2026

Geplante Einzelrotationen für Wartungsfenster und Compliance

Der ISW AD Password Rotator v2.7 löst ein altes Problem: das vorgezogene oder verzögerte Rotieren einzelner Service-Accounts – auditierbar, DSGVO-konform und mit eingebautem Schutz vor Doppelrotation.

Das Problem aus dem Admin-Alltag

Wer Service-Accounts und technische Konten zentral verwaltet, kennt die Situation: Der reguläre Rotationszyklus rotiert alle 30, 60 oder 90 Tage gemeinsam zur gleichen Uhrzeit – meist nachts um 02:00. Das funktioniert für 95 % aller Konten hervorragend. Aber dann gibt es diese 5 %, die nicht in dieses Schema passen:

  • Das Backup-Konto, dessen Passwort der externe Dienstleister exakt am Freitag um 14:00 Uhr ändert, weil dann das Wartungsfenster beginnt
  • Das Datenbank-Konto, das während des regulären Tagesjobs gerade einen langen Replikationsjob läuft
  • Der gerade ausgeschiedene Mitarbeiter, dessen Service-Konten sofort rotiert werden müssen – mit dokumentiertem Auftraggeber für die HR-Akte
  • Das Compliance-Konto, das nach einem Sicherheitsvorfall in den nächsten Stunden eine forensisch saubere, dokumentierte Rotation braucht

Bislang waren diese Fälle nur mit manuellem Eingriff zu lösen – inklusive der Mühe, im Audit-Log nachzuweisen, wer die Rotation aus welchem Grund angestoßen hat. Mit v2.7 ist das ein Klick.

📅 Das neue Feature: Geplante Rotationen

In der Ziele-Übersicht erscheint bei jedem Konto neben dem bekannten Rotieren-Button jetzt ein zweiter Button: 📅 Planen. Ein Klick öffnet einen Dialog mit drei Eingaben:

ZeitpunktDatum + Uhrzeit im 5-Minuten-Raster
VerantwortlicherPflichtfeld, vorbelegt mit dem aktuellen Windows-Anwender
BegründungPflichtfeld (≥ 5 Zeichen) – wird im Audit-Log, Bericht und in der Benachrichtigung dokumentiert

Ein neuer Hintergrund-Task – der Override-Check-Task – prüft alle 15 Minuten (einstellbar 5 / 10 / 15 / 30 / 60 Min), ob fällige geplante Rotationen anstehen, und führt sie minutengenau aus. Fällt der Task aus oder ist nicht eingerichtet, holt der reguläre Tagesjob alle bis dahin fälligen Einträge nach – kein Eintrag geht verloren.

Drei typische Einsatzszenarien

🌙

Wartungsfenster

Der Anbieter Ihres ERP-Systems plant das Wartungsfenster Sonntag 03:00 Uhr. Der Service-Account soll exakt eine Stunde vorher rotieren. Plan-Klick, Sonntag 02:00 Uhr eintragen, Begründung „Wartungsfenster ERP-Hersteller KW 23″ – fertig.

🚪

Personalwechsel

Ein Administrator scheidet aus. Alle technischen Accounts, die er kannte, sollen am Tag X um 18:00 rotieren. Begründung „Off-Boarding M. Mustermann” – damit haben Sie für die HR-Akte ein lückenloses Dokument, das Audit-Anforderungen nach ISO 27001 Annex A.9 erfüllt.

🚨

Sicherheitsvorfall

Ein verdächtiges Login auf einem Service-Account. Sie wollen nicht sofort rotieren (die Forensik läuft noch), aber in genau 4 Stunden, sobald der Zeitstempel-Korridor gesichert ist. Plan-Klick, Begründung mit Ticket-Nr. – BSI-IT-Grundschutz-konform dokumentiert.

🛡️ Drei eingebaute Schutzmechanismen

1. Schutz vor Doppelrotation

Sobald für ein Konto eine Rotation geplant ist, wird dieses Konto vom regulären täglichen Lauf ausgenommen – unabhängig davon, ob es nach dem regulären Intervall eigentlich fällig wäre. Plant der Account-Owner 14:00 Uhr, dann passiert vorher nichts. Würde sonst der 02:00-Tagesjob das Passwort regulär rotieren und um 14:00 nochmal: doppelter Schuss, doppelter Stress beim Empfänger.

2. Maximaler Vorlauf (einstellbar)

Damit niemand Overrides „in alle Ewigkeit” plant und das Rotationsintervall damit aushebelt, gibt es im Tab Rotation / Zeitplan ein konfigurierbares Limit: 1 / 3 / 7 / 14 / 30 (Standard) / 60 / 90 / 180 Tage – oder auf eigene Verantwortung „Unbegrenzt”. Wird dieses Limit beim Anlegen überschritten, kommt eine klare Fehlermeldung. Audit-Log dokumentiert jede Limit-Änderung.

3. DSGVO-konforme Aufbewahrung

Erledigte Override-Einträge (Status Ausgeführt, Abgebrochen oder Fehler) werden nach der konfigurierten Aufbewahrungsdauer automatisch gelöscht – dieselbe Frist, die auch für PDF/HTML-Berichte gilt (1–12 Monate, Standard 6 Monate). Diese bewusste Kopplung an die zentrale DSGVO-Einstellung sorgt dafür, dass Sie nur eine Stelle pflegen müssen. Offene Overrides werden niemals automatisch gelöscht.

Hinweis: Der zugehörige Passwort-Verlauf bleibt vollständig erhalten – nur die operative Override-Zeile wird gelöscht. Audit-Spuren (OverrideCreated, OverrideExecuted, OverrideCancelled, OverrideBlockedRegularRotation) bleiben unberührt und unterliegen der separaten Audit-Retention.

🎨 Sichtbar auf einen Blick

Damit Sie nie übersehen, welches Konto eine geplante Rotation hat, zeigt v2.7 zwei Indikatoren in der Ziele-Übersicht:

  • 📅 Kalender-Icon in der Status-Spalte (orange, mit Tooltip „Geplante Rotation: TT.MM.JJJJ HH:MM”)
  • Termin als Untertitel direkt unter dem Anzeigenamen: „📅 Geplant: 13.05.2026 14:00″ – in oranger Akzentschrift, nur sichtbar wenn ein offener Override existiert

Im neuen Menüpunkt 📅 Geplante Rotationen finden Sie die zentrale Übersicht aller geplanten, ausgeführten, abgebrochenen und fehlgeschlagenen Einzelrotationen mit Status-Filter, Volltext-Suche und Storno-Funktion für noch offene Einträge.

⚙️ Migration: vollautomatisch

Beim ersten Start nach dem Update auf v2.7 läuft das Schema-Upgrade idempotent: fehlende Tabellen und Spalten werden bei SQLite wie SQL Server automatisch angelegt, jede Anlage wird im Audit-Log dokumentiert. Bestehende Daten bleiben unberührt. Es ist kein manueller Eingriff nötig – einfach die neue Version installieren und starten.

✓ Alles Neue in v2.7 auf einen Blick

Geplante Einzelrotationen mit Datum, Uhrzeit, Verantwortlichem und Begründung
Eigener Override-Check-Task mit minutengenauer Ausführung (5–60 Min Intervall)
Schutz vor Doppelrotation – Konten mit geplanter Rotation werden vom regulären Lauf übergangen
Konfigurierbarer maximaler Vorlauf (1–180 Tage oder Unbegrenzt)
DSGVO-Bereinigung erledigter Overrides nach Berichts-Aufbewahrungsdauer
Neue Menüseite „📅 Geplante Rotationen” mit Filter, Suche und Storno-Funktion
Status-Indikatoren in der Ziele-Übersicht (Kalender-Icon + Termin-Untertitel)
Vollständige Audit-Log-Spur: OverrideCreated, OverrideExecuted, OverrideCancelled, OverrideBlockedRegularRotation
Automatisches Schema-Upgrade von v2.5 / v2.6 – kein manueller Eingriff
Erweiterte Hilfe-Dokumentation mit neuem Kapitel „Geplante Rotationen”

Fazit

Mit v2.7 schließt der ISW AD Password Rotator eine Lücke, die in der Praxis täglich spürbar war. Wartungsfenster, Personalwechsel und Sicherheitsvorfälle sind keine Sonderfälle mehr, die manuell am Tool vorbei gelöst werden müssen – sie sind integraler Teil eines auditfähigen Prozesses. Drei Felder im Dialog, ein Klick, fertig dokumentiert.

Der eingebaute Schutz vor Doppelrotation, das einstellbare Vorlauf-Limit und die DSGVO-konforme Bereinigung sind dabei keine Add-ons, sondern Default-Verhalten. Wer ISO 27001, BSI IT-Grundschutz oder DSGVO im Lastenheft hat, bekommt einen weiteren Baustein out of the box.

Mehr erfahren auf isw-adtools.de →

Einmaliger Lizenzkauf · Made in Germany

© IT-Service Walter · ISW AD Password Rotator v2.7 · isw-adtools.de