Drie regels code. Drie fasen werk.
Op icthorse.nl/wpb-test/ staat een gratis Werkplek-Beveiliging-Test. Een server-side gegenereerd batch-script dat in drie regels — set __COMPAT_LAYER=RunAsInvoker — aantoont of uw Windows-werkplek kwetsbaar is voor een klassieke UAC-bypass. Geen exploit, geen 0-day, geen pentest-engagement. Eén klik, één antwoord.
Maar het script is niet het verhaal. Het script is de opening. Wat wij als iCt Horse doen begint pas op de regel daarna: testen, mitigeren, voorkomen. Drie fasen die los bestaan, en die alleen samen een werkplek werkelijk veranderen.
Wat de testen tot nu toe lieten zien
Voordat we de fasen behandelen: een vlugge samenvatting van wat de Werkplek-Beveiliging-Test in de praktijk aantoont. Geanonimiseerd. De tool draait op meerdere endpoints van mensen die zelf "even wilden kijken". De patronen zijn herkenbaar.
⚠ Veelvoorkomende bevindingen
- UAC-bypass via RunAsInvoker werkt — de installer met
requireAdministratormanifest start zonder UAC-prompt op een aanzienlijk deel van de geteste werkplekken. Daarvan zijn er meerdere in productie-omgevingen die officieel "endpoint hardened" heten. - AppLocker / WDAC ontbreekt — bij organisaties met ISO 27001-certificering staat application-control vaak alleen op papier. De recon-tool meldt: geen actieve policy.
- Office macro security op
VBAWarnings=1— "alles toestaan, geen waarschuwing" — bij gebruikers die nooit met macro's werken. Klassieke phishing-attack-surface. - Defender real-time scanning uit — soms bewust door de gebruiker, soms door een vergeten exclusion-rule, soms door legacy AV die conflict gaf en nooit opgeruimd is.
- BitLocker niet actief op laptops die de organisatie verlaten zonder dat IT dat weet (BYOD-grijs gebied).
- Browser kan met opt-in permissies clipboard, microfoon, sensors uitlezen — zonder dat de gebruiker beseft dat een willekeurige bezochte website dat kan vragen.
Stuk voor stuk geen verrassingen voor security-professionals. Wel verrassingen voor de mensen die menen dat "we hebben Defender aanstaan" en "we zitten in M365" automatisch betekent dat de werkplek dichtzit. Dat doet het niet.
De opportune combinatie — waarom 3 componenten meer zeggen dan 1
De Werkplek-Beveiliging-Test bestaat bewust uit drie componenten. Niet uit één script. Niet uit één executable. Drie. Want elk component toetst iets anders, en alleen samen tonen ze het volledige beveiligings-narratief:
| Component | Wat het is | Wat het bewijst |
|---|---|---|
Gegenereerd .bat |
Server-side gemaakt batch-script met __COMPAT_LAYER=RunAsInvoker. iCt Horse-branding, transparante echo-regels, geen logging. |
Mag scripting überhaupt draaien? AppLocker / SRP / attachment-blocking / execution-policy. |
WpbInstaller.exe |
Echte installer-look met requireAdministrator in het manifest. Dit is wat normaal een UAC-prompt zou triggeren. |
Wordt UAC daadwerkelijk omzeild? Dit is de kern-bypass-test. Krijgt een ongetekende installer elevation zonder dat de gebruiker iets ziet? |
WpbDemo.exe |
Read-only recon-tool met asInvoker manifest. ~35 checks: AppLocker-policy, Defender-status, BitLocker, scheduled tasks, AD-enum, public IP, browser-processen. |
Wat kan een niet-elevated proces alsnog zien? Dit is het gevolg-narratief: na de bypass, wat ligt er dan voor het oprapen? |
De synergie maakt het verschil:
- Alleen
.bat→ toont één control: mag scripting draaien? Een goed-beheerde werkplek kan deze test halen zonder iets over UAC of recon te bewijzen. - Alleen
.exe→ toont elevation-controls maar mist de aanvalsketen die normaal voorafgaat (phishing-attachment, script-execution). .bat+installer.exe+demo.exesamen → reproduceert een realistische aanvalsketen:- Phishing-attachment (script) wordt geopend.
- Script start installer.exe met
RunAsInvoker— elevation-bypass-test. - Recon-tool demo.exe toont wat een attacker zonder admin al kan zien (de payload-equivalent).
Dat is geen tool-truc. Dat is een gestructureerde pentest-in-drie-minuten, zonder dat een Red Team uw werkplek hoeft te zien. "Werkt mijn endpoint?" wordt vervangen door "welke schakels werken, welke breken, en wat zou een aanvaller daarmee kunnen?"
⚙ Fase 1 — Testen
Evidence-based, geen aannames Testen
Goede beveiliging begint met weten, niet met vermoeden. Wij toetsen werkplekken, applicaties en infrastructuur op de manier waarop een aanvaller dat zou doen — alleen dan transparant, gedocumenteerd en met een uitlegbaar rapport in plaats van een trofee.
Concrete diensten:
- Werkplek-Audit — uitgebreide versie van de gratis test. UAC-bypass, AppLocker/WDAC, Defender-baseline, BitLocker, Office macro-policy, MotW-handling, scheduled-task hygiene, AD/LDAP-enumeratie als domein-user.
- Pentest light — gerichte penetratietest op één scope (M365-tenant, één applicatie, één werkplek-profiel). Geen 80-pagina-rapport waar niemand iets mee doet; wél een uitvoerbare fix-lijst.
- Browser- en client-side recon-test — wat ziet een willekeurige website over uw endpoint (zie /wpb-test/web-recon/)? Permission-leaks, fingerprint-vectoren, side-channels.
- Beveiligde-communicatie analyse — reverse-engineering van "veilige" platforms (Zivver, ZorgMail, etc.) op werkelijke implementatie. Zie de veilig-mailen analyse.
Verschil met de markt: wij verkopen geen "audit" als marketing-term. Wij leveren reproduceerbare bevindingen met scripts of programma's die u zelf kunt herhalen na onze fix — zodat u kunt verifiëren dat het opgelost is.
🔧 Fase 2 — Mitigeren
Concrete maatregelen, per bevinding Mitigeren
Een bevinding zonder fix is een rapport. Wij leveren de fixes. Concreet, in uw tooling, met validatie achteraf.
Per bevinding uit de test-fase, een concrete mitigatie:
- UAC-bypass via RunAsInvoker → GPO
User Account Control: Behavior of the elevation prompt for standard users= Automatically deny elevation requests. Plus: AppLocker / WDAC rule die ongetekende installers blokkeert. - AppLocker / WDAC ontbreekt → baseline policy in audit-mode uitrollen, één maand monitoren, vervolgens enforce. Wij doen dat met u, niet voor u — uw beheerteam moet het zelf kunnen onderhouden.
- Office macro security → Intune-baseline voor
VBAWarnings, blokkering van macro's uit het internet (Mark-of-the-Web), Trusted Locations strikt. - Defender / EDR-gaps → verificatie van real-time scanning, ASR-rules (Attack Surface Reduction), opruimen van legacy-exclusions, alerting naar uw SOC of MDR.
- BitLocker niet actief → Intune-policy, key-escrow naar Entra ID, recovery-flow gedocumenteerd.
- Browser permission-leaks → Edge/Chrome enterprise policies via Intune, Site Permissions defaults, DLP-policy voor clipboard- en sensor-toegang per applicatie.
Verschil met de markt: wij sluiten een mitigatie pas af als de oorspronkelijke test — hetzelfde script, dezelfde executable — bewijst dat hij niet meer werkt. Validatie is onderdeel van de oplevering.
🏗 Fase 3 — Voorkomen
Architectuur en governance, zodat het kapot-zijn niet terugkomt Voorkomen
Een gefixt incident is geen oplossing als de organisatie volgende maand opnieuw dezelfde categorie kwetsbaarheid produceert. Voorkomen zit op een ander niveau: architectuur, governance, principes en levenscyclus.
Wat wij bouwen:
- Security-architectuurprincipes — expliciete principes (Dragon1/TOGAF-stijl) die elke nieuwe applicatie of werkplek-configuratie toetst vóórdat er een productie-incident ontstaat. Bijvoorbeeld: "Elke installer in onze omgeving is signed door een door ons goedgekeurde CA" — meetbaar, auditable.
- Werkplek-baseline architectuur — één bron van waarheid voor Intune / GPO / AppLocker / Defender / Edge / Office-policies, in code (Infrastructure-as-Code), met automatische compliance-rapportage.
- Governance-mapping naar de frameworks waar u al aan moet voldoen:
NEN 7510Zorginstellingen — A.12.6, A.14.2ISO 27001Annex A.8.7 (Anti-malware), A.8.19 (Software install)NIS2Art. 21 lid 2 (e), (f), (g)BIO 2.0Rijksoverheid — werkplek-baselines
- AI Governance kruising — AI-tooling op werkplekken introduceert nieuwe categorieën: prompt-injection, data-exfiltratie via copy-paste naar publieke LLM's, agent-driven elevation. Zie onze AI Governance Framework voor de architectuurprincipes daarachter.
- Security-by-design review bij elk architectuur-besluit — niet als laatste check, maar als ingang van het ontwerpproces.
Verschil met de markt: wij leveren geen compliance-mappenkast die niemand opent. Wij leveren een werkbare architectuur die uw eigen team kan onderhouden, gekoppeld aan een testbatterij waarmee u zelf periodiek kunt aantonen dat de architectuur werkt. Voor wie de werkplek-baseline al in code wil: de Werkplek-Beveiliging-Test wordt onderdeel van de CI/CD voor uw werkplek-images.
De rode draad
Iedereen kan een tool kopen. Iedereen kan een audit-rapport ontvangen. Werkelijk veiliger worden vraagt om de drie fasen aaneengeschakeld:
- Testen zonder mitigatie = bevindingen zonder oplossing.
- Mitigeren zonder voorkoming = elke nieuwe applicatie of werkplek-rol herhaalt het probleem.
- Voorkomen zonder testen = aannames op papier die de productie niet raken.
iCt Horse werkt als de schakel tussen architectuur en uitvoering. We bouwen pentest-tooling die transparant is (zie de bron op GitHub — deze blijft privé, maar voor klanten volledig review-baar tijdens audits). We leveren mitigatie-werkpakketten die uw eigen team daarna onderhoudt. En we maken de governance-laag die ervoor zorgt dat dezelfde fout niet over een jaar terugkomt onder een andere applicatienaam.
Doe de gratis test → Bekijk de diensten
iCt Horse helpt organisaties met evidence-based security research, mitigatie en architectuur. Wij verkopen geen PowerPoints — we leveren werkende software, concrete mitigaties en een werkplek-baseline die uw team zelf kan onderhouden.
Gerelateerd:
- De eerste post over de Werkplek-Beveiliging-Test — drie regels die uw beveiliging breken (of niet)
- Veilig mailen met Zivver en ZorgMail? — technische analyse
- AI Governance Framework — evidence-based architectuur
- Alle iCt Horse diensten