Doe de test: download een programma dat NIET geïnstalleerd mag worden — en probeer het toch te installeren.

Zo simpel kan een security audit zijn. Geen pentest-engagement, geen rode team, geen scope-document. Eén batch-script. Twee regels. Eén variabele.

De drie regels die uw beveiliging breken — of niet

De Windows Application Compatibility-laag bestaat al sinds XP. Een legitiem mechanisme om oude software op nieuwe Windows-versies te laten draaien. Maar diezelfde laag kent een environment-variabele die UAC-prompts kan onderdrukken voor programma's die normaal om admin-rechten vragen:

set __COMPAT_LAYER=RunAsInvoker
start "" "C:\setup.exe"

Drie regels. Geen exploit, geen 0-day. Microsoft-gedocumenteerde functionaliteit. Op een goed-beheerde werkplek doet dit niets — AppLocker blokkeert het, EDR detect het, GPO weigert elevation, Windows Defender Application Control valideert de signature. Op een slecht-beheerde werkplek start het programma alsof er nooit een UAC-prompt heeft bestaan.

De uitkomst is de boodschap

Als het script werkt op uw werkplek, weet u twee dingen:

Eén: uw endpoint blokkeert ongetekende batch-scripts niet. Iemand met access tot uw machine — en dat zijn meer mensen dan u denkt — kan willekeurige software draaien zonder dat IT iets merkt.

Twee: uw UAC-beleid is niet gefinetuned voor standard users. Het Group Policy artikel "Behavior of the elevation prompt for standard users" staat niet op "Automatically deny elevation requests". En het zou misschien wel moeten.

De test — transparant en eenvoudig

iCt Horse heeft een gratis Werkplek-Beveiliging-Test beschikbaar op de website. Het werkt zo:

  1. Ga naar icthorse.nl/wpb-test/
  2. Geef het pad naar een willekeurig .exe op uw eigen apparaat
  3. Bevestig: "alleen op mijn eigen werkplek of met toestemming"
  4. Download het gegenereerde batch-script
  5. Voer uit op uw werkplek — zie het resultaat

Doe de test →

⚠ Belangrijk: deze test is bedoeld voor uw eigen werkplek of voor apparaten waarvoor u expliciete toestemming heeft van uw werkgever/IT-afdeling. Gebruik op werkapparatuur zonder toestemming kan een schending zijn van het arbeidsreglement of de Wet computercriminaliteit. iCt Horse logt niets, slaat niets op — het script wordt server-side gegenereerd en direct gedownload.

Waarom dit ertoe doet

Ik heb afgelopen jaren in tientallen IT-omgevingen gewerkt. De gap tussen "beleid op papier" en "beleid in werkelijkheid" is bijna altijd groter dan management vermoedt. Cybersecurity-frameworks (NEN 7510, ISO 27001, NIS2) eisen tegenwoordig dat organisaties aantonen dat hun beveiligingsmaatregelen werken. Niet aantonen op papier — aantonen technisch.

Een batch-script van drie regels is daarvoor een geschikte instrument. Het bewijst niets als het wordt geblokkeerd. Maar als het werkt, bewijst het dat een hele klasse van security controls niet effectief is op dat endpoint.

Goed-beheerde organisaties zullen dit ontdekken via een gestructureerde pentest of EDR-rapportage. Voor iedereen anders: icthorse.nl/wpb-test/. Drie minuten werk, één duidelijk antwoord.

iCt Horse helpt organisaties met evidence-based security research. Niet met PowerPoints — met werkende software.

Gerelateerd:

#cybersecurity #informatiebeveiliging #werkplekbeheer #endpointsecurity #UAC #Windows #securityawareness #pentest #icthorse