В конечных точках Windows агент SecureConnector должен работать под локальной учетной записью SYSTEM или другой учетной записью администрат…

В конечных точках Windows агент SecureConnector должен работать под локальной учетной записью SYSTEM или другой учетной записью администратора, чтобы обеспечить полную функциональность агента. Типичная конфигурация заключается в том, что агент работает как служба Windows под локальной учетной записью SYSTEM. Агент SecureConnector запускает различные скрипты и исполняемые файлы плагинов в конечной точке, чтобы собирать и сообщать информацию о хосте на устройство управления CounterACT. Агент SecureConnector загружает эти скрипты и исполняемые файлы по мере необходимости с устройства управления CounterACT и запускает их в конечной точке. По умолчанию эти исполняемые файлы загружаются и запускаются из каталога %TEMP% текущего вошедшего в систему пользователя, несмотря на то, что агент SecureConnector работает как SYSTEM. Помимо загруженных скриптов, агент SecureConnector запускает пакетный файл с привилегиями SYSTEM из временного каталога текущего вошедшего в систему пользователя. Если можно вывести соглашение об именовании этого скрипта, что становится возможным благодаря его размещению в каталоге, к которому пользователь имеет доступ для чтения, возможно перезаписать легитимный пакетный файл вредоносным до того, как SecureConnector выполнит его. Этот каталог можно изменить, установив свойство конфигурации config.script_run_folder.value в файле конфигурации local.properties на устройстве управления CounterACT, однако пакетный файл, который запускается, не следует этому свойству.