工作器配置中的增强安全措施
作为一项安全措施,强制 WVS 特性为工作器可执行文件提供了额外保护。只有工作器的可执行文件路径与该特性中指定的其中一个前缀相匹配时,才能启用此工作器;否则此工作器会被禁用。
包含命令的前缀必须在 wvs.properties 中进行配置,方法是在 site.xconf 文件中添加适当值。有关特性设置的详情,请参阅 wvs.properties 文件中的 WORKER EXECUTABLE PREFIX SETTINGS 部分。
• 使用 worker.exe.allowlist.prefixes 特性提供工作器可执行文件路径前缀列表,此列表可用于任何主机上的任何工作器。
◦ 使用 site.xconf:
< Property name= "worker.exe.allowlist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value="C:\PTC\CAD_Workers|nohup /PTC/CAD_Workers"/>
targetFile="codebase/WEB-INF/conf/wvs.properties"
value="C:\PTC\CAD_Workers|nohup /PTC/CAD_Workers"/>
◦ 使用 xconfmanager :
xconfmanager -s "worker.exe.allowlist.prefixes=C:\\PTC\\CAD_Workers|nohup /PTC/CAD_Workers" -t codebase/WEB-INF/conf/wvs.properties -p
• 或者,可以使用表单 worker.exe.allowlist.prefixes.<worker_host> 的特性来基于每个工作器主机提供命令前缀列表。
以下示例用例说明了 worker.exe.allowlist.prefixes 特性的配置。
<Property name="worker.exe.allowlist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
此配置支持位于 C、D 和 G 驱动器上的所有 Windows 工作器以及所有 Unix/Linux 工作器。竖线用于分隔前缀。
 |
• 此特性旨在限制 Windchill 可在远程工作器计算机 (对于 Windows,为 GS Worker Daemon 服务帐户;对于 UNIX,为已配置的 Telnet 登录帐户) 上执行的脚本。
• 尽量避免使用根文件夹路径,例如 Windows 的 C:\ 或 D:\,UNIX 的 /,因为这将无法有效防御恶意黑客攻击。相反,应首先确定 Creo View Adapters 设置文件夹的创建位置 (例如 .C:\PTC\CAD_Workers),然后将此父文件夹指定为通用或工作器主机特定白名单特性中的值。
• 如果 Creo View Adapters 安装文件夹使用多个系统和不同位置,请指定使用竖线 (竖线分隔符) 来分隔多个工作器命令或前缀。例如 "D:\apps\remoteworkers|D:\apps\localworkers|/disk1/wvsworkers"。
|
有关详情,请参阅文章 CS140965。