工作器配置中的增强安全措施
为 WVS 配置工作器时,用于启动 Windchill 服务器或远程工作器上该工作器的命令由管理员在 agent.ini 文件中进行配置。Windchill 10.2 中的安全更新能够防止对此文件产生恶意更改,产生此类更改时可能会执行其他 OS 命令。
从 Windchill 10.2 开始,将引入一个称为 worker.exe.whitelist.prefixes 的新的、必需的 WVS 属性,以为工作器的可执行程序提供更多保护。只有与其可执行程序与属性中指定的前缀之一相匹配时,才能使用此工作器;否则此工作器将被忽略。
执行操作系统命令前,必须通过向 site.xconf 文件中添加相应的值,在 wvs.properties 中配置包含此命令的前缀。有关这些属性设置的详细信息,请参阅 wvs.properties.xconf 文件中的 WORKER EXECUTABLE PREFIX SETTINGS 部分。
• 可以使用 worker.exe.whitelist.prefixes 属性来提供一个命令前缀列表,此列表可用于任何主机上的任意工作器。
• 此外,可以使用表单 worker.exe.whitelist.prefixes.<worker_host> 的属性来基于每个工作器主机提供命令前缀列表。
以下示例使用案例说明了 worker.exe.whitelist.prefixes 属性的配置。
<Property name="worker.exe.whitelist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
此配置支持位于 C、D 和 G 驱动器上的所有 Windows 工作器以及所有 Unix/Linux 工作器。竖线用于分隔前缀。