Worker 組態中的強化安全性量測
當針對 WVS 配置 Worker 時,管理員會在 agent.ini 檔案中配置用來在 Windchill 伺服器或遠端 Worker 電腦上啟動該 Worker 的指令。Windchill 10.2 中的安全性更新可防止對該檔案進行惡意變更,進而可能允許執行其他 OS 指令。
從 Windchill 10.2 開始,採用一個新的強制性 WVS 內容,叫做 worker.exe.whitelist.prefixes,可提供對 Worker 可執行檔的額外保護。Worker 只會在其可執行檔與在內容中所指定前綴之一相符時使用;否則,Worker 會遭到略過。
在執行 OS 指令之前,必須在 wvs.properties 中透過將適當的值新增至 site.xconf 檔案來配置包含指令的前綴。內容設定的詳細資訊可在 wvs.properties.xconf 檔案中的 WORKER EXECUTABLE PREFIX SETTINGS 一節中找到。
• 內容 worker.exe.whitelist.prefixes 可用來提供可用於任何主機上之任何 Worker 的指令前綴清單。
• 另外,表單 worker.exe.whitelist.prefixes.<worker_host> 的內容可用來提供以每個 Worker 主機為基礎的指令前綴清單。
下列範例使用案例說明 worker.exe.whitelist.prefixes 內容的組態。
<Property name="worker.exe.whitelist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
此組態適用於位於 C、D 與 G 磁碟機上的所有 Windows Worker,以及所有 Unix/Linux Worker。會使用分隔號 (直立線符號) 來分隔前綴。