工作器配置中的增强安全措施
为 WVS 配置工作器时,用于启动 Windchill 服务器或远程工作器上该工作器的命令由管理员在 agent.ini 文件中进行配置。Windchill 10.2 中的安全更新能够防止对此文件产生恶意更改,产生此类更改时可能会执行其他 OS 命令。只有当工作器的可执行程序与 worker.exe.allowlist.prefixes 特性中所指定的前缀之一相匹配时,才能使用此工作器;否则忽略此工作器。
执行操作系统命令前,必须通过向 site.xconf 文件中添加相应的值,在 wvs.properties 中配置包含此命令的前缀。有关这些属性设置的详细信息,请参阅 wvs.properties.xconf 文件中的 WORKER EXECUTABLE PREFIX SETTINGS 部分。
可以使用 worker.exe.allowlist.prefixes 特性来提供一个命令前缀列表,此列表可用于任何主机上的任意工作器。
此外,可以使用表单 worker.exe.allowlist.prefixes.<worker_host> 的特性来基于每个工作器主机提供命令前缀列表。
以下示例用例说明了 worker.exe.allowlist.prefixes 特性的配置。
<Property name="worker.exe.allowlist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
此配置支持位于 C、D 和 G 驱动器上的所有 Windows 工作器以及所有 Unix/Linux 工作器。竖线用于分隔前缀。
这对您有帮助吗?