为了帮助使用KIS云私有云的企业尽量降低勒索病毒的风险,整理了KIS私有云安装部署、安全防护建议、中毒之下的KIS云服务端账套数据恢复等内容。
1、背景
现在越来越多的企业使用云服务,尤其是金蝶KIS云自年11月开始为客户服务后,越来越多的客户喜欢上了KIS云。同时也有一些企业基于自身的考虑选择了自己部署私有云,比如数据要自己保管、认为自己租赁一个云服务器来自己部署私有云服务更省钱,但由于自身安全措施不到位,给了病毒尤其是勒索病毒可乘之机,特别是在疫情之下,很多企业多次受到勒索病毒的伤害,不但导致了工作延误,为了找回被病毒篡改的文件不得不支付的赎金,更可怕的是导致了账套数据丢失,这得要花多少时间和资源才有可能补回。
2、KIS私有云服务器安装
金蝶KIS是金蝶集团面向小微企业量身打造的管理软件品牌,为响应国家推动企业上云用云要求,并结合企业管理实际需求,金蝶发布金蝶KIS云系列产品。此次全新发布金蝶KIS云产品包括金蝶KIS云?商贸版、金蝶KIS云?专业版、金蝶KIS云?旗舰版等系列产品。
在使用KIS云的情况下,使用私有云的部署,参照下述方法:
金蝶KIS云支持本地应用模式的私有云安装部署,以金蝶KIS云?专业版产品为例,相关要点如下:
2.1、服务器安装
操作系统:
推荐使用Server的Windows操作系统,不建议使用非Server的操作系统,否则可能导致私有云服务无法启动成功。
数据库系统:
推荐使用SQLServerR2或以上数据库版本系统。
如果未来在该环境下运行的账套数据可能转为KIS云的公有云方案使用,请安装SQLServerR2或SQLServer数据库版本。因为目前KIS云的公有云方案使用的SQLServer数据库版本。
硬件配置:
推荐使用8G内存、SSD硬盘、4核心CPU及以上标准的硬件配套设备。根据使用软件的用户数、业务复杂度,灵活高速硬件配置。2.2、服务器端软件安装与配置
软件安装
根据安装向导,选择安装项目,为方便使用,建议全部选择。
在安装时,建议选择默认安装路径。
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
安装完成后,可立即体验。
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
输入客户自己的账号、密码登录,如果是初次使用,通过以工商注册的真实信息进行创建。
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
特别提示:如果是涉及到产品服务开通,请以客户的账号登录,以免误注册到伙伴员工自己名下,导致后续复杂的产品转移流程。
2.3私有云服务配置
在服务器端的系统管理—中,默认为自动识别直连模式的IP
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
相关直连模式和云模式使用的相关说明如下:
直连模式适用场景
l有内部固定IP,适用于局域网、VPN
l有公网固定IP,适用于专线、提供固定IP的云主机
云模式适用场景
l在互联网上
l没有固定IP
l由金蝶云服务提供服务通道
?类似于:在网+花生壳+远程接入
?开启云模式效果如下图:
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
如果需要由金蝶云服务提供服务通道,则开启云模式即可,系统会自动分配一组唯一ID。
3、KIS云客户端安装使用
客户端安装与使用
客户端软件安装,根据实际场景,有两种情况,可任何选择。
3.1方法1:按常规模式安装KIS客户端程序
可以使用常规的客户端安装程序,在安装时选择即可
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
在安装完成后,运行客户端,进行服务器访问
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
3.2方法2:按KIS云模式安装绿色客户端程序
在中,下载KIS云客户端程序,该程序为绿色程序,约3M左右。
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
下载后,直接双击即可完成客户端初始化。在桌面上会生成KIS云的快捷方式图标:
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
双击,即可运行KIS云客户端。第一次运行,需要输入服务器的直连模式的IP或云模式的ID
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
连接成功后会自动在桌面上生成一些当前产品的快捷方式,如:
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.png
以后直接双击对应的快捷方式即可使用。
温馨提示:使用KIS云客户端模式,无需再安装KIS的客户端程序,无需再设置服务器与客户端的网络连接,推荐使用
4、KIS云服务端安全防护
在私有云应用模式下,必须自行做好安全防范,比如杀毒软件、防火墙,自行做好账套数据备份计划。
4.1、开启电脑防火墙、安装专业的安全防护软件。并确保安全监控正常开启并运行,及时对安全软件进行更新,及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁;
4.2、私有云服务器请选择Server操作系统,使用正版操作系统,开启操作系统自动更新补丁功能;
4.3、Windows系统管理必须设置包括字母、数字、特殊符号在内的不低于10位的复杂密码。实际上绝大多数中病毒的都是因为嫌设置密码麻烦而不设置或只设置简单密码导致的。
4.4、独立安装的SQL数据库,必须设置包括字母、数字、特殊符号在内的不低于10位的复杂密码。病毒是最喜欢弱密码的,参阅如下资料:
file:///C:/Users/ADMINI~1/AppData/Local/Temp/1/msohtmlclip1/01/clip_image.jpg
4.5、建议服务器使用高强度且无规律密码,定期更换登录口令,要求每个服务器使用不同密码管理。
4.6、通过防火墙设置,关闭不必要的端口,如本地、、、、端口,在服务器上不开放不必要的共享等(即使开放也要设置指定有复杂密码的账户才能访问)。
4.7、关闭远程桌面端口,参考如下
如果一定要用,建议修改远程桌面端口(修改端口需重启服务器生效),修改方法参考:
修改服务器端的端口设置,注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]PortNumber值,默认是,修改成所希望的端口,如。[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]PortNumber值,默认是,同样修改成所希望的端口值。要注意的是:当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用与修改后的端口号都将连不上远程桌面。
开始运行(win+R),输入regedit回车,见下图,对应位置双击修改为需要的端口即可。
位置一:
位置二:
特别说明,私有云不需要远程桌面端口对外开放,但是需要服务器本机运行,所以不能关闭远程桌面功能,见下图:
防火墙开启情况下,在防火墙入站和出站规则中需要增加金蝶KIS云私有云服务器需要的端口(和),允许TCP协议数据通过即可,参考方法:
点右键新建规则,规则类型选-端口:
协议类型选-TCP,填写需要允许的端口:
下一步,进行什么操作里面,勾选允许连接:
何时应用该规则,建议全选:
然后给该入站规则命名,点完成即可,见下图:
注意:如果是出站规则,在操作步骤-时,需要更改选项,如下图所示设置方可,其他设置和入站规则相同。
其他关于防火墙的相关内容可访问:
