本文介绍了金蝶KIS云私有云部署与安全防护的建议,旨在帮助企业降低勒索病毒风险。包括KIS私有云服务器的安装部署、客户端安装使用、服务端安全防护、中毒后的数据恢复方法及公有云的优势对比。建议企业加强安全措施、定期备份数据,并考虑使用公有云以享受更专业的运维和数据保障服务。
金蝶KIS云私有云部署与安全防护建议
为了帮助使用KIS云私有云的企业尽量降低勒索病毒的风险,整理了KIS私有云安装部署、安全防护建议、中毒之下的KIS云服务端账套数据恢复等内容。
1 、背景现在越来越多的企业使用云服务,尤其是金蝶KIS云自2018年11月开始为客户服务后,越来越多的客户喜欢上了KIS云。同时也有一些企业基于自身的考虑选择了自己部署私有云,比如数据要自己保管、认为自己租赁一个云服务器来自己部署私有云服务更省钱,但由于自身安全措施不到位,给了病毒尤其是勒索病毒可乘之机,特别是在疫情之下,很多企业多次受到勒索病毒的伤害,不但导致了工作延误,为了找回被病毒篡改的文件不得不支付的赎金,更可怕的是导致了账套数据丢失,这得要花多少时间和资源才有可能补回。
2、 KIS私有云服务器安装金蝶KIS是金蝶集团面向小微企业量身打造的管理软件品牌,为响应国家推动企业上云用云要求,并结合企业管理实际需求,金蝶发布金蝶KIS云系列产品。此次全新发布金蝶KIS云产品包括金蝶KIS云•商贸版 、金蝶KIS云•专业版 、金蝶KIS云•旗舰版等系列产品。在使用KIS云的情况下,使用私有云的部署,参照下述方法,或访问:http://kisdoc.kingdee.com/web/#/20?page_id=244 。
金蝶KIS云支持本地应用模式的私有云安装部署,以金蝶KIS云•专业版产品为例,相关要点如下:2.1、服务器安装操作系统:推荐使用Server的Windows操作系统,不建议使用非Server的操作系统,否则可能导致私有云服务无法启动成功。数据库系统:推荐使用SQL Server 2008R2或以上数据库版本系统。如果未来在该环境下运行的账套数据可能转为KIS云的公有云方案使用,请安装SQL Server 2008R2或SQL Server 2012数据库版本。因为目前KIS云的公有云方案使用的SQL Server 2012数据库版本。硬件配置:推荐使用8G内存、SSD硬盘、4核心CPU及以上标准的硬件配套设备。根据使用软件的用户数、业务复杂度,灵活高速硬件配置。
2.2、服务器端软件安装与配置软件安装根据安装向导,选择安装项目,为方便使用,建议全部选择。在安装时,建议选择默认安装路径。安装完成后,可立即体验。输入客户自己的账号、密码登录,如果是初次使用,通过【我要试用】以工商注册的真实信息进行创建。特别提示:如果是涉及到产品服务开通 ,请以客户的账号登录,以免误注册到伙伴员工自己名下,导致后续复杂的产品转移流程。
2.3私有云服务配置在服务器端的系统管理—【私有云服务】中,默认为自动识别直连模式的IP
相关直连模式和云模式使用的相关说明如下:直连模式适用场景l 有内部固定IP,适用于局域网、VPNl 有公网固定IP,适用于专线、提供固定IP的云主机云模式适用场景l 在互联网上l 没有固定IPl 由金蝶云服务提供服务通道 类似于:在网+花生壳+远程接入 开启云模式效果如下图:如果需要由金蝶云服务提供服务通道,则开启云模式即可,系统会自动分配一组唯一ID。3、KIS云客户端安装使用客户端安装与使用客户端软件安装,根据实际场景,有两种情况,可任何选择。
3.1方法1:按常规模式安装KIS客户端程序可以使用常规的客户端安装程序,在安装时选择【客户端】即可在安装完成后,运行客户端,进行服务器访问
3.2方法2:按KIS云模式安装绿色客户端程序在【私有云服务】中,下载KIS云客户端程序,该程序为绿色程序,约3M左右。下载后,直接双击即可完成客户端初始化。在桌面上会生成KIS云的快捷方式图标:双击,即可运行KIS云客户端。第一次运行,需要输入服务器的直连模式的IP或云模式的ID连接成功后会自动在桌面上生成一些当前产品的快捷方式,如:以后直接双击对应的快捷方式即可使用。温馨提示:使用KIS云客户端模式,无需再安装KIS的客户端程序,无需再设置服务器与客户端的网络连接,推荐使用4、KIS云服务端安全防护在私有云应用模式下,必须自行做好安全防范,比如杀毒软件、防火墙,自行做好账套数据备份计划。4.1、开启电脑防火墙、安装专业的安全防护软件。并确保安全监控正常开启并运行,及时对安全软件进行更新,及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁;4.2、私有云服务器请选择Server操作系统,使用正版操作系统,开启操作系统自动更新补丁功能;4.3、Windows系统管理必须设置包括字母、数字、特殊符号在内的不低于10位的复杂密码。实际上绝大多数中病毒的都是因为嫌设置密码麻烦而不设置或只设置简单密码导致的。4.4、独立安装的SQL数据库,必须设置包括字母、数字、特殊符号在内的不低于10位的复杂密码。病毒是最喜欢弱密码的,参阅如下资料:4.5、建议服务器使用高强度且无规律密码,定期更换登录口令,要求每个服务器使用不同密码管理。4.6、通过防火墙设置,关闭不必要的端口,如本地445、135、137、138、139端口,在服务器上不开放不必要的共享等(即使开放也要设置指定有复杂密码的账户才能访问)。
4.7、关闭远程桌面3389端口,参考 如下
如果一定要用,建议修改远程桌面3389端口(修改端口需重启服务器生效),修改方法参考:修改服务器端的端口设置 ,注册表有2个地方需要修改。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] PortNumber值,默认是3389,修改成所希望的端口,如6222。[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]PortNumber值,默认是3389,同样修改成所希望的端口值6622。 要注意的是:当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。开始运行(win+R),输入regedit回车,见下图,对应位置双击修改为需要的端口即可。位置一:位置二:
特别说明,私有云不需要远程桌面端口对外开放,但是需要服务器本机运行,所以不能关闭远程桌面功能,见下图:
防火墙开启情况下,在防火墙入站和出站规则中需要增加金蝶KIS云私有云服务器需要的端口(8696和6696),允许TCP协议数据通过即可,参考方法:
点右键新建规则,规则类型选-端口:协议类型选-TCP,填写需要允许的端口:
下一步,进行什么操作里面,勾选允许连接:何时应用该规则,建议全选:
然后给该入站规则命名,点完成即可,见下图:
注意:如果是出站规则,在操作步骤-【连接符合指定条件时应该进行什么操作】时,需要更改选项,如下图所示设置方可,其他设置和入站规则相同。
其他关于防火墙的相关内容可访问:https://vip.kingdee.com/article/71958997644695821 4.8、通过系统设置定期的账套数据自动备份,定时检查备份是否成功以及备份的完整性,服务器重要数据做好每日异地备份并同步备份至移动硬盘或其他储存设备上。金蝶KIS系列产品的账套备份功能应用相关内容可访问或百度:https://vip.kingdee.com/article/71958997644695853 。特别提示:通过系统管理上传到企业云盘上的数据是企业的私密数据,只能通过KIS系统管理能访问,由于企业云盘空间有限成本是计算成本的,因此建议将当前备份上传企业云盘后,将最早上的备份删除,只需要保留最近3个左右的备份即可。4.9、建议对重要网络服务进行远程访问策略配置、对管理节点进行限制,只限定允许的IP地址访问管理后台。数据库配置最大错误登录次数,防止黑客暴力破解。4.10、严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。4.11、对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。4.12、如果是购买的云服务商的云主机服务,在服务商提供安全服务的情况下,建议购买安全服务,以确保数据安全。
4.13 温馨提示:病毒都是可防可控,预防胜于治疗!不防不控,最后是欲哭无泪的感觉。4.13.1.不管是自建服务器还是买的云端服务器一定要从思想上重视。4.13.2.指定专人每天下班做备份,除了服务器上备份外一定再往别处拷贝一份以防万一;4.13.3.升级到金蝶云产品,把数据安全交给金蝶负责,给你解除后顾之忧。为了省下当下的一笔钱,可能投入更大的成本进行数据抢救。4.13.4.本地建议在操作系统盘以外的独立分区中建立的账套文件备份和账套文件的文件夹(比如D:\KISdatabak、D:\KISdata等)专项管理备份文件、账套文件等,并定期转移数据。
相关链接:【警惕】勒索病毒又来袭,防范知识早掌握疫情下企业头号威胁:没解的“勒索软件”新冠病毒
5、租赁云服务器安全防护对于租赁的云服务器,一般都有提供镜像的功能,需要管理员单独设置镜像方案。一般企业都没有做这一步,导致中了病毒后一无所有。建议设置,一量发现中了病毒,可以通过镜像进行数据还原。如果购买了多个硬盘,建议为每个硬盘做一个镜像。以腾讯云为例,管理员登录后台,在【快照】--【定期快照策略】建立快照策略。在建立快照策略时,可以设置详细的参数快照建立后,会定期执行。如果发现中了病毒了,可以通过恢复最近一次快照来还原数据。更多腾讯云的帮助文档请参阅:https://cloud.tencent.com/document/product/362/8191 由于云服务商不同,具体的操作会有差异,详情可咨询所选的云服务商或查阅帮助指引。
6、中毒之下的KIS云服务端账套数据恢复如果在中毒之前通过企业云盘进行了账套数据上传,则在中毒之后可以采用以下方法找回数据6.1、申请软件特征码变更由于中毒之后,可能操作系统根本就进不去了,或金蝶软件已经无法运行了,因此已经来不及执行【更换服务器】的操作了。这时,请以企业系统管理员账号登录金蝶云平台(https://cloud.kingdee.com/qy/home),提交修改【软件特征码】流程,如果不提交流程,在没有执行更换服务器的情况下,是不允许在其他操作系统上登录KIS系统管理的。6.2、登录系统管理待上述流程通过后,在另外一个相同产品的环境里(比如在新搭建的系统环境里或金蝶服务伙伴的电脑环境里)用企业管理员账号登录,通过企业云盘下载最后备份的账套到本地,重新恢复账套6.2.1第一步:先随意选择一下账套比如演示账套,通过云盘备份功能找到我的云盘6.2.2第二步:通过我的云盘找到账套将其中的最近账套备份下载到本地恢复后使用。 如果没有云盘备份或者云盘备份的时间太久,本地也没有可用的备份,那么就只有支付赎金等待还原或是重新建账套或是找其他途径恢复数据了。6.2.3第三步:恢复账套尽量不要将账套恢复保存到操作系统的系统盘,建议保存到独立账套数据文件分区(比如D:\KISdata)。
7、建议选择金蝶KIS云的公有云如果不是特别原因(比如系统功能不支持在公有云上使用),建议选择公有云,在公有云上系统有完整的数据灾备方案。比如KIS云每天会自动为在租赁期的企业账套数据进行一次完整备份,每隔2小时会自动进行一次热备份,以确保账套数据安全。7.1金蝶KIS云分有哪些租赁模式?金蝶KIS云包含公有云和混合云两种租赁模式。公有云:客户按需租赁金蝶产品,应用部署在金蝶指定的公有云上,由金蝶提供专业的服务与运维。混合云:客户按需租赁金蝶产品,应用部署在客户指定的基础设施上,金蝶提供产品服务,客户自行运维基础设置。
7.2金蝶KIS云的公有云与混合云有什么区别?
PS:在私有云过程中遇到的其他问题,可参阅:https://kisdoc.kingdee.com/web/#/3?page_id=36及相关贴子。
相关贴子:金蝶KIS云私有云如何管理客户端登录使用
金蝶KIS云网页端第三次迭代更新通知