金蝶KIS云私有云部署与安全防护建议

金蝶KIS云私有云部署与安全防护建议
为了帮助使用KIS云私有云的企业尽量降低勒索病毒的风险，整理了KIS私有云安装部署、安全防护建议、中毒之下的KIS云服务端账套数据恢复等内容。
1 、背景：现在越来越多的企业使用云服务，尤其是金蝶KIS云自2018年11月开始为客户服务后，越来越多的客户喜欢上了KIS云。同时也有一些企业基于自身的考虑选择了自己部署私有云，比如数据要自己保管、认为自己租赁一个云服务器来自己部署私有云服务更省钱。但由于自身安全措施不到位，给了病毒尤其是勒索病毒可乘之机，特别是在疫情之下，很多企业多次受到勒索病毒的伤害，不但导致了工作延误，为了找回被病毒篡改的文件不得不支付的赎金，更可怕的是导致了账套数据丢失，这得要花多少时间和资源才有可能补回。

2、 KIS私有云服务器安装

金蝶KIS是金蝶集团面向小微企业量身打造的管理软件品牌，为响应国家推动企业上云用云要求，并结合企业管理实际需求，金蝶发布金蝶KIS云系列产品。此次全新发布金蝶KIS云产品包括金蝶KIS云•商贸版 、金蝶KIS云•专业版 、金蝶KIS云•旗舰版等系列产品。在使用KIS云的情况下，使用私有云的部署，参照下述方法，或访问：http://kisdoc.kingdee.com/web/#/20?page_id=244 。
金蝶KIS云支持本地应用模式的私有云安装部署，以金蝶KIS云•专业版产品为例，相关要点如下：

2.1、服务器安装操作系统：推荐使用Server的Windows操作系统，不建议使用非Server的操作系统，否则可能导致私有云服务无法启动成功。

数据库系统：推荐使用SQL Server 2008R2或以上数据库版本系统。如果未来在该环境下运行的账套数据可能转为KIS云的公有云方案使用，请安装SQL Server 2008R2或SQL Server 2012数据库版本。因为目前KIS云的公有云方案使用的SQL Server 2012数据库版本。

硬件配置：推荐使用8G内存、SSD硬盘、4核心CPU及以上标准的硬件配套设备。根据使用软件的用户数、业务复杂度，灵活高速硬件配置。
2.2、服务器端软件安装与配置软件安装根据安装向导，选择安装项目，为方便使用，建议全部选择。在安装时，建议选择默认安装路径。

在服务器端的系统管理—【私有云服务】中，默认为自动识别直连模式的IP

3、KIS云客户端安装使用客户端安装与使用

客户端软件安装，根据实际场景，有两种情况，可任何选择。

3.1方法1：按常规模式安装KIS客户端程序

可以使用常规的客户端安装程序，在安装时选择【客户端】即可

在安装完成后，运行客户端，进行服务器访问

在【私有云服务】中，下载KIS云客户端程序，该程序为绿色程序，约3M左右。

4、KIS云服务端安全防护

在私有云应用模式下，必须自行做好安全防范，比如杀毒软件、防火墙，自行做好账套数据备份计划。

4.1、开启电脑防火墙、安装专业的安全防护软件。并确保安全监控正常开启并运行，及时对安全软件进行更新，及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁；4.

2、私有云服务器请选择Server操作系统，使用正版操作系统，开启操作系统自动更新补丁功能；4.

3、Windows系统管理必须设置包括字母、数字、特殊符号在内的不低于10位的复杂密码。实际上绝大多数中病毒的都是因为嫌设置密码麻烦而不设置或只设置简单密码导致的。4.

4、独立安装的SQL数据库，必须设置包括字母、数字、特殊符号在内的不低于10位的复杂密码。病毒是最喜欢弱密码的，参阅如下资料：

5、建议服务器使用高强度且无规律密码，定期更换登录口令，要求每个服务器使用不同密码管理。4.

6、通过防火墙设置，关闭不必要的端口，如本地445、135、137、138、139端口，在服务器上不开放不必要的共享等（即使开放也要设置指定有复杂密码的账户才能访问）。
7、关闭远程桌面3389端口，参考 如下

如果一定要用，建议修改远程桌面3389端口（修改端口需重启服务器生效），修改方法参考：修改服务器端的端口设置 ,注册表有2个地方需要修改。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] PortNumber值,默认是3389,修改成所希望的端口,如6222。[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]PortNumber值,默认是3389,同样修改成所希望的端口值6622。 要注意的是:当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。开始运行（win+R），输入regedit回车，见下图，对应位置双击修改为需要的端口即可。

8、通过系统设置定期的账套数据自动备份，定时检查备份是否成功以及备份的完整性，服务器重要数据做好每日异地备份并同步备份至移动硬盘或其他储存设备上。金蝶KIS系列产品的账套备份功能应用相关内容可访问或百度：https://wenku.my7c.com/article/43092415012733070 。特别提示：通过系统管理上传到企业云盘上的数据是企业的私密数据，只能通过KIS系统管理能访问，由于企业云盘空间有限成本是计算成本的，因此建议将当前备份上传企业云盘后，将最早上的备份删除，只需要保留最近3个左右的备份即可。4.

9、建议对重要网络服务进行远程访问策略配置、对管理节点进行限制，只限定允许的IP地址访问管理后台。数据库配置最大错误登录次数，防止黑客暴力破解。4.

10、严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。4.

11、对已感染主机或服务器采取断网措施，防止病毒扩散蔓延。4.

12、如果是购买的云服务商的云主机服务，在服务商提供安全服务的情况下，建议购买安全服务，以确保数据安全。
4.13 温馨提示：病毒都是可防可控，预防胜于治疗！不防不控，最后是欲哭无泪的感觉。4.13.1.不管是自建服务器还是买的云端服务器一定要从思想上重视。4.13.

2.指定专人每天下班做备份，除了服务器上备份外一定再往别处拷贝一份以防万一；4.13.

3.升级到金蝶云产品，把数据安全交给金蝶负责，给你解除后顾之忧。为了省下当下的一笔钱，可能投入更大的成本进行数据抢救。4.13.

4.本地建议在操作系统盘以外的独立分区中建立的账套文件备份和账套文件的文件夹（比如D:\KISdatabak、D:\KISdata等）专项管理备份文件、账套文件等，并定期转移数据。
相关链接：【警惕】勒索病毒又来袭，防范知识早掌握疫情下企业头号威胁：没解的“勒索软件”新冠病毒
5、租赁云服务器安全防护对于租赁的云服务器，一般都有提供镜像的功能，需要管理员单独设置镜像方案。一般企业都