向日葵和TODESK在多人共用刚需下的密码泄露风险

背景

90%以上的甲方企业理论上是不允许使用向日葵和TODESK这种远程协助软件的，等保测评也把这种行为列入了不符合项。但是理论和现实往往会有一定的差距，作为常年服务于甲方的老乙方，我通过向日葵和TODESK不知协助过多少次，从这边就能看出需求有多么刚性。

不光我知道，甲方用户也清晰的知道这种操作肯定违反规定。如果我是领导也会反复强调这种行为的风险，但是如果我是甲方一线人员，我很清楚这是唯一低成本的方式把供应商接入进行救急的无奈之举。

作为旁观者大家可以指责别人不专业，但是真的不应该忽视这种刚需的存在。所以，今天不谈别的，就说说必须要使用向日葵和TODESK的时候，如何最大程度降低风险。

多人协助的安全隐患

所谓多人协助，其实是这样一个场景。甲方人员在一台电脑上安装一个向日葵或者TODESK，由于这种事情违规啊，所以这个电脑往往就是唯一的，一堆不同的乙方分时段接入解决问题。那么问题来了，由于时间仓促，排队人数众多，很多系统的管理员账号和密码就用文本的方式放在磁盘上，这些本来涉密的信息无意间在各个乙方之间共享了。毫不夸张地说，这些信息足可以让部分核心系统完全瘫痪。这么多人，万一有坏人，怎么办？

针对如上问题，笔者建议还是用我们的DESK倚天剑来解决，因为他有4大绝招，既能实现多人共用，又能规避密码泄露。

1.多实例部署

2.给SSH、RDP等资源加密

3.给用户账号和密码加密

4.应用锁屏

1.多实例部署

DESK是纯绿色软件，完全可以复制多份，windows下一份占用空间小于300M（Linux下更小），使用时候400M顶天了。1T的空间能够支持上千个厂商。一个厂商一个软件，大家各用各的互不影响。担心厂商1用厂商2的？不用担心，因为这就是后面我要介绍的。先说结论：“不同场景有不同的密码保护，厂商1用不了厂商2的资源。”

2.给SSH、RDP等资源加密

对于厂商来说，最重要的就是SSH等资源密码。DESK可以通过给资源树设定密码来防止别人打开。

坏人访问你的资源的时候，会弹出如下图所示的密码输入框。密码是经过强加密的，相信一般人没有这个解密能力。

3.给用户账号和密码加密

网址等其他非标准资源的账号和信息可以保存“工具”菜单下的“密码管理器”中如下图所示：

别人想使用的时候，也需要先输入密码。

4.应用锁屏

如果你只需要把电脑给别人用20分钟，不想把你正在使用的DESK关闭，就点击如下图的菜单设定临时锁屏密码。

当前应用窗口就被锁屏了，无密码最多关闭DESK整个窗口，但是DESK里面的内容肯定看不到，也访问不了。

写到最后

通过如上的方式，无论是甲方还乙方厂商，大家是不是安心很多。至少属于自己的账号和密码是安全的了，对吧？所以下载一个试试吧，试过之后你会发现哥们说的都是真的，没有任何套路。附上最新版下载地址，防止失联