【深度测评】揭开国内主流远控协作软件ToDesk和向日葵安全性问题

叨叨几句

大家好鸭，我是爱分享的牛皮酱。关注我，不迷路！

今天所讲的远程协作软件的安全性，相信也是绝大多数用户选择软件时必须考虑的第一要素。但现实的情况是，在互联网大数据时代，没有绝对的安全，只有相对的安全。如何定义一款远程协作软件的安全性，从保障用户隐私到远程控制的安全，至少要包含用户认证、权限设置、安全日志、隐私保护功能，以及获得国家级权威认证，一般就可以算作是安全系数很高的远程软件了。

再纵观国内外远控的安全性，国外相关软件的研发起点早，技术实力超前，但由于某些代理商等原因，导致使用该软件时频频出错，面临许多限制和阻碍。出于安全方面的考虑，国内政府平台或央国企明文禁止使用国外远程协作软件。所以，本篇文章我将围绕“安全性”对国内的两款主流远程协作软件ToDesk和向日葵进行评测，期望对你有所帮助。

1. 远程软件涉及的安全风险

一般而言，企业内网的“防火墙”坚不可摧，宛如铜墙铁壁，黑客是很难攻克的。然而远程软件可以轻松打破物理限制，穿透企业内网开启协同办公，虽然发生的概率极低，却不可避免的存在着信息、数据泄露的风险。站在用户角度，我归纳了远程过程中易受到安全威胁的三大路径，分别是：

● 客户端

主要表现为缺乏网络层防护和处于不安的软件环境，不具备企业级防火墙防护能力，很容易被病毒、木马攻击；不安的软件环境容易引入不安全对象，被恶意文件获取控制权，窃取身份信息、敏感数据等。

● 数据传输

在未加密或有漏洞的信息通道上共享、传输和存储文件也会导致安全风险增加，例如网盘存储和共享数据，还有不安全的CDN可能会导致敏感信息泄露。

● 第三方服务端

远程工作经常使用到的第三方通信和协作工具，点开来历不明的链接或被诱骗下载恶意软件的可能性增加，大部分是人为错误引发；还有另一种情况是接入业务应用或API，在研发流程中管控不严，导致业务安全漏洞（CSRF 等）。

列出以上问题是为了更好地帮助大家认识到远程安全问题，从中我们可以注意到，多半是网络、管理、人为操作等方面的原因，但是，如何最大限度地规避非人为安全隐患，是远程协作软件必须要提升和强化的技术能力。

2. ToDesk和向日葵安全性分析

安全性测试根据安全指标的不同，测试策略会有变化。安全是相对的，需要具体情况具体分析，所以测试的最终结果并不能完全证明该软件就是安全的，只能验证安全项目设置的有效性，让我们对远程协作软件的安全防范能力有大致了解。

2.1【用户认证】

用户认证涉及到用户密码是否加密、是否可复制、用户退出是否删除其登录时的相关信息、是否可以使用退出键等。

○ ToDesk

ToDesk采用了端到端加密技术，通过设置公私密钥，也就是软件打开后看到的远程设备代码和临时密码/安全密码，密码只有所有者知道。

在加密过程中，只有发送方和指定接收方操作解密动作，才能访问终端数据，任何无关的第三方都无法访问加密数据，甚至服务提供商本身也无法访问。所以，密钥在远程协作中不能随意透露，是保障个人数据安全的前提。

ToDesk设备代码旁边可复制设备的邀请信息，主要是为了方便对方远控，在此基础上想要提升防范性，可以在【安全设置】里选择自定义安全密码或更换临时密码的刷新频率，频率调至每小时或者每次远程后，保证密码有效可控。

ToDesk退出机制相对简单，点击账户头像“退出登录”，退出后将无法发起连接，也就是不能对本设备再发起有效连接，而且会关闭临时连接记录，用户远程足迹不泄露。

○ 向日葵

向日葵“识别码”和“验证码”是远程连接的必备凭证，验证码更新在系统设置的【安全】里可选“永不”、“每日”、“每次被控后”，选择项没有ToDesk多；向日葵的自定义密码，设定条件也相对也没有那么严格。

向日葵安全设定仅有两项，一是安全验证方式，设定设备列表的使用和远控本机是否双重验证，双重验证虽然提高了安全性，但体验感不是特别好，日常使用会比较麻烦；二是默认勾选强制校验证书。

向日葵的退出机制有两种选项，分别是【退出】和【退出登录】，区别就是退出即无法远控本机，但保留用户的登录账户；退出登录则退出账号，需要重新验证登录。

2.2【访问权限】

○ ToDesk

ToDesk为了加强安全验证，提供多重访问权限，一是关于本设备的访问，是否允许被控、校验本机锁屏密码、非同账号需手动同意等，多因认证确保本人，不给侵害者可趁之机。

二是客户端的界面访问锁定，在【高级设置】-【显示设置】-【界面锁定】，可以选择启动、最小化时界面锁定，直接封锁ToDesk客户端界面信息。需要特别注意，锁定前一定一定要保存好你的安全密码。

三是黑白名单设置。ToDesk提供黑白名单自主维护功能，同样在【安全设置】内勾选，并手动添加账号/设备ID。黑名单内的账号/设备将不允许远程本设备，远程时会提示被控拒绝连接请求或访问被拒绝。

另外，保障远程访问安全，提醒功能也很重要。ToDesk连接成功桌面右下角会弹出登录提示，提示本电脑正在被控制，且标签只能折起无法关闭，不存在“偷偷被控”或”不知情远控”。一旦发现异常操作，点击“断开”立刻断连。

○ 向日葵

向日葵可以在【系统设置】-【安全】里修改控制端的访问权限，比如： 在【隐私设置】里，可以设置禁止/允许同步本机剪贴板的文本内容，禁止/允许通过剪贴板/拖拽与本机传输内容，仅允许对方访问指定文件夹等，勾选后对方会看到操作提示，但实测会出现卡顿。

向日葵拉到最底下，IP地址过滤处可以添加黑白名单IP，比ToDesk多出来的是【勿扰时段】，选定时间内不能远程本机。

向日葵同样有设备上下线提醒，哦，还有收费服务到期提醒，这一点真心不用！广告弹出得已经够频繁的了，建议提供关闭广告服务。

3.3【安全日志】

○ ToDesk

ToDesk个人版目前是没有历史日志的。但ToDesk企业版不仅提供了详细的连接日志，每一次连接的发起人、连接对象、起止时间、文件传输等信息都会详细记录，支持快速回查定位、加盖明暗水印、可控文件传输、远控操作云录屏等，录制视频多重加密，管理员统一管理，多种途径严防信息外泄。

ToDesk企业版致力于让每个需要远程办公的企业都可以放心使用，设定了23项措施，具有批量部署、统一配置和分组管理的功能，有针对性地将安全隐患控制在事前、事中、事后，为15个安全场景提供全方位安全防卫。

目前ToDesk企业版支持免费试用7天，安全审计栏目下就可以查看详细的风险/异常警报、连接日志、文件传输日志和管理员的控制台日志，部署权限设置，自定义用户远程操作和管理权限。

○ 向日葵

向日葵免费版支持日志导出，但是每次点开都必定会弹出开通会员的广告；设置下的历史记录功能同时支持TXT保存，信息量不是很大，主要是记录时间点。

3.4【隐私功能】

○ ToDesk

基于防止信息泄露的需求，ToDesk隐私屏功能，能够一键让被控端直接黑屏，避免不必要的“围观”，使得工作注意力更集中，不用担心远程操作暴露。

ToDesk对于用户隐私的措施还有，在远控结束后自动锁定本机，可以安心的结束远程下线；针对隐私屏强制关闭时自动锁定；非本机登录账号控制本设备时，自动锁定ToDesk客户端。

○ 向日葵

向日葵有同款黑屏功能，没更新的版本叫“黑屏”，现在也改叫“隐私屏”。实测多次点击隐私屏竟然不支持？不管是输入识别码远控还是免输入远控都不支持黑屏，加入常用设备也无效，唉...真不知道咋搞。

3.5【认证资质】

○ ToDesk

ToDesk是国家高新技术企业，并成功入选信通院“卓信大数据计划”成员单位，获得统信、中科方德、麒麟软件、三级等保、ISO27001信息安全管理体系、ISO9001质量管理体系等多个资质认证证书，以及各大领域组织的认可和共同信赖。

同时，ToDesk合作企业已超30万家，其中不乏世界名企、互联网巨头、国内高校等，已为金融证券、医疗健康、教育教学、互动娱乐等领域提供安全可靠的远程解决方案。

○ 向日葵

向日葵扎根行业17年，是国家高新、国家级专精特新企业，荣获双软企业、三级等保、统信UOS、麒麟软件、中科方德以及ISO9001、ISO27001多项安全认证资质。根据官网数据显示，服务企业客户已超70万，覆盖零售、信息科技、医疗医药、工业制造等行业。

虽然向日葵的行业资质很全面，但崩溃的频率极高，近期也出现了这个问题。坦白说，我也是从疫情期间开始使用远程办公，因为向日葵时常出现问题，后面经朋友介绍了ToDesk，就一直在用ToDesk。相对来说，做了17年的向日葵应该在产品优化上更用点心才是。

向日葵还出过比较严重的安全事故，曾有同事反馈使用向日葵时，有人莫名其妙的连上自己的电脑，想想都可怕！我特意去搜了下相关报道，据说是黑客利用向日葵已知漏洞来实施入侵。要知道软件漏洞入侵，是软件在设计过程中存在缺陷所致，黑客只要掌握这些漏洞，通过技术手段就能实施侵害，对电脑或服务器进行篡改、窃取、部署病毒或勒索攻击等。

3. 总结

实测的整体感受是，两款都是安全资质非常全面的远程协作软件，安全设置上的功能略有不同，但一个已经运行17年，一个才创立不到3年，远程实力上已经不分伯仲。ToDesk端对端加密技术安全度很高，支持多因认证叠加，运行比较舒畅，设定比较符合用户需求。老大哥向日葵也有很多亮点，可以对同步剪贴板、指定文件夹等进行单独授权，还有免费版的日志和历史记录查看，但是时常崩溃、卡顿，严重的还会遭黑客攻击，被部署勒索病毒，其安全性着实令人担忧。

总之，远控的目的是让大家不受环境限制有序开展各项支持事宜，减轻工作任务和通勤时间，节省人力财力物力，不要让这一点被非法侵害者利用，所以，在技术防备的基础上，提升安全防护意识也很有必要，简单说下三点：，一是要做好密码保护，提高安全密码设置，保护好远程软件上的密码和设备码，不随意分享给陌生人；二是加强自身电脑的防护级别，下载安全防护软件，开启防火墙，定期电脑杀毒，更新安全补丁等等；三是不要轻易转账，不要向他人透露关于钱财的一切信息，警惕各种来历不明的链接，留意防诈骗提醒，开通延迟转账等；四是巧用远程软件防护，例如，远程时开启ToDesk隐私屏；用ToDesk连接家人手机打开摄像头，远程监控周边是否安全等。

最后，看完的小伙伴，别忘了点赞、收藏与关注三连，笔芯！

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～