Jika anda menggunakan Desktop Jauh Chrome untuk menyambung ke komputer rumah anda, PC pejabat anda atau untuk memberikan sokongan kepada orang lain, adalah perkara biasa untuk tertanya-tanya sejauh mana keselamatannya. Gabungan akses jauh, akaun Google dan sambungan internet Ini membuatkan ramai pengguna bimbang sama ada seseorang mungkin menceroboh peranti mereka atau mengintip perkara yang mereka lakukan.
Sepanjang artikel ini, kami akan melihat dengan teliti cara Google melindungi sambungan, risiko sebenar yang wujud, cara anda boleh mengukuhkan keselamatan langkah demi langkah (mod tetingkap, tembok api, VPN, 2FA, dll.), dan dalam situasi apa. Mungkin lebih baik untuk memilih alternatif yang lebih komprehensif seperti Splashtop, AnyViewer atau penyelesaian berasaskan RDP dengan lapisan tambahan seperti TSplus atau RDS-Tools. Semuanya dijelaskan dalam bahasa Sepanyol (Sepanyol) dengan contoh praktikal supaya anda boleh membuat keputusan termaklum.
Apakah sebenarnya Desktop Jauh Chrome dan untuk apa ia digunakan?
Desktop Jauh Chrome (CRD) ialah penyelesaian akses jauh percuma GoogleIa bermula sebagai sambungan penyemak imbas Chrome dan kini berfungsi sebagai aplikasi web dan aplikasi mudah alih (Android dan iOS). Ia membolehkan anda mengawal komputer lain melalui Internet: anda boleh melihat desktop jauh, menggunakan tetikus dan papan kekunci, membuka aplikasi, mengakses fail atau membantu orang lain yang menghadapi masalah teknikal.
Dengan CRD anda boleh menyambungkan PC Windows ke PC Windows lain, ke sistem Mac atau Linux, dan juga Gunakan telefon Android atau iPhone untuk mengawal komputer andaApa yang anda perlukan ialah Chrome atau pelanggan yang serasi, untuk log masuk dengan akaun Google anda dan untuk memasang komponen hos pada komputer yang ingin anda akses.
Terdapat dua kes penggunaan yang sangat biasa: akses jauh kekal (contohnya, meninggalkan PC pejabat anda sedia untuk disambungkan dari rumah) dan sokongan atas permintaan, di mana Orang yang memerlukan bantuan menjana kod sementara Dan anda menyambung untuk menyelesaikan masalah untuknya.
Satu batasan utama ialah, dengan reka bentuk, Desktop Jauh Chrome bergantung sepenuhnya pada ekosistem GoogleAnda memerlukan akaun Google dan, dalam kebanyakan kes, penyemak imbas Chrome untuk menyediakannya atau menggunakannya dengan selesa. Ini adalah kelemahan dalam persekitaran korporat di mana pelayar lain atau dasar yang lebih ketat digunakan.
Infrastruktur dan Teknologi Keselamatan Desktop Jauh Chrome
Asas keselamatan Desktop Jauh Chrome terletak pada penyulitan dan pengesahan.Google memanfaatkan infrastruktur selamat yang sama yang digunakannya untuk perkhidmatan lain (Gmail, Drive, dll.), tetapi digunakan untuk akses jauh.
Semasa sambungan, CRD menggunakan TLS (Keselamatan Lapisan Pengangkutan) Untuk melindungi saluran komunikasi antara peranti klien dan komputer hos, TLS menyulitkan data dalam transit dan menghalang penyerang daripada membaca perkara yang dihantar, walaupun mereka memintas trafik rangkaian.
Selain saluran TLS, Desktop Jauh Chrome menggunakan Penyulitan simetri lanjutan, seperti AES 256-bitIni adalah teknologi standard dalam perbankan dalam talian dan komunikasi peringkat tinggi. Ini bermakna setiap pergerakan tetikus, ketukan kekunci dan kandungan skrin bergerak dari hujung ke hujung yang disulitkan.
Pengesahan bergantung pada anda Akaun Google sebagai identiti utamaUntuk akses kekal, PIN sekurang-kurangnya enam digit dikonfigurasikan pada komputer hos, yang berfungsi sebagai penghalang kedua untuk memulakan sesi. Dalam sesi sokongan tanpa pengawasan, kod satu kali yang dijana oleh perkhidmatan itu sendiri digunakan, yang hanya sah buat sementara waktu.
Akhirnya, Google menawarkan pilihan untuk mengaktifkan pengesahan dua langkah (2FA) pada akaun Google andaMenambah lapisan keselamatan tambahan dengan kod SMS, apl pengesah atau kunci fizikal adalah tidak wajib, tetapi ia merupakan salah satu pertahanan terbaik terhadap kecurian bukti kelayakan.
Adakah Desktop Jauh Chrome boleh dipercayai untuk jarak jauh dan untuk beberapa hari pada satu masa?
Ramai pengguna tertanya-tanya sama ada mereka boleh membiarkan PC mereka dihidupkan dan boleh diakses selama seminggu semasa dalam perjalanan dan terus bekerja tanpa masalah. Dari segi kestabilan, Desktop Jauh Chrome biasanya berfungsi dengan baik. Untuk sesi yang panjang, dengan syarat PC hos dikonfigurasikan dengan betul dan tidak masuk ke mod tidur, mulakan semula atau mengalami gangguan rangkaian.
Secara teknikal anda boleh biarkan perkhidmatan Desktop Jauh Chrome berjalan secara berterusan pada komputer Windows, Mac atau Linux anda. Anda tidak perlu menutup apl setiap kali anda selesai menggunakannya; yang penting ialah melindungi akses dengan PIN yang kukuh, akaun selamat dan sistem pengendalian yang terkini.
Sekarang, dari sudut keselamatan, adalah penting untuk anda memahaminya Pasukan yang tersedia 24/7 meningkatkan permukaan seranganWalaupun saluran itu disulitkan, jika seseorang memperoleh kata laluan akaun Google anda atau mempunyai akses fizikal kepada hos, mereka masih boleh cuba mendapatkan kemasukan. Itulah sebabnya adalah sangat penting untuk menggabungkan perlindungan Google dengan amalan tempatan yang baik (antivirus, tembok api, kemas kini, kunci skrin, dll.).
Untuk meminimumkan risiko, ramai pentadbir memilih untuk mengehadkan penggunaan Desktop Jauh Chrome rangkaian dipercayai atau VPN korporat...atau pun lumpuhkan ciri apabila ia tidak diperlukan. Kita akan lihat kemudian cara melakukan ini secara berpusat dalam persekitaran perusahaan.
Penyulitan akaun, pengesahan dan teknologi keselamatan
Dalam setiap sesi jauh, beberapa mekanisme diaktifkan secara selari. Di satu pihak, TLS/SSL bertanggungjawab untuk melindungi saluran dan menghalang pemintasan lalu lintas atau serangan manipulasi. Tambahan pula, kandungan sesi itu sendiri disulitkan menggunakan algoritma yang mantap seperti AES 256-bit.
Pada peringkat pengesahan, Desktop Jauh Chrome bergabung identiti akaun Google dan faktor tambahan (PIN, kod sementara, dsb.). Jika anda mengaktifkan pengesahan dua langkah, penyerang tidak lagi memerlukan kata laluan anda sahaja: mereka juga memerlukan telefon mudah alih anda atau kunci keselamatan anda.
Keselamatan CRD adalah sekuat akaun Google anda, jadi Gunakan kata laluan yang panjang dan unik dan pengurus kata laluan Ini bukan sekadar cadangan; ia boleh dikatakan wajib. Menyemak aktiviti akaun terbaharu anda dengan kerap dan memutuskan sambungan peranti yang mencurigakan juga membantu mengesan insiden lebih awal.
Dalam persekitaran korporat, dasar tambahan boleh digunakan daripada konsol pentadbir Google Workspace, seperti memerlukan penggunaan 2FA pada semua akaun, hadkan log masuk dari negara tertentu atau pantau akses anomali.
Risiko dan kelemahan yang dikaitkan dengan Desktop Jauh Chrome
Walaupun Desktop Jauh Chrome menggabungkan perlindungan lanjutan, ia bukan tanpa risiko. Ia berkongsi kelemahan biasa dengan mana-mana alat desktop jauh dan menambah yang lain yang diperoleh daripada penyepaduannya dengan akaun Google dan penyemak imbas.
Risiko pertama ialah akses tanpa kebenaran kerana kecurian kelayakanJika seseorang memperoleh kata laluan akaun Google anda, mereka boleh mendapat akses kepada semua peranti yang didaftarkan dalam CRD, dengan syarat mereka juga boleh memintas PIN anda atau sebarang faktor keselamatan lain. Oleh itu, walaupun disyaki berlaku pelanggaran data, anda harus menukar kata laluan anda, membatalkan sesi dan menyemak peranti yang disambungkan.
Satu lagi bahaya yang semakin biasa ialah... penipuan sokongan teknologiRamai penjenayah menelefon atau menghantar e-mel berpura-pura menjadi daripada Microsoft, Google atau pembekal lain dan meyakinkan mangsa untuk memasang perisian desktop jauh (termasuk Desktop Jauh Chrome) dan memberi mereka kod akses. Mulai saat itu, mereka mempunyai kawalan penuh ke atas komputer.
Pada peringkat perisian, Desktop Jauh Chrome mewarisi kelemahan yang mungkin menjejaskan penyemak imbas Chrome itu sendiriLaporan daripada agensi keselamatan siber telah menunjukkan kelemahan kritikal dalam versi desktop Chrome yang, secara teorinya, penyerang boleh cuba mengeksploitasi untuk meningkatkan keistimewaan atau melaksanakan kod, walaupun ini tidak bermakna CRD tidak selamat secara lalai, sebaliknya ia bergantung kepada anda memastikan penyemak imbas sentiasa dikemas kini.
Terdapat juga batasan khusus, seperti isu keserasian dengan tembok api pihak ketiga tertentu dan kekurangan kawalan akses berbutir, log terperinci atau pengurusan keselamatan berpusat, yang boleh menjadi masalah serius dalam organisasi sederhana dan besar.
Amalan terbaik asas untuk meningkatkan keselamatan dalam Desktop Jauh Chrome
Bagi kebanyakan pengguna di rumah, menggunakan beberapa langkah mudah membuat perbezaan yang besar. Langkah pertama ialah mengaktifkan pengesahan dua langkah pada akaun Google andaAnda boleh melakukan ini daripada panel keselamatan akaun anda, dengan memilih faktor kedua seperti kod mudah alih, apl pengesah atau kunci fizikal.
Kedua, anda mesti pilih PIN yang kompleks dan cukup panjang Apabila mengkonfigurasi akses jauh, elakkan kombinasi yang jelas seperti 123456 atau nombor yang berkaitan dengan anda (tarikh lahir, nombor ID, dsb.). Jika anda mempunyai sebarang keraguan tentang keselamatannya, anda boleh menukarnya dalam tetapan hos pada bila-bila masa.
Ia juga disyorkan bahawa Pastikan sistem pengendalian dan penyemak imbas Chrome anda sentiasa terkiniBanyak kelemahan telah ditampal, dan penangguhan kemas kini hanya menyebabkan anda terdedah lebih lama. Perkara yang sama berlaku untuk antivirus anda dan sebarang alat keselamatan lain.
Jika anda sering bekerja dari rangkaian WiFi awam atau tidak boleh dipercayai (hotel, lapangan terbang, kafe), pertimbangkan dengan serius Sentiasa berhubung melalui VPN yang boleh dipercayaiDengan cara ini, walaupun rangkaian tempatan tidak selamat, trafik anda akan bergerak dari hujung ke hujung yang disulitkan dalam terowong VPN.
Akhir sekali, amalkan sikap sifar amanah terhadap permintaan untuk bantuan jauh: Jangan sekali-kali bersetuju untuk memasang perisian atau berkongsi kod atas permintaan seseorang yang menghubungi anda tanpa kebenaran anda terlebih dahulu.Jika ragu-ragu, tutup atau abaikan e-mel dan rujuk perkhidmatan rasmi yang berkaitan.
Mod langsir: cara menghalang orang lain daripada melihat sesi anda pada komputer hos
Dalam banyak persekitaran, terutamanya di pejabat atau ruang kongsi, adalah penting Orang secara fizikal di hadapan komputer hos tidak dapat melihat apa yang dilakukan oleh pengguna jauh.Itulah gunanya "mod tirai" Desktop Jauh Chrome, yang pada asasnya memaparkan skrin kunci pada monitor tempatan semasa sesi jauh aktif.
Dalam Windows, ciri ini hanya tersedia dalam edisi Profesional, Perusahaan, Ultimate atau Pelayan. Untuk mendayakannya secara manual, anda mesti membuka Editor Pendaftaran (Regedit) dengan keistimewaan pentadbir dan mengkonfigurasi set kunci tertentuIa adalah proses yang rumit, jadi anda perlu mengikuti langkah-langkah ke surat itu.
Pertama, kunci ditakrifkan. HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostRequireCurtain dengan nilai 1, yang memberitahu CRD untuk mengaktifkan mod tirai. Seterusnya, parameter perkhidmatan Desktop Jauh Windows dilaraskan: kunci fDenyTSSambungan dalam HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server hendaklah ditetapkan kepada 0, dan kunci Pengesahan Pengguna dalam HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp juga kepada 0.
Pada sistem Windows 10, langkah tambahan diperlukan: tetapan SecurityLayer pada 1 dalam kekunci HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Jika anda meninggalkan mana-mana perubahan ini, kemungkinan besar sesi akan ditutup serta-merta, memaksa anda mengulangi keseluruhan prosedur.
Untuk memudahkan, Google mendokumenkan satu perintah yang boleh anda jalankan dalam konsol tinggi, yang Buat dan laraskan semua kekunci yang diperlukan sekaligus dan mulakan semula perkhidmatan Desktop Jauh Chrome:
reg add HKLM\Software\Policies\Google\Chrome /v RemoteAccessHostRequireCurtain /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0 /t REG_DWORD /f && net stop chromoting && net start chromoting
Kawalan rangkaian, tembok api dan penggunaan dalam persekitaran korporat
Dalam organisasi yang menguruskan berpuluh-puluh atau beratus-ratus pasukan, ia adalah penting Kawal siapa yang boleh menggunakan Desktop Jauh Chrome dan dari manaPentadbir Google Workspace boleh mendayakan atau melumpuhkan ciri untuk pengguna atau unit organisasi tertentu daripada konsol pentadbir.
Di samping itu, terdapat satu dasar yang dipanggil RemoteAccessHostFirewallTraversal Ini membolehkan anda mengehadkan penggunaan CRD kepada rangkaian kawasan setempat atau sambungan VPN. Dalam Windows, ini dikawal melalui kunci pendaftaran HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostFirewallTraversal, di mana nilai 0 melumpuhkan lintasan firewall untuk sambungan luaran.
Pada macOS, ia dikonfigurasikan dalam fail pilihan com.google.Chrome.plist, memperuntukkan RemoteAccessHostFirewallPerjalanan ke NODalam Linux, ini ditakrifkan dalam /etc/opt/chrome/policies/managed/RemoteAccessHostFirewallTraversal.json dengan nilai FALSE. Sekatan ini menghalang hos daripada menerima sambungan dari luar perimeter yang ditentukan oleh organisasi.
Satu lagi pendekatan yang agak drastik ialah menyekat sepenuhnya trafik ke API Desktop Jauh ChromeJika penapis api anda meminta kepada https://remotedesktop-pa.googleapis.com, semua fungsi CRD dilumpuhkan, kedua-dua sambungan keluar dari rangkaian dalaman dan sambungan masuk ke komputer syarikat.
Walaupun tidak begitu diperlukan jika anda telah menyekat API, sesetengah pentadbir juga memilih untuk menyekat akses kepada https://remotedesktop.google.com, menghalang klien web daripada memuatkan sama rata. Jenis sekatan ini biasanya digunakan dalam persekitaran yang sangat dikawal selia atau apabila menggunakan penyelesaian desktop jauh korporat yang lain.
Had kefungsian dan masalah kebolehgunaan dalam CRD
Di luar keselamatan, Desktop Jauh Chrome mempunyai kelemahan yang menjejaskan produktiviti. Ia tidak termasuk sembang teks bersepadu untuk bercakap dengan pengguna jauhOleh itu, anda perlu menggunakan alat lain (e-mel, pemesejan segera, panggilan telefon, dll.) untuk menyelaraskan.
Memindahkan fail juga tidak begitu mudah. Daripada menyeret dan menjatuhkan antara desktop, Anda perlu memuat naik fail dari satu pihak dan memuat turunnya di sisi yang lain.Ini mengehadkan kelajuan kerja anda apabila anda perlu memindahkan banyak dokumen atau keseluruhan folder.
Satu lagi batasan yang jelas ialah itu Ia tidak mengendalikan berbilang sesi serentak dengan baikAnda tidak boleh mengawal berbilang peranti serentak dengan fleksibiliti yang sama yang ditawarkan oleh alternatif berbayar yang direka untuk juruteknik sokongan atau pentadbir sistem.
Dari segi paparan, CRD membolehkan anda pergi ke skrin penuh, skala atau cuba menyesuaikannya dengan saiz tetingkap, tetapi Ia tidak menawarkan kawalan yang baik ke atas resolusi monitorDalam sesetengah kes, ini menjadikan pengalaman kurang selesa, terutamanya jika anda bekerja dengan berbilang monitor atau resolusi yang sangat berbeza antara hos dan pelanggan.
Tambahan pula, dalam sambungan sekali sahaja dengan kod sekali guna, Pengguna di bahagian jauh mesti memperbaharui sesi setiap 30 minitMenerima bahawa mereka mahu terus berkongsi peralatan mereka. Langkah ini mengukuhkan keselamatan tetapi boleh menyusahkan semasa sesi kerja yang panjang atau sokongan teknikal lanjutan.
Perbandingan dengan alternatif: AnyViewer, Splashtop, TSplus, RDS-Tools…
Apabila keperluan melebihi apa yang CRD tawarkan, ramai orang mempertimbangkan untuk memilih alat yang lebih komprehensif. AnyViewer ialah salah satu alternatif percuma dan berbayar yang menggabungkan ciri paling canggih., seperti pemindahan fail seret dan lepas, sokongan untuk berbilang sesi jauh, sembang segera dalam sesi dan penukaran resolusi dinamik berdasarkan lebar jalur.
AnyViewer juga mengutamakan keselamatan, memohon Penyulitan hujung ke hujung 256-bit, pengesahan dua langkah untuk akaun dan kemas kini yang kerap untuk menampal kelemahan. Pelan profesional dan perusahaannya membolehkan anda memperuntukkan lebih banyak peranti ke akaun yang sama, mengurus peranan dan kebenaran pengguna, memantau berbilang skrin dengan "dinding skrin," dan memindahkan volum data yang besar pada kelajuan tinggi.
Splashtop, bagi pihaknya, telah memantapkan dirinya sebagai alternatif yang tertumpu pada perniagaan, MSP dan pasukan sokongan ITIa menawarkan produk khusus untuk akses jauh profesional, sokongan tanpa pengawasan, meja bantuan dan pengurusan armada peranti, dengan ciri seperti rakaman sesi, percetakan jauh, penyepaduan dengan direktori korporat dan panel pentadbiran berpusat.
Dalam ekosistem perkhidmatan berdasarkan RDP dan RDS, penyelesaian seperti TSplus Advanced Security dan RDS-Tools Mereka menambah lapisan keselamatan dan kawalan pada infrastruktur desktop jauh Windows sedia ada. Ciri termasuk perlindungan kekerasan, sekatan geolokasi, pengauditan terperinci, pengelogan sesi, makluman boleh dikonfigurasikan dan pemantauan prestasi pelayan.
Platform ini biasanya juga termasuk pilihan untuk sesi berterusan, pemperibadian yang lebih baik dan penyepaduan dengan sistem korporat lainserta perjanjian tahap perkhidmatan (SLA) dan sokongan teknikal yang berdedikasi. Ia lebih mahal daripada Desktop Jauh Chrome, tetapi lebih sesuai untuk organisasi yang memerlukan pematuhan peraturan, ketersediaan tinggi dan kebolehskalaan.
Keselamatan fizikal, keselamatan rangkaian dan langkah anti-pancingan data
Melindungi sesi jauh bergantung bukan sahaja pada perisian, tetapi juga pada perkara yang berlaku di sekeliling komputer. Keselamatan fizikal adalah kunci: mengunci sesi apabila anda tiada, gunakan pengesahan biometrik atau kad untuk log masuk ke hos, menghalang sesiapa daripada mempunyai akses terus ke papan kekunci dan tetikus komputer yang anda kongsi.
Secara selari, adalah penting untuk bekerja pada kesedaran terhadap pancingan data dan rampasan sesiMelatih pengguna untuk mengenal pasti e-mel palsu, pautan yang mencurigakan atau permintaan yang tidak sesuai untuk bukti kelayakan secara drastik mengurangkan risiko mereka menyerahkan data mereka tanpa disedari.
Di peringkat rangkaian, banyak syarikat menggabungkan Desktop Jauh Chrome dengan VPN yang dikonfigurasikan dengan betul, pembahagian rangkaian dan audit keselamatan biasaIni termasuk menyemak peraturan tembok api, mengesan titik capaian WiFi yang tidak selamat dan memantau sebarang tingkah laku trafik anomali.
Konfigurasikan makluman untuk percubaan log masuk berulang, sambungan dari lokasi luar biasa, atau corak penggunaan atipikal Ia membantu mengesan kejadian pada peringkat awalnya. Dalam persekitaran lanjutan, maklumat ini disepadukan ke dalam sistem pemantauan dan SIEM untuk analisis dan pematuhan forensik.
Semua elemen ini—penyulitan, pengesahan, keselamatan fizikal, latihan pengguna dan kawalan rangkaian—melengkapi antara satu sama lain untuk membina pertahanan secara mendalam di sekitar sesi desktop jauh anda, sama ada anda menggunakan Desktop Jauh Chrome atau mana-mana alat lain.
Desktop Jauh Chrome menawarkan keseimbangan yang sangat menarik antara kesederhanaan, kos (percuma) dan tahap keselamatan yang cukup tinggi terima kasih kepada penyulitan TLS/AES dan sokongan 2FA melalui akaun GoogleWalau bagaimanapun, pergantungan sepenuhnya pada ekosistem Google, kekurangan ciri lanjutan (sembang bersepadu, berbilang sesi, pengurusan berpusat, kebenaran berbutir, log terperinci) dan beberapa isu keserasian firewall bermakna bahawa dalam menuntut persekitaran profesional, adalah wajar mempertimbangkan alternatif seperti AnyViewer, Splashtop atau penyelesaian berasaskan RDP yang diperkukuh dengan TSplus atau RDS-Tool. Bagi pengguna rumah atau pasukan kecil, bagaimanapun, dengan menggabungkan kebersihan kata laluan yang baik, pengesahan dua langkah, PIN yang kukuh, kemas kini terkini, tetapan firewall/VPN yang sesuai dan, jika perlu, mod tirai, CRD boleh menjadi alat yang sah dan agak selamat untuk bekerja dari jauh dari mana-mana sahaja.