Ha a Chrome távoli asztalt otthoni vagy irodai számítógépéhez való csatlakozáshoz, illetve mások támogatásához használja, akkor természetes, hogy elgondolkodik azon, mennyire biztonságos. A távoli hozzáférés, a Google-fiók és az internetkapcsolat kombinációja Emiatt sok felhasználó aggódik amiatt, hogy valaki betörhet-e az eszközeikbe, vagy kémkedhet-e utána, hogy mit csinálnak.
Ebben a cikkben részletesen megvizsgáljuk, hogyan védi a Google a kapcsolatokat, milyen valós kockázatok léteznek, hogyan erősítheti lépésről lépésre a biztonságot (ablak mód, tűzfal, VPN, 2FA stb.), és milyen helyzetekben. Talán jobb lenne átfogóbb alternatívákat választani mint például a Splashtop, az AnyViewer, vagy RDP-alapú megoldások extra rétegekkel, mint például a TSplus vagy az RDS-Tools. Mindezt spanyolul (Spanyolország) magyarázzuk el gyakorlati példákkal, hogy megalapozott döntést hozhass.
Mi is pontosan a Chrome távoli asztal, és mire használják?
A Chrome Remote Desktop (CRD) a Google ingyenes távoli hozzáférési megoldása.Chrome böngészőbővítményként indult, és most webes alkalmazásként és mobilalkalmazásként (Android és iOS) is működik. Lehetővé teszi egy másik számítógép vezérlését az interneten keresztül: megtekintheti a távoli asztalt, használhatja az egeret és a billentyűzetet, megnyithat alkalmazásokat, hozzáférhet fájlokhoz, vagy segíthet valaki másnak egy technikai problémában.
A CRD segítségével Windowsos PC-t csatlakoztathat egy másik Windowsos PC-hez, Mac-hez vagy Linux rendszerhez, sőt akár... Használjon Android telefont vagy iPhone-t a számítógép vezérléséhezCsupán Chrome-ra vagy egy kompatibilis kliensre van szükséged, hogy bejelentkezz a Google-fiókoddal, és telepítsd a host komponenst a hozzáférni kívánt számítógépre.
Két nagyon gyakori felhasználási eset létezik: az állandó távoli hozzáférés (például az irodai számítógép otthoni csatlakozásra készen tartása) és az igény szerinti támogatás, ahol A segítségre szoruló személy ideiglenes kódot generál És te kapcsolódsz, hogy megoldd a problémát helyette.
Az egyik fő korlátozás a tervezésnél fogva az, hogy A Chrome Remote Desktop teljes mértékben a Google ökoszisztémájától függGoogle-fiókra és sok esetben Chrome böngészőre van szüksége a beállításához vagy kényelmes használatához. Ez hátrány a vállalati környezetekben, ahol más böngészőket vagy szigorúbb szabályzatokat használnak.
Chrome távoli asztal biztonsági infrastruktúrája és technológiái
A Chrome távoli asztal biztonságának alapja a titkosítás és a hitelesítés.A Google ugyanazt a biztonságos infrastruktúrát használja, mint más szolgáltatások (Gmail, Drive stb.) esetében, de ezt a távoli hozzáférésre alkalmazza.
A kapcsolat során a CRD a következőt használja: TLS (szállítási réteg biztonság) A kliens eszköz és a gazdagép közötti kommunikációs csatorna védelme érdekében a TLS titkosítja az átvitel alatt álló adatokat, és megakadályozza, hogy a támadók elolvassák a küldött tartalmat, még akkor is, ha elfogják a hálózati forgalmat.
A TLS csatorna mellett a Chrome távoli asztal is használja a következőket: Fejlett szimmetrikus titkosítás, például 256 bites AESEz egy szabványos technológia az online banki szolgáltatásokban és a magas szintű kommunikációban. Ez azt jelenti, hogy minden egérmozdulat, billentyűleütés és képernyőtartalom titkosítva halad át a végponttól a végpontig.
A hitelesítés az Ön adatain alapul Google-fiók elsődleges identitáskéntÁllandó hozzáféréshez egy legalább hatjegyű PIN-kódot kell konfigurálni a gazdagépen, amely második akadályként szolgál a munkamenet megkezdéséhez. Felügyelet nélküli támogatási munkamenetek esetén a szolgáltatás által generált egyszeri kódot használ, amely csak ideiglenesen érvényes.
Végül a Google felajánlja az aktiválás lehetőségét kétlépcsős azonosítás (2FA) a Google-fiókodbanNem kötelező extra biztonsági réteget hozzáadni SMS-kódokkal, hitelesítő alkalmazásokkal vagy fizikai kulcsokkal, de ez az egyik legjobb védekezés a hitelesítő adatok ellopása ellen.
Megbízható a Chrome távoli asztal nagy távolságokon és napokon keresztül?
Sok felhasználó kíváncsi arra, hogy utazás közben bekapcsolva és elérhetően hagyhatják-e a számítógépüket egy hétig, és problémamentesen folytathatják-e a munkát. Stabilitás szempontjából a Chrome távoli asztal általában elég jól teljesít. Hosszú munkamenetek esetén, feltéve, hogy a gazdagép megfelelően van konfigurálva, és nem lép alvó üzemmódba, nem indul újra, és nem tapasztal hálózati kimaradásokat.
Technikailag megteheted Hagyja a Chrome távoli asztal szolgáltatást folyamatosan futni Windows, Mac vagy Linux számítógépén. Nem kell minden alkalommal bezárnia az alkalmazást, amikor befejezte a használatát; a lényeg az, hogy erős PIN-kóddal, biztonságos fiókkal és naprakész operációs rendszerrel védje a hozzáférést.
Biztonsági szempontból fontos megérteni, hogy A non-stop elérhető csapat növeli a támadási felületetMég ha a csatorna titkosított is, ha valaki megszerzi a Google-fiókod jelszavát, vagy fizikailag hozzáfér a gazdagéphez, akkor is megpróbálhat bejutni. Ezért olyan fontos, hogy a Google védelmet a helyes helyi gyakorlatokkal (vírusirtó, tűzfal, frissítések, képernyőzár stb.) kombináld.
A kockázatok minimalizálása érdekében sok rendszergazda inkább a Chrome távoli asztal használatát korlátozza a következőkre: megbízható hálózatok vagy vállalati VPN-ek...vagy akár letilthatja a funkciókat, amikor nincs rájuk szükség. Később látni fogjuk, hogyan lehet ezt központilag megtenni vállalati környezetben.
Fióktitkosítás, hitelesítés és biztonsági technológiák
Minden távoli munkamenet során több mechanizmus aktiválódik párhuzamosan. Egyrészt, A TLS/SSL felelős a csatorna védelméért. és megakadályozzák a forgalom lehallgatását vagy manipulációs támadásokat. Továbbá, maga a munkamenet tartalma robusztus algoritmusokkal, például 256 bites AES titkosítással van titkosítva.
A hitelesítési szinten a Chrome távoli asztal egyesíti a következőket: a Google-fiók azonosítója és egy további tényező (PIN-kód, ideiglenes kód stb.). Ha aktiválja a kétlépcsős azonosítást, a támadónak már nem csak a jelszavára lesz szüksége: a mobiltelefonjára vagy a biztonsági kulcsára is.
A CRD biztonsága ugyanolyan erős, mint a Google-fiókodé, tehát Használjon hosszú, egyedi jelszavakat és jelszókezelőt Ez nem csak egy ajánlás; gyakorlatilag kötelező. A legutóbbi fióktevékenységek gyakori áttekintése és a gyanús eszközök leválasztása szintén segít a problémák korai felismerésében.
Vállalati környezetekben további szabályzatok alkalmazhatók a Google Workspace adminisztrációs konzolján, például 2FA használatát követelik meg minden fióknál, korlátozza a bejelentkezéseket bizonyos országokból, vagy figyelje a rendellenes hozzáféréseket.
A Chrome Remote Desktophoz kapcsolódó kockázatok és sebezhetőségek
Bár a Chrome távoli asztal fejlett biztonsági óvintézkedéseket tartalmaz, nem kockázatmentes. Közös sebezhetőségeket oszt meg bármely távoli asztali eszközzel és továbbiakat is hozzáad, amelyek a Google-fiókkal és a böngészővel való integrációjából származnak.
Az első kockázat az jogosulatlan hozzáférés hitelesítő adatok ellopása miattHa valaki megszerzi a Google-fiókod jelszavát, hozzáférhet a CRD-ben regisztrált összes eszközhöz, feltéve, hogy megkerüli a PIN-kódodat vagy bármely más biztonsági tényezőt. Ezért az adatvédelmi incidens legkisebb gyanúja esetén is változtasd meg a jelszavadat, vond vissza a munkameneteket, és ellenőrizd a csatlakoztatott eszközöket.
Egy másik, egyre gyakoribb veszély... műszaki támogatási csalásokSok bűnöző felhív vagy e-mailt küld, amelyben a Microsofttól, a Google-től vagy más szolgáltatótól adja ki magát, és ráveszi az áldozatot, hogy telepítsen távoli asztali szoftvert (beleértve a Chrome távoli asztalt is), és adjon neki egy hozzáférési kódot. Attól a pillanattól kezdve teljes irányítást szerez a számítógép felett.
Szoftveres szinten a Chrome távoli asztal megörökli a következőket: sebezhetőségek, amelyek magát a Chrome böngészőt is érinthetikKiberbiztonsági ügynökségek jelentései rámutattak a Chrome asztali verzióinak kritikus hibáira, amelyeket elméletileg egy támadó megpróbálhat kihasználni a jogosultságok eszkalálására vagy kód futtatására, bár ez nem jelenti azt, hogy a CRD alapértelmezés szerint nem biztonságos, hanem inkább azt, hogy a böngésző folyamatos naprakészen tartásától függ.
Vannak konkrét korlátozások is, mint például kompatibilitási problémák bizonyos harmadik féltől származó tűzfalakkal valamint a részletes hozzáférés-vezérlés, a részletes naplók vagy a központosított biztonságkezelés hiánya, ami komoly problémát jelenthet a közepes és nagy szervezeteknél.
Alapvető bevált gyakorlatok a Chrome távoli asztal biztonságának fokozásához
A legtöbb otthoni felhasználó számára néhány egyszerű intézkedés alkalmazása nagy különbséget jelent. Az első lépés a kétlépcsős azonosítás aktiválása a Google-fiókodbanEzt fiókod biztonsági paneljén teheted meg egy második tényező, például mobilkódok, hitelesítő alkalmazás vagy fizikai kulcs kiválasztásával.
Másodszor, muszáj Válassz egy összetett és kellően hosszú PIN-kódot A távoli hozzáférés konfigurálásakor kerülje a nyilvánvaló kombinációkat, mint például az 123456, vagy az Önhöz kapcsolódó számokat (születési dátum, személyi igazolvány száma stb.). Ha kétségei vannak a biztonságával kapcsolatban, bármikor módosíthatja a host beállításaiban.
Ugyanígy ajánlott, hogy Tartsa mindig naprakészen operációs rendszerét és Chrome böngészőjétSok sebezhetőséget javítanak, és a frissítések késleltetése csak tovább sebezhetővé tesz. Ugyanez vonatkozik a víruskeresőre és minden más biztonsági eszközre.
Ha gyakran dolgozol nyilvános vagy megbízhatatlan WiFi hálózatokról (szállodák, repülőterek, kávézók), komolyan fontold meg Mindig megbízható VPN-en keresztül csatlakozzÍgy még ha a helyi hálózat nem is biztonságos, a forgalom titkosítva, végponttól végpontig halad a VPN-alagúton belül.
Végül, a távoli segítségnyújtási kérésekkel kapcsolatban tanúsítson zéró bizalmat: Soha ne egyezz bele szoftver telepítésébe vagy kód megosztásába olyan személy kérésére, aki kapcsolatba lép veled az előzetes beleegyezésed nélkül.Kétség esetén tegye le a telefont, vagy hagyja figyelmen kívül az e-mailt, és forduljon az illetékes hivatalos szolgálathoz.
Függöny mód: hogyan akadályozhatod meg, hogy mások láthassák a munkamenetedet a gazdagépen
Sok környezetben, különösen irodákban vagy közös helyiségekben, kritikus fontosságú, hogy A gazdaszámítógép előtt fizikailag tartózkodó személy nem láthatja, hogy mit csinál a távoli felhasználó.Erre való a Chrome Remote Desktop „függöny módja”, amely alapvetően egy zárolási képernyőt jelenít meg a helyi monitoron, miközben a távoli munkamenet aktív.
Windows rendszerben ez a funkció csak a Professional, Enterprise, Ultimate vagy Server kiadásokban érhető el. A manuális engedélyezéséhez rendszergazdai jogosultságokkal kell megnyitnia a Beállításszerkesztőt (Regedit), és egy adott kulcskészlet konfigurálásaEz egy kényes folyamat, ezért betűről betűre követni kell a lépéseket.
Először is, a kulcs definiálva van. HKEY_LOCAL_MACHINE\Szoftver\Házirendek\Google\Chrome\RemoteAccessHostRequireCurtain 1 értékkel, amely jelzi a CRD-nek a függöny mód aktiválását. Ezután a Windows távoli asztal szolgáltatás paraméterei kerülnek beállításra: a kulcs fDenyTSConnections A HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server értékének 0-ra kell lennie állítva, és a kulcsnak Felhasználói hitelesítés A HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp fájlban is 0-ra kell állítani.
Windows 10 rendszereken egy további lépésre van szükség: a beállítás Biztonsági réteg az 1. ponton a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp kulcsban. Ha kihagyja ezen módosítások bármelyikét, akkor valószínű, hogy a munkamenet azonnal bezárul, és így meg kell ismételnie a teljes eljárást.
Az egyszerűség kedvéért a Google egyetlen parancsot dokumentál, amelyet emelt szintű konzolon futtathat, és amely Hozza létre és állítsa be az összes szükséges kulcsot egyszerre, majd indítsa újra a Chrome távoli asztal szolgáltatást:
reg add HKLM\Software\Policies\Google\Chrome /v RemoteAccessHostRequireCurtain /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0 /t REG_DWORD /f && net stop chromoting && net start chromoting
Hálózati vezérlés, tűzfal és használat vállalati környezetben
Azoknál a szervezeteknél, amelyek több tucat vagy több száz csapatot irányítanak, kulcsfontosságú Szabályozhatja, hogy kik és honnan használhatják a Chrome távoli asztaltA Google Workspace rendszergazdái a Felügyeleti Konzolon engedélyezhetik vagy letilthatják a funkciót adott felhasználók vagy szervezeti egységek számára.
Ezen kívül van egy irányelv, az ún. Távoli hozzáférés állomás tűzfal bejárás Ez lehetővé teszi a CRD használatának korlátozását helyi hálózatokra vagy VPN-kapcsolatokra. Windows rendszerben ezt a HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostFirewallTraversal beállításkulcs vezérli, ahol a 0 érték letiltja a tűzfalon való áthaladást a külső kapcsolatok esetében.
macOS rendszeren a com.google.Chrome.plist beállításfájlban konfigurálható, hozzárendelve a következőt: RemoteAccessHostFirewallTraversal to NOLinuxban ez az /etc/opt/chrome/policies/managed/RemoteAccessHostFirewallTraversal.json fájlban van definiálva, FALSE értékkel. Ezek a korlátozások megakadályozzák, hogy a gazdagépek a szervezet által meghatározott peremterületen kívülről fogadjanak kapcsolatokat.
Egy másik meglehetősen drasztikus megközelítés az, teljesen blokkolja a Chrome távoli asztali API-k forgalmátHa a tűzfal szűri a https://remotedesktop-pa.googleapis.com címre irányuló kéréseket, akkor az összes CRD-funkció letiltásra kerül, mind a belső hálózatról kimenő kapcsolatok, mind a céges számítógépekre bejövő kapcsolatok.
Bár nem feltétlenül szükséges, ha már blokkolta az API-t, egyes rendszergazdák úgy döntenek, hogy blokkolják a https://remotedesktop.google.com címhez való hozzáférést, megakadályozva ezzel, hogy a webes kliens betöltődjön. Az ilyen típusú korlátozásokat jellemzően szigorúan szabályozott környezetekben vagy más vállalati távoli asztali megoldás használatakor alkalmazzák.
Funkcionalitási korlátok és használhatósági problémák a CRD-ben
A biztonságon túl a Chrome Remote Desktopnak vannak hiányosságai, amelyek befolyásolják a termelékenységet. Nem tartalmaz integrált szöveges csevegést a távoli felhasználóval való beszélgetéshezEzért egy másik eszközt (e-mailt, azonnali üzenetküldést, telefonhívást stb.) kell használnia a koordinációhoz.
A fájlok átvitele sem különösebben kényelmes. Az asztalok közötti húzás és elengedés helyett Az egyik oldalról fel kell tölteni a fájlokat, a másikról pedig le kell tölteni.Ez korlátozza a munkasebességet, amikor sok dokumentumot vagy teljes mappákat kell áthelyeznie.
Egy másik egyértelmű korlátozás az, hogy Nem kezeli jól a több egyidejű munkamenetetNem lehet egyszerre több eszközt vezérelni ugyanolyan rugalmassággal, mint amit a támogató technikusok vagy rendszergazdák számára tervezett fizetős alternatívák kínálnak.
Megjelenítés szempontjából a CRD lehetővé teszi a teljes képernyős nézetet, az átméretezést vagy az ablak méretéhez igazítást, de Nem kínál finomhangolást a monitorfelbontások felettBizonyos esetekben ez kevésbé kényelmessé teszi a felhasználói élményt, különösen akkor, ha több monitorral dolgozol, vagy a gazdagép és a kliens felbontása nagyon eltérő.
Továbbá, egyszer használatos kóddal történő egyszeri kapcsolatok esetén, A távoli oldalon lévő felhasználónak 30 percenként meg kell újítania a munkamenetet.Elfogadják, hogy továbbra is meg akarják osztani a berendezéseiket. Ez az intézkedés erősíti a biztonságot, de kényelmetlen lehet hosszú munkamenetek vagy hosszabb technikai támogatás során.
Összehasonlítás alternatívákkal: AnyViewer, Splashtop, TSplus, RDS-Tools…
Amikor az igények meghaladják a CRD kínálatát, sokan fontolóra veszik az átfogóbb eszközök használatát. Az AnyViewer az egyik ingyenes és fizetős alternatíva, amely a legfejlettebb funkciókat tartalmazza., például a drag and drop fájlátvitel, több távoli munkamenet támogatása, azonnali csevegés a munkameneten belül, valamint a sávszélesség alapján dinamikus felbontásváltás.
Az AnyViewer a biztonságot is előtérbe helyezi, alkalmazva a következőket: 256 bites végponttól végpontig terjedő titkosítás, kétlépcsős hitelesítés fiókokhoz és gyakori frissítéseket a sebezhetőségek javítására. Professzionális és vállalati csomagjai lehetővé teszik, hogy több eszközt rendeljen ugyanahhoz a fiókhoz, kezelje a felhasználói szerepköröket és engedélyeket, több képernyőt figyeljen „képernyőfalakkal”, és nagy mennyiségű adatot továbbítson nagy sebességgel.
A Splashtop a maga részéről olyan termékké vált, mint egy alternatíva, amely vállalkozásokra, MSP-kre és IT-támogató csapatokra összpontosítSpeciális termékeket kínál professzionális távoli eléréshez, felügyelet nélküli támogatáshoz, helpdeskhez és eszközflotta-kezeléshez, olyan funkciókkal, mint a munkamenet-rögzítés, a távoli nyomtatás, a vállalati címtárakkal való integráció és a központosított adminisztrációs panelek.
Az RDP-n és RDS-en alapuló szolgáltatások ökoszisztémájában olyan megoldások, mint a TSplus fejlett biztonsági és RDS-eszközök Biztonsági és vezérlési rétegeket adnak a meglévő Windows távoli asztali infrastruktúrákhoz. Funkcióik közé tartozik a brute-force védelem, a geolokációs korlátozások, a részletes auditálás, a munkamenet-naplózás, a konfigurálható riasztások és a szerver teljesítményének monitorozása.
Ezek a platformok általában olyan lehetőségeket is kínálnak, mint állandó munkamenetek, nagyobb személyre szabás és integráció más vállalati rendszerekkelvalamint szolgáltatási szintű megállapodásokat (SLA-kat) és dedikált technikai támogatást. Ezek drágábbak, mint a Chrome távoli asztal, de sokkal jobban megfelelnek azoknak a szervezeteknek, amelyeknek szabályozási megfelelésre, magas rendelkezésre állásra és skálázhatóságra van szükségük.
Fizikai biztonság, hálózati biztonság és adathalászat elleni intézkedések
Egy távoli munkamenet védelme nemcsak a szoftvertől függ, hanem attól is, hogy mi történik a számítógép körül. A fizikai biztonság kulcsfontosságú: zárolja a munkamenetet, amikor távol van, biometrikus hitelesítéssel vagy kártyákkal jelentkezzen be a gazdagépre, és akadályozza meg, hogy bárki közvetlenül hozzáférjen a megosztott számítógép billentyűzetéhez és egeréhez.
Ezzel párhuzamosan elengedhetetlen a munka a az adathalászat és a munkamenet-eltérítés elleni tudatosságA felhasználók képzése a hamis e-mailek, gyanús linkek vagy a hitelesítő adatokra vonatkozó nem megfelelő kérések felismerésére drasztikusan csökkenti annak kockázatát, hogy akaratlanul is megadják adataikat.
Hálózati szinten számos vállalat kombinálja a Chrome távoli asztalt a következőkkel: Megfelelően konfigurált VPN-ek, hálózati szegmentálás és rendszeres biztonsági auditokEz magában foglalja a tűzfalszabályok felülvizsgálatát, a nem biztonságos WiFi hozzáférési pontok felderítését és a rendellenes forgalmi viselkedés figyelését.
Értesítések beállítása ehhez: ismételt bejelentkezési kísérletek, szokatlan helyekről történő csatlakozások vagy atipikus használati minták Segít a problémák korai szakaszában történő észlelésében. Fejlett környezetekben ez az információ integrálódik a monitorozó és SIEM rendszerekbe a forenzikus elemzés és a megfelelőség érdekében.
Mindezek az elemek – titkosítás, hitelesítés, fizikai biztonság, felhasználói képzés és hálózati vezérlés – kiegészítik egymást, hogy mélyreható védelmet építsenek ki a távoli asztali munkamenetek körül, akár a Chrome távoli asztalt, akár bármilyen más eszközt használ.
A Chrome Remote Desktop vonzó egyensúlyt kínál az egyszerűség, a költség (ingyenes) és a viszonylag magas szintű biztonság között a TLS/AES titkosításnak és a Google-fiókon keresztüli 2FA-támogatásnak köszönhetően.Azonban a Google ökoszisztémától való teljes függősége, a fejlett funkciók (integrált csevegés, több munkamenetes kezelés, központosított kezelés, részletes jogosultságok, részletes naplók) hiánya, valamint néhány tűzfal-kompatibilitási probléma azt jelenti, hogy igényes professzionális környezetekben érdemes megfontolni az olyan alternatívákat, mint az AnyViewer, a Splashtop, vagy az RDP-alapú megoldások, amelyeket TSplus vagy RDS-Tools erősít meg. Otthoni felhasználók vagy egy kis csapat számára azonban a jó jelszóhigiénia, a kétlépcsős azonosítás, az erős PIN-kód, a naprakész frissítések, a megfelelő tűzfal-/VPN-beállítások és szükség esetén a függöny mód kombinálásával a CRD tökéletesen érvényes és meglehetősen biztonságos eszköz lehet a bárhonnan történő távoli munkavégzéshez.