Ако използвате Chrome Remote Desktop, за да се свържете с домашния си компютър, служебния си компютър или за да предоставите поддръжка на други хора, е нормално да се чудите колко е сигурен. Комбинацията от отдалечен достъп, акаунт в Google и интернет връзка Това кара много потребители да се тревожат дали някой може да проникне в устройствата им или да шпионира какво правят.
В тази статия ще разгледаме подробно как Google защитава връзките, какви реални рискове съществуват, как можете да подобрите сигурността стъпка по стъпка (режим на прозорец, защитна стена, VPN, 2FA и др.) и в какви ситуации. Може би е по-добре да изберете по-цялостни алтернативи като Splashtop, AnyViewer или RDP-базирани решения с допълнителни слоеве като TSplus или RDS-Tools. Всичко е обяснено на испански (Испания) с практически примери, за да можете да вземете информирано решение.
Какво точно е отдалечен работен плот на Chrome и за какво се използва?
Отдалеченият работен плот на Chrome (CRD) е безплатното решение на Google за отдалечен достъп.Започна като разширение за браузъра Chrome, а сега функционира като уеб приложение и мобилно приложение (Android и iOS). То ви позволява да управлявате друг компютър през интернет: можете да преглеждате отдалечения работен плот, да използвате мишката и клавиатурата, да отваряте приложения, да осъществявате достъп до файлове или да помагате на някой друг с технически проблем.
С CRD можете да свържете компютър с Windows към друг компютър с Windows, към Mac или Linux система и дори Използвайте телефон с Android или iPhone, за да управлявате компютъра сиВсичко, от което се нуждаете, е Chrome или съвместим клиент, да влезете с вашия Google акаунт и да инсталирате хост компонента на компютъра, до който искате да получите достъп.
Има два много често срещани случая на употреба: постоянен отдалечен достъп (например, оставяне на вашия офис компютър готов за свързване от дома) и поддръжка при поискване, където Лицето, което се нуждае от помощ, генерира временен код И ти се свързваш, за да решиш проблема вместо него.
Едно основно ограничение е, че по дизайн, Отдалеченият работен плот на Chrome е изцяло зависим от екосистемата на GoogleНеобходим ви е акаунт в Google и в много случаи браузърът Chrome, за да го настроите или използвате удобно. Това е недостатък в корпоративни среди, където се използват други браузъри или по-строги правила.
Инфраструктура и технологии за сигурност на отдалечения работен плот на Chrome
Основата на сигурността на Chrome Remote Desktop се крие в криптирането и удостоверяването.Google използва същата защитена инфраструктура, която използва за други услуги (Gmail, Drive и др.), но приложена към отдалечен достъп.
По време на връзката, CRD използва TLS (сигурност на транспортния слой) За да защити комуникационния канал между клиентското устройство и хост компютъра, TLS криптира данните по време на пренос и предотвратява четенето на изпратените данни от нападател, дори ако той прихване мрежовия трафик.
В допълнение към TLS канала, Chrome Remote Desktop използва Разширено симетрично криптиране, като например 256-битово AESТова е стандартна технология в онлайн банкирането и комуникациите на високо ниво. Това означава, че всяко движение на мишката, натискане на клавиш и съдържание на екрана се предават криптирано от край до край.
Удостоверяването зависи от вашето Google акаунт като основна самоличностЗа постоянен достъп на хост компютъра се конфигурира ПИН код от поне шест цифри, който служи като втора бариера за започване на сесия. При сесии за поддръжка без наблюдение се използва еднократен код, генериран от самата услуга, който е валиден само временно.
Накрая, Google предлага опцията за активиране двуетапно потвърждаване (2FA) във вашия Google акаунтДобавянето на допълнителен слой сигурност с SMS кодове, приложения за удостоверяване или физически ключове не е задължително, но е една от най-добрите защити срещу кражба на идентификационни данни.
Надежден ли е Chrome Remote Desktop за дълги разстояния и в продължение на дни?
Много потребители се чудят дали могат да оставят компютъра си включен и достъпен за една седмица, докато пътуват, и да продължат да работят без проблеми. По отношение на стабилността, Chrome Remote Desktop обикновено се представя доста добре. За дълги сесии, при условие че хост компютърът е правилно конфигуриран и не преминава в режим на заспиване, не се рестартира или не претърпява прекъсвания в мрежата.
Технически можете оставете услугата за отдалечен работен плот на Chrome да работи непрекъснато на вашия компютър с Windows, Mac или Linux. Не е нужно да затваряте приложението всеки път, когато приключите с използването му; важното е да защитите достъпа със силен ПИН код, защитен акаунт и актуална операционна система.
Сега, от гледна точка на сигурността, е важно да разберете, че Екип, на разположение 24/7, увеличава повърхността за атакаДори каналът да е криптиран, ако някой получи паролата за вашия Google акаунт или има физически достъп до хоста, той все пак може да се опита да получи достъп. Ето защо е толкова важно да се комбинират защитите на Google с добри местни практики (антивирусна програма, защитна стена, актуализации, заключване на екрана и др.).
За да сведат до минимум рисковете, много администратори предпочитат да ограничат използването на Chrome Remote Desktop до надеждни мрежи или корпоративни VPN мрежи...или дори да деактивирате функции, когато не са необходими. По-късно ще видим как да направите това централизирано в корпоративни среди.
Технологии за криптиране, удостоверяване и сигурност на акаунти
Във всяка отдалечена сесия се активират няколко механизма едновременно. От една страна, TLS/SSL е отговорен за защитата на канала и предотвратяване на прихващане или манипулиране на трафик. Освен това, самото съдържание на сесията е криптирано с помощта на надеждни алгоритми, като например 256-битов AES.
На ниво удостоверяване, Chrome Remote Desktop комбинира самоличността на акаунта в Google и допълнителен фактор (ПИН, временен код и др.). Ако активирате двуетапно потвърждаване, нападателят вече няма да се нуждае само от вашата парола: той ще се нуждае и от вашия мобилен телефон или вашия ключ за сигурност.
Сигурността на CRD е толкова силна, колкото и тази на вашия Google акаунт, така че Използвайте дълги, уникални пароли и мениджър на пароли Това не е просто препоръка; на практика е задължително. Честият преглед на скорошната активност в профила ви и изключването на подозрителни устройства също помага за ранно откриване на инциденти.
В корпоративни среди допълнителни правила могат да се прилагат от администраторската конзола на Google Workspace, като например изискват използването на 2FA за всички акаунти, ограничаване на влизания от определени държави или наблюдение на аномален достъп.
Рискове и уязвимости, свързани с отдалечения работен плот на Chrome
Въпреки че Chrome Remote Desktop включва разширени защити, той не е без рискове. Той споделя общи уязвимости с всеки инструмент за отдалечен работен плот и добавя други, получени от интеграцията му с акаунта в Google и браузъра.
Първият риск е неоторизиран достъп поради кражба на идентификационни данниАко някой получи паролата за вашия Google акаунт, той би могъл да получи достъп до всички устройства, регистрирани в CRD, стига да може да заобиколи и вашия ПИН код или друг фактор за сигурност. Следователно, при най-малкото съмнение за нарушение на данните, трябва да промените паролата си, да отмените сесиите и да проверите свързаните устройства.
Друга все по-често срещана опасност е... измами с техническа поддръжкаМного престъпници се обаждат или изпращат имейли, представяйки се за служители на Microsoft, Google или друг доставчик, и убеждават жертвата да инсталира софтуер за отдалечен работен плот (включително Chrome Remote Desktop) и им дават код за достъп. От този момент нататък те имат пълен контрол над компютъра.
На софтуерно ниво, Chrome Remote Desktop наследява уязвимости, които могат да засегнат самия браузър ChromeДоклади от агенции за киберсигурност посочват критични недостатъци в настолните версии на Chrome, които на теория хакер би могъл да се опита да използва, за да повиши привилегиите или да изпълни код, въпреки че това не означава, че CRD е несигурен по подразбиране, а по-скоро, че зависи от това да поддържате браузъра винаги актуален.
Съществуват и специфични ограничения, като например проблеми със съвместимостта с някои защитни стени на трети страни и липсата на подробен контрол на достъпа, подробни регистрационни файлове или централизирано управление на сигурността, което може да бъде сериозен проблем в средни и големи организации.
Основни най-добри практики за повишаване на сигурността в отдалечения работен плот на Chrome
За повечето домашни потребители прилагането на няколко прости мерки е от голямо значение. Първата стъпка е да активирате двуетапното потвърждаване в профила си в GoogleМожете да направите това от панела за сигурност на вашия акаунт, като изберете втори фактор, като например мобилни кодове, приложение за удостоверяване или физически ключ.
Второ, трябва изберете сложен и достатъчно дълъг ПИН код Когато конфигурирате отдалечен достъп, избягвайте очевидни комбинации като 123456 или числа, свързани с вас (дата на раждане, идентификационен номер и др.). Ако имате някакви съмнения относно сигурността му, можете да го промените в настройките на хоста по всяко време.
Също така се препоръчва, че Поддържайте операционната си система и браузъра Chrome винаги актуалниМного уязвимости са отстранени и забавянето на актуализациите само ви прави уязвими по-дълго. Същото важи и за вашия антивирусен софтуер и всеки друг инструмент за сигурност.
Ако често работите от обществени или ненадеждни WiFi мрежи (хотели, летища, кафенета), сериозно помислете... Винаги се свързвайте чрез надеждна VPN мрежаПо този начин, дори ако локалната мрежа е несигурна, вашият трафик ще пътува криптиран от край до край в рамките на VPN тунела.
И накрая, възприемете отношение на нулево доверие към заявките за дистанционна помощ: Никога не се съгласявайте да инсталирате софтуер или да споделяте код по искане на някой, който се е свързал с вас без вашето предварително съгласие.Ако имате съмнения, затворете телефона или игнорирайте имейла и се консултирайте със съответната официална служба.
Режим на завеса: как да попречите на други да виждат вашата сесия на хост компютъра
В много среди, особено в офиси или споделени пространства, е изключително важно това Човекът, който физически се намира пред хост компютъра, не може да вижда какво прави отдалеченият потребител.За това е предназначен „режимът на завеса“ на Chrome Remote Desktop, който по същество показва заключен екран на локалния монитор, докато отдалечената сесия е активна.
В Windows тази функция е налична само в изданията Professional, Enterprise, Ultimate или Server. За да я активирате ръчно, трябва да отворите редактора на системния регистър (Regedit) с администраторски права и конфигуриране на специфичен набор от ключовеТова е деликатен процес, така че трябва да следвате стъпките дословно.
Първо, ключът е дефиниран. HKEY_LOCAL_MACHINE\Софтуер\Политики\Google\Chrome\RemoteAccessHostRequireCurtain със стойност 1, което указва на CRD да активира режим на завеса. След това се настройват параметрите на услугата за отдалечен работен плот на Windows: ключът fDenyTSConnections В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server трябва да бъде зададен на 0, а ключът Удостоверяване на потребителя в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp също на 0.
В системите с Windows 10 е необходима допълнителна стъпка: настройка Защитен слой на 1 в ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Ако пропуснете някоя от тези промени, е много вероятно сесията да се затвори незабавно, което ще ви принуди да повторите цялата процедура.
За да опрости, Google документира една команда, която можете да изпълните в конзола с повишени права, която Създайте и настройте всички необходими ключове наведнъж и рестартирайте услугата за отдалечен работен плот на Chrome:
reg add HKLM\Software\Policies\Google\Chrome /v RemoteAccessHostRequireCurtain /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0 /t REG_DWORD /f && net stop chromoting && net start chromoting
Мрежов контрол, защитна стена и употреба в корпоративна среда
В организации, които управляват десетки или стотици екипи, е от решаващо значение Контролирайте кой може да използва отдалечен работен плот на Chrome и откъдеАдминистраторите на Google Workspace могат да активират или деактивират функцията за конкретни потребители или организационни единици от администраторската конзола.
Освен това има политика, наречена RemoteAccessHostFirewallTraversal Това ви позволява да ограничите използването на CRD до локални мрежи или VPN връзки. В Windows това се контролира чрез ключа на системния регистър HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostFirewallTraversal, където стойност 0 деактивира преминаването през защитната стена за външни връзки.
В macOS се конфигурира във файла с предпочитания com.google.Chrome.plist, като се присвоява RemoteAccessHostFirewallTraversal до НЕВ Linux това е дефинирано в /etc/opt/chrome/policies/managed/RemoteAccessHostFirewallTraversal.json със стойност FALSE. Тези ограничения не позволяват на хостовете да приемат връзки извън периметъра, определен от организацията.
Друг доста драстичен подход е напълно блокирайте трафика към API-тата за отдалечен работен плот на ChromeАко вашата защитна стена филтрира заявките към https://remotedesktop-pa.googleapis.com, всички CRD функции са деактивирани, както изходящите връзки от вътрешната мрежа, така и входящите връзки към компютрите на компанията.
Въпреки че не е строго необходимо, ако вече сте блокирали API, някои администратори също избират да блокират достъпа до https://remotedesktop.google.com, предотвратявайки дори зареждането на уеб клиента. Тези видове ограничения обикновено се прилагат в силно регулирани среди или при използване на друго корпоративно решение за отдалечен работен плот.
Ограничения на функционалността и проблеми с използваемостта в CRD
Освен сигурността, Chrome Remote Desktop има недостатъци, които влияят на производителността. Не включва интегриран текстов чат за разговор с отдалечен потребителСледователно, трябва да използвате друг инструмент (имейл, незабавни съобщения, телефонно обаждане и др.), за да координирате.
Прехвърлянето на файлове също не е особено удобно. Вместо да плъзгате и пускате между работните плотове, Трябва да качвате файлове от едната страна и да ги изтегляте от другата.Това ограничава скоростта ви на работа, когато трябва да преместите много документи или цели папки.
Друго очевидно ограничение е, че Не се справя добре с множество едновременни сесииНе можете да контролирате няколко устройства едновременно със същата гъвкавост, предлагана от платените алтернативи, предназначени за техници по поддръжка или системни администратори.
По отношение на дисплея, CRD ви позволява да преминете към цял екран, да го мащабирате или да се опитате да го напаснете към размера на прозореца, но Не предлага фин контрол върху резолюциите на монитораВ някои случаи това прави работата по-малко комфортна, особено ако работите с множество монитори или много различни резолюции между хоста и клиента.
Освен това, при еднократни връзки с код за еднократна употреба, Потребителят от отдалечената страна трябва да подновява сесията на всеки 30 минутиПриемане, че искат да продължат да споделят оборудването си. Тази мярка засилва сигурността, но може да бъде неудобна по време на дълги работни сесии или продължителна техническа поддръжка.
Сравнение с алтернативи: AnyViewer, Splashtop, TSplus, RDS-Tools…
Когато нуждите надвишават това, което предлага CRD, много хора обмислят избора на по-всеобхватни инструменти. AnyViewer е една от безплатните и платените алтернативи, която включва най-модерните функции., като например прехвърляне на файлове чрез плъзгане и пускане, поддръжка за множество отдалечени сесии, незабавен чат в рамките на сесията и динамично превключване на резолюцията въз основа на честотната лента.
AnyViewer също така дава приоритет на сигурността, прилагайки 256-битово криптиране от край до край, двуетапно удостоверяване за акаунти и чести актуализации за отстраняване на уязвимости. Професионалните и корпоративните му планове ви позволяват да присвоите повече устройства към един и същ акаунт, да управлявате потребителски роли и разрешения, да наблюдавате множество екрани с „екранни стени“ и да прехвърляте големи обеми данни с висока скорост.
Splashtop, от своя страна, се е утвърдил като алтернатива, фокусирана върху бизнеса, MSP доставчиците и екипите за ИТ поддръжкаПредлага специфични продукти за професионален отдалечен достъп, поддръжка без наблюдение, бюро за помощ и управление на парк от устройства, с функции като запис на сесии, отдалечен печат, интеграция с корпоративни директории и централизирани панели за администриране.
В екосистемата от услуги, базирани на RDP и RDS, решения като TSplus Advanced Security и RDS-Tools Те добавят слоеве на сигурност и контрол към съществуващите инфраструктури за отдалечен работен плот на Windows. Функциите включват защита чрез груба сила, ограничения за геолокация, подробен одит, регистриране на сесии, конфигурируеми предупреждения и наблюдение на производителността на сървъра.
Тези платформи обикновено включват и опции за постоянни сесии, по-голяма персонализация и интеграция с други корпоративни системикакто и споразумения за ниво на обслужване (SLA) и специализирана техническа поддръжка. Те са по-скъпи от Chrome Remote Desktop, но са много по-подходящи за организации, които изискват съответствие с регулаторните изисквания, висока достъпност и мащабируемост.
Физическа сигурност, мрежова сигурност и мерки против фишинг
Защитата на отдалечена сесия зависи не само от софтуера, но и от това какво се случва около компютъра. Физическата сигурност е ключоваЗаключвайте сесията, когато отсъствате, използвайте биометрично удостоверяване или карти за влизане в хоста, предотвратявайте директен достъп на всеки до клавиатурата и мишката на компютъра, който споделяте.
Успоредно с това е важно да се работи върху осведоменост срещу фишинг и отвличане на сесииОбучението на потребителите да разпознават фалшиви имейли, подозрителни връзки или неподходящи заявки за идентификационни данни драстично намалява риска те неволно да предадат данните си.
На мрежово ниво много компании комбинират Chrome Remote Desktop с Правилно конфигурирани VPN мрежи, сегментиране на мрежата и редовни одити за сигурностТова включва преглед на правилата на защитната стена, откриване на несигурни точки за достъп до WiFi и наблюдение за аномално поведение на трафика.
Конфигуриране на известия за повтарящи се опити за влизане, връзки от необичайни места или нетипични модели на употреба Това помага за откриването на инциденти в ранните им етапи. В напреднали среди тази информация се интегрира в системи за мониторинг и SIEM за криминалистичен анализ и съответствие.
Всички тези елементи – криптиране, удостоверяване, физическа сигурност, обучение на потребителите и мрежови контроли – се допълват взаимно, за да изградят дълбока защита около сесиите ви за отдалечен работен плот, независимо дали използвате Chrome Remote Desktop или друг инструмент.
Chrome Remote Desktop предлага много привлекателен баланс между простота, цена (безплатен е) и сравнително високо ниво на сигурност благодарение на TLS/AES криптиране и поддръжка на 2FA чрез Google акаунт.Пълната му зависимост от екосистемата на Google, липсата на разширени функции (интегриран чат, многосесиен режим, централизирано управление, подробни разрешения, подробни регистрационни файлове) и някои проблеми със съвместимостта на защитните стени означават, че в взискателни професионални среди си струва да се обмислят алтернативи като AnyViewer, Splashtop или RDP-базирани решения, подсилени с TSplus или RDS-Tools. За домашен потребител или малък екип обаче, чрез комбиниране на добра хигиена на паролите, двуетапно потвърждаване, силен ПИН код, актуални актуализации, подходящи настройки на защитната стена/VPN и, ако е необходимо, режим „завеса“, CRD може да бъде напълно валиден и доста сигурен инструмент за дистанционна работа от всяко място.