Достъп до отдалечен компютър без инсталиране на софтуер: Достъп до Windows чрез браузър

Въведение

Достъп до отдалечен компютър без инсталиране на софтуер е практическа цел за хибридна работа, наематели и потребители на BYOD. Ключът не е в премахването на целия софтуер от архитектурата; а в премахването на внедряването на клиента от крайното устройство. С HTML5 портал за отдалечен достъп потребителите отварят сигурна сесия на браузъра, за да достигнат публикувани Windows приложения или работни станции.

Какво означава Remote Access без инсталиране на софтуер?

Дистанционният достъп без инсталиране на софтуер не означава, че никъде няма софтуер. Дистанционният достъп все още изисква посредничество на сесии, удостоверяване, транспорт на дисплея, криптиране и контрол на достъпа. Истинският въпрос е къде работи този софтуер.

В традиционен Протокол за отдалечен работен плот (RDP) разгръщане, всеки крайна точка може да се нуждае от роден RDP клиент, VPN клиент, инструмент за дистанционна поддръжка или персонализиран стартер. Този модел създава триене, когато потребителите се свързват от неуправляеми лаптопи, лични устройства, таблети или заключени машини.

В браузерна основа, стекът за отдалечен достъп е централизирани. Потребителят отваря сигурен URL, влизат и стартира Windows приложение или работен плот в браузъра. Microsoft Learn описва Уеб клиент за отдалечен работен плот като начин за достъп до отдалечени приложения и работни станции, публикувани от администратора, чрез съвместим браузър.

За ИТ екипите практичното определение е ясно: няма клиент за отдалечен достъп, инсталиран на крайния потребител.

Защо ИТ екипите избират безклиентски отдалечен достъп?

Безклиентският отдалечен достъп решава повече от проблема с удобството за потребителя. Той намалява зависимостта от крайни точки, опростява въвеждането и дава на администраторите по-контролиран начин за публикуване на ресурси на Windows.

Първата полза е гъвкавостта на устройствата. Потребителите могат да се свързват от Windows, macOS, Linux, ChromeOS или таблети, когато браузърът и политиката за достъп са поддържани. Това е полезно за изпълнители, външни партньори, временно персонал и среди с лични устройства.

Втората полза е по-ниските разходи за поддръжка. Нативните клиенти въвеждат разминаване на версиите, проблеми с съвместимостта на операционната система, локални проблеми с защитната стена, неуспешни актуализации и грешки в конфигурацията. Порталът в браузъра предоставя на потребителите един предсказуем път за достъп.

Третата полза е дизайн на сигурността. Вместо да поставят неуправляеми крайни точки в вътрешната мрежа чрез широк достъп до VPN, ИТ екипите могат да публикуват само приложенията или работните станции, от които потребителите се нуждаят. NIST SP 800-46 Rev. 2 рамкирайте отдалечения достъп, дистанционната работа и BYOD като области, чувствителни към сигурността, които изискват определени политики и технически контрол.

Основни начини за отдалечен достъп до Windows без инсталиране на клиент

Няколко технологии могат да намалят работата по локалната инсталация, но те не решават същия проблем. Правилният вариант зависи от това дали организацията се нуждае от администриране, поддръжка на помощен център или повторен достъп до бизнес приложения.

Метод	Най-добри за	Инсталация от крайния потребител	Основно ограничение
Нативна връзка с отдалечен работен плот	Администраторски достъп от управлявани Windows PC-та	Обикновено няма на Windows	Не е идеално за неуправляеми крайни точки или публикуване на приложения
Уеб клиент за отдалечен работен плот	Достъп до RDS приложения и работни станции чрез браузър	Няма локален RDP клиент	Изисква планиране и инфраструктура на RDS
Бърза помощ	Сесии за ad hoc поддръжка	Може да изисква инсталиране от Microsoft Store	Не е проектиран за ежедневна доставка на приложения
Инструменти за разширение на браузъра	Личен или лек отдалечен контрол	Често изисква разширение или хост агент	Слабо съответствие за централизирано ИТ управление
HTML5 портал за дистанционен достъп	Достъп до Windows приложения и работни станции за бизнеса	Няма разгръщане на клиент за крайна точка	Изисква настройка на сървърна шлюзова система

Това сравнение показва защо "без изтегляне" не е достатъчно. ИТ екипите трябва да оценят архитектурата, а не само метода за достъп от страна на потребителя.

Нативна връзка с отдалечен работен плот

Windows включва вградения клиент за Remote Desktop Connection, известен като mstsc.exe. Той остава полезен за администратори, вътрешни екипи за поддръжка и контролирани Windows среди.

Въпреки това, родният RDP не решава напълно проблема с достъпа без клиент. Външният достъп често изисква VPN, RD Gateway или планиране на защитна стена. Публикуването на отделни приложения също е по-сложно от предоставянето на пълен работен плот на потребителите.

Нативният RDP е валидно средство за администриране, но не е същото като стратегия за доставка на приложения, базирана на браузър. Работи най-добре, когато устройствата, мрежите и потребителите вече се управляват от ИТ.

Уеб клиент за отдалечен работен плот

The Уеб клиент за отдалечен работен плот премества достъпа в браузъра. Потребителите могат да отворят портал и да стартират отдалечени приложения или работни станции, които администраторът е публикувал. Документацията на Microsoft посочва, че след настройката потребителите се нуждаят от клиентския URL, своите идентификационни данни и поддържан браузър.

Този модел е по-близо до това, от което много бизнеси се нуждаят. Windows приложението или десктопът все още работят на централна инфраструктура, докато браузърът става слой за достъп.

Търговското предимство е сложността на инфраструктурата. Разгърнатите услуги на Microsoft Remote Desktop все още изискват внимателна работа около сертификати, RD Gateway, RD Web Access, RD Connection Broker, лицензиране, удостоверяване, съвместимост на браузъра и капацитет на хостовете на сесии.

Бърза помощ и инструменти за дистанционна поддръжка

Quick Assist е създаден за поддръжка, а не за доставка на приложения. Microsoft описва Quick Assist като начин за служителите по поддръжка да виждат екрана на потребителя, да го анотират или да искат пълен контрол по време на сесия за отстраняване на проблеми.

Този случай на употреба е различен от ежедневния достъп до хоствани Windows приложения. Quick Assist зависи от помощник, потребител и интерактивна сесия за поддръжка. Това не е централен портал за публикуване на бизнес приложения за много потребители.

Документацията за поддръжка на Microsoft също обяснява, че Quick Assist може да се наложи да бъде инсталиран от Microsoft Store, а управляваните устройства може да блокират тази инсталация по политика.

Разширение за браузър и инструменти за дистанционно управление на потребители

Някои продукти за дистанционно управление рекламират достъп без изтегляне, но много от тях все още разчитат на разширения за браузъри, помощни приложения, хост агенти или услуги за предаване, базирани на акаунти. Това може да е приемливо за лична употреба или случайно отстраняване на проблеми.

За бизнес употреба ИТ екипите се нуждаят от по-силни отговори. Администраторите трябва да проверят дали достъпът може да бъде централизирано отнет, дали логовете са налични, дали многофакторната автентикация може да бъде наложена и дали потребителите могат да бъдат ограничени до конкретни приложения вместо до цели машини.

Разширение за браузър не е същото като HTML5 портал за отдалечен достъп. Ако целта е да се намали внедряването на крайни точки и да се подобри контролът, основната архитектура има значение.

HTML5 уеб портал за отдалечен достъп

HTML5 уеб портал за отдалечен достъп обикновено е най-подходящ за достъп до бизнес приложения. IT публикува Windows приложения или пълни работни настолни компютри от централизирани хостове, а потребителите се свързват чрез сигурен браузър портал.

Крайната точка не се нуждае от роден RDP клиент. Отдалечената сесия се предоставя чрез уеб технологии, докато приложението остава хоствано на сървърната страна.

Този модел е особено полезен за наследени Windows приложения което не може да бъде пренаписано като SaaS приложения. Вместо да инсталира приложението на всяка крайна точка, ИТ го хоства централно и го предоставя чрез браузъра.

Защо HTML5 портал за отдалечен достъп е подходящ за бизнес употреба?

HTML5 портал за отдалечен достъп отделя крайното устройство от изпълнението на приложението. Устройството на потребителя става интерфейс за дисплей, клавиатура и мишка, докато работното натоварване на Windows остава под контрол на ИТ.

Този подход предоставя на администраторите няколко практически предимства:

• Централизирано публикуване на приложения
• Достъп през браузър от поддържани устройства
• Намалена зависимост от VPN клиенти
• Постоянен достъп чрез единен URL
• По-лесно въвеждане за изпълнители и потребители на BYOD
• Централизирана автентикация и контрол на сесиите
• По-малко локално отстраняване на проблеми на неуправляеми крайни точки

Резултатът е по-чист оперативен модел. ИТ публикува ресурса, а не цялата вътрешна мрежа.

Изисквания за сигурност за браузър-базирано отдалечено достъпване

Достъпът без клиент не означава автоматично сигурен достъп. Той само променя мястото, където се управлява достъпът. ИТ екипите все още трябва да осигурят идентичност, транспорт, експозиция на сесията и административен контрол.

Първо, всеки браузърски портал трябва да използва HTTPS с валидни сертификати. Потребителите никога не трябва да бъдат обучавани да заобикалят предупрежденията за сигурност на браузъра, тъй като това поведение отслабва модела на доверие.

Второ, организациите трябва да избягват да излагат суров RDP директно в интернет. CISA е предупредила, че RDP е често срещан вектор за инфекция с ransomware и че многофакторната автентикация е критична за намаляване на риска от злонамерен достъп.

Трето, администраторите трябва да прилагат силна автентикация. За производствени среди, многофакторната автентикация, политиките за заключване на акаунти и достъпът с най-малко привилегии трябва да бъдат основни изисквания.

Четвърто, ИТ екипите трябва да публикуват само това, от което потребителите се нуждаят. Много потребители изискват едно Windows приложение, а не пълен отдалечен работен плот. Публикуването на приложения може да намали експозицията и да направи сесията по-лесна за използване.

Накрая, централизираният достъп трябва да генерира полезни журнали. Събитията за вход, активността на сесиите, административните промени и неуспешните опити за удостоверяване трябва да бъдат видими за одит и разследване.

Кога браузър-базираният Remote Access е подходящ?

Базиран на браузър дистанционен достъп е подходящо, когато организациите се нуждаят от повтарящ се достъп до Windows приложения без инсталиране на софтуер на потребителските устройства.

Типичните случаи на употреба включват:

• Контрактори, които имат нужда от ограничен достъп до вътрешни приложения
• Потребители на BYOD, които не трябва да инсталират корпоративни клиенти
• Персонал, работещ на различни операционни системи
• Външни партньори, които се нуждаят от достъп до едно хоствано приложение
• Клонови офиси с тънки клиенти или заключени устройства
• Наследствени Windows приложения, които изискват уеб-базирана доставка
• ИТ екипи, опитващи се да намалят билетите за поддръжка на VPN и RDP клиенти

Този модел е по-малко подходящ за всяко натоварване. Приложения с интензивна графика, усъвършенствана USB пренасочване, мултимедия с ниска латентност и дълбока интеграция с локални устройства все още могат да изискват роден клиент или специализирана виртуализационна платформа.

Списък за изпълнение за ИТ екипи

Преди да внедрят браузър-базирано отдалечено достъп, ИТ екипите трябва да определят оперативния модел. Първото решение е дали потребителите се нуждаят от пълни работни станции, индивидуални приложения или и двете. Публикуването на приложения често е по-безопасно и по-лесно за поддръжка, отколкото да се предостави на всеки потребител пълна работна станция.

След това определете идентичността и контрола на достъпа. Потвърдете дали потребителите ще се удостоверяват с Active Directory, локални Windows акаунти, единен вход, многофакторна автентикация или друг доставчик на идентичност.

След това прегледайте мрежовото излагане. Решете къде ще се намира уеб портала, как ще бъде прекратен HTTPS, кои портове трябва да бъдат изложени и дали е необходим обратен прокси или слой на шлюз.

Валидирането на приложенията също е важно. Някои Windows приложения се държат различно в многопотребителски сесии, особено ако са проектирани за инсталация на един потребител на работен плот.

Накрая, тествайте реални крайни точки. Валидирайте достъпа от Windows, macOS, Linux, таблети и заключени устройства, които съответстват на потребителската среда.

Чести грешки, които да се избягват

Първата грешка е да се предполага, че „без изтегляне“ означава „без инфраструктура“. Достъпът до отдалечени ресурси, базиран на браузър, намалява сложността на крайните точки, но платформата на сървъра все още трябва да бъде защитена, актуализирана, наблюдавана и архивирана.

Втората грешка е използването на инструменти за дистанционна поддръжка за доставка на приложения. Инструмент за споделяне на екрана на помощния център не е платформа за публикуване на бизнес приложения.

Третата грешка е да се предостави на всеки потребител пълен работен плот, когато те се нуждаят само от едно приложение. Пълните работни плотове понякога са необходими, но публикуваните приложения могат да намалят риска и да подобрят удобството при ползване.

Последната грешка е игнорирането на потребителското пътуване. Потребителите се нуждаят от ясен URL на портала, надеждна автентикация, очевидни икони на приложенията и предсказуемо поведение на сесиите.

Как TSplus Remote Access помага?

TSplus Remote Access е проектиран за организации, които се нуждаят от достъп до Windows приложения и работни станции чрез браузър, без да разполагат с пълен клиент за отдалечен работен плот на всяка крайна точка на потребителя. Нашето решение предоставя достъп до централизирани Windows приложения на пълен отдалечен работен плот, с поддръжка за HTML5 и RDP-съвместими клиенти.

С TSplus администраторите могат да публикуват приложения и да ги назначават на конкретни потребители или групи. Документацията на TSplus описва публикуването на приложения като начин за контролиране на това, до кои приложения имат достъп потребителите и как тези приложения се стартират.

За малки и средни предприятия, доставчици на управляеми услуги и екипи с ограничени ресурси, стойността е оперативна простота. Потребителите имат достъп до сигурен уеб портал, стартират приложенията, които са им назначени, и работят от браузър, докато ИТ поддържа централизирани Windows приложения.

Заключение

Достъпът отдалеч без инсталиране на софтуер най-добре се разбира като липса на внедряване на клиент на крайна точка, а не като инфраструктура без софтуер. За бизнес среди практичният път е HTML5 портал за отдалечен достъп, който позволява на потребителите да получават достъп до публикувани Windows приложения или пълни работни настолни компютри от браузър, докато ИТ централизират удостоверяване, публикуване на приложения, контрол на сесиите и политика за сигурност.