دسترسی از راه دور بدون نصب نرم‌افزار: دسترسی به ویندوز مبتنی بر مرورگر

معرفی

دسترسی از راه دور بدون نصب نرم‌افزار هدفی عملی برای کارهای ترکیبی، پیمانکاران و کاربران BYOD است. کلید این است که تمام نرم‌افزارها را از معماری حذف نکنید؛ بلکه باید استقرار کلاینت را از نقطه پایانی حذف کنید. با یک پورتال دسترسی از راه دور HTML5، کاربران یک جلسه مرورگر امن را برای دسترسی به برنامه‌های ویندوز یا دسکتاپ‌های منتشر شده باز می‌کنند.

دسترسی از راه دور بدون نصب نرم‌افزار به چه معناست؟

دسترسی از راه دور بدون نصب نرم‌افزار به این معنا نیست که هیچ نرم‌افزاری در هیچ‌جا وجود ندارد. دسترسی از راه دور هنوز به واسطه‌گری جلسه، احراز هویت، انتقال نمایش، رمزنگاری و کنترل دسترسی نیاز دارد. سوال واقعی این است که آن نرم‌افزار کجا اجرا می‌شود.

در یک سنتی پروتکل دسکتاپ از راه دور (RDP) استقرار، هر نقطه پایانی ممکن است به یک کلاینت RDP بومی، یک کلاینت VPN، یک ابزار پشتیبانی از راه دور یا یک لانچر سفارشی نیاز داشته باشد. این مدل زمانی که کاربران از لپ‌تاپ‌های غیرمدیریتی، دستگاه‌های شخصی، تبلت‌ها یا ماشین‌های قفل‌شده متصل می‌شوند، اصطکاک ایجاد می‌کند.

در یک مدل مبتنی بر مرورگر، پشته دسترسی از راه دور متمرکز است. کاربر یک URL امن را باز می‌کند، وارد می‌شود و یک برنامه ویندوز یا دسکتاپ را درون مرورگر راه‌اندازی می‌کند. مایکروسافت لِرن توصیف می‌کند که کلاینت وب دسکتاپ ریموت به عنوان روشی برای دسترسی به برنامه‌ها و دسکتاپ‌های از راه دور منتشر شده توسط مدیر از طریق یک مرورگر سازگار.

برای تیم‌های IT، تعریف عملی واضح است: هیچ کلاینت دسترسی از راه دوری بر روی نقطه پایانی کاربر مستقر نیست.

چرا تیم‌های IT دسترسی از راه دور بدون کلاینت را انتخاب می‌کنند؟

دسترسی از راه دور بدون نیاز به کلاینت بیش از یک مشکل راحتی کاربر را حل می‌کند. این امر وابستگی به نقاط پایانی را کاهش می‌دهد، فرآیند ورود را ساده‌تر می‌کند و به مدیران راهی کنترل‌شده‌تر برای انتشار منابع ویندوز می‌دهد.

اولین مزیت انعطاف‌پذیری دستگاه است. کاربران می‌توانند از ویندوز، macOS، لینوکس، ChromeOS یا تبلت‌ها متصل شوند زمانی که مرورگر و سیاست دسترسی پشتیبانی می‌شوند. این برای پیمانکاران، شرکای خارجی، کارکنان موقت و محیط‌های دستگاه شخصی مفید است.

مزیت دوم کاهش بار پشتیبانی است. مشتریان بومی باعث ایجاد انحراف نسخه، مشکلات سازگاری سیستم عامل، مشکلات فایروال محلی، به‌روزرسانی‌های ناموفق و خطاهای پیکربندی می‌شوند. یک پورتال مرورگر به کاربران یک مسیر دسترسی قابل پیش‌بینی می‌دهد.

سومین مزیت طراحی امنیت است. به جای قرار دادن نقاط پایانی بدون مدیریت در شبکه داخلی از طریق دسترسی گسترده VPN، تیم‌های IT می‌توانند فقط برنامه‌ها یا دسکتاپ‌هایی را که کاربران نیاز دارند منتشر کنند. NIST SP 800-46 Rev. 2 دسترسی از راه دور، دورکاری و BYOD را به عنوان حوزه‌های حساس به امنیت که نیاز به سیاست‌ها و کنترل‌های فنی تعریف‌شده دارند، چارچوب‌بندی کنید.

روش‌های اصلی برای دسترسی به ویندوز به‌طور از راه دور بدون نصب کلاینت

چندین فناوری می‌توانند کار نصب محلی را کاهش دهند، اما آنها همان مشکل را حل نمی‌کنند. گزینه مناسب بستگی به این دارد که آیا سازمان به مدیریت، پشتیبانی کمک‌دسک یا دسترسی مکرر به برنامه‌های تجاری نیاز دارد.

روش	بهترین برای	نصب کاربر نهایی	محدودیت اصلی
اتصال دسکتاپ از راه دور بومی	دسترسی مدیر از رایانه‌های ویندوز مدیریت‌شده	معمولاً هیچ‌کدام در ویندوز	برای نقاط پایانی بدون مدیریت یا انتشار برنامه ایده‌آل نیست
کلاینت وب دسکتاپ ریموت	دسترسی مرورگر به برنامه‌ها و دسکتاپ‌های RDS	هیچ کلاینت RDP محلی	نیاز به برنامه‌ریزی و زیرساخت RDS دارد
کمک سریع	جلسات پشتیبانی موردی	ممکن است نیاز به نصب از فروشگاه مایکروسافت داشته باشد	برای تحویل روزانه برنامه طراحی نشده است
ابزارهای افزونه مرورگر	کنترل از راه دور شخصی یا سبک	اغلب به گسترش یا عامل میزبان نیاز دارد	تناسب ضعیف برای کنترل متمرکز IT
پورتال دسترسی از راه دور HTML5	دسترسی تجاری به برنامه‌ها و دسکتاپ‌های ویندوز	هیچ استقرار کلاینت نقطه پایانی	نیاز به راه‌اندازی دروازه سمت سرور دارد

این مقایسه نشان می‌دهد که چرا "بدون دانلود" کافی نیست. تیم‌های IT باید معماری را ارزیابی کنند، نه تنها روش دسترسی کاربر.

اتصال دسکتاپ از راه دور بومی

ویندوز شامل کلاینت بومی اتصال دسکتاپ از راه دور است که به طور معمول به عنوان mstsc.exe شناخته می‌شود. این برنامه برای مدیران، تیم‌های پشتیبانی داخلی و محیط‌های کنترل شده ویندوز مفید باقی می‌ماند.

با این حال، RDP بومی به طور کامل مشکل دسترسی بدون کلاینت را حل نمی‌کند. دسترسی خارجی اغلب به VPN، RD Gateway یا برنامه‌ریزی فایروال نیاز دارد. انتشار برنامه‌های فردی نیز پیچیده‌تر از ارائه یک دسکتاپ کامل به کاربران است.

RDP بومی یک ابزار مدیریت معتبر است، اما همانند یک استراتژی تحویل برنامه مبتنی بر مرورگر نیست. این ابزار بهترین عملکرد را زمانی دارد که دستگاه‌ها، شبکه‌ها و کاربران قبلاً توسط IT مدیریت شده باشند.

کلاینت وب دسکتاپ ریموت

[The] [ترجمه] کلاینت وب دسکتاپ ریموت دسترسی به تجربه را به مرورگر منتقل می‌کند. کاربران می‌توانند یک پورتال باز کرده و برنامه‌ها یا دسکتاپ‌های از راه دوری را که یک مدیر منتشر کرده است، راه‌اندازی کنند. مستندات مایکروسافت بیان می‌کند که پس از راه‌اندازی، کاربران به URL کلاینت، اعتبارنامه‌های خود و یک مرورگر پشتیبانی‌شده نیاز دارند.

این مدل به آنچه بسیاری از کسب‌وکارها نیاز دارند نزدیک‌تر است. برنامه ویندوز یا دسکتاپ هنوز بر روی زیرساخت مرکزی اجرا می‌شود، در حالی که مرورگر به لایه دسترسی تبدیل می‌شود.

معامله به پیچیدگی زیرساخت مربوط می‌شود. استقرارهای خدمات دسکتاپ از راه دور مایکروسافت هنوز نیاز به کار دقیق در مورد گواهی‌ها، دروازه RD، دسترسی وب RD، کارگزار اتصال RD، مجوزها، احراز هویت، سازگاری مرورگر و ظرفیت میزبان جلسه دارند.

ابزارهای کمک سریع و پشتیبانی از راه دور

Quick Assist برای پشتیبانی طراحی شده است، نه برای ارائه برنامه. مایکروسافت Quick Assist را به عنوان روشی برای کارکنان پشتیبانی توصیف می‌کند تا صفحه نمایش یک کاربر را مشاهده کنند، آن را یادداشت کنند یا در طول یک جلسه عیب‌یابی درخواست کنترل کامل کنند.

این مورد استفاده با دسترسی روزانه به برنامه‌های ویندوز میزبانی شده متفاوت است. Quick Assist به یک کمک‌کننده، یک کاربر و یک جلسه پشتیبانی تعاملی وابسته است. این یک پورتال متمرکز برای انتشار برنامه‌های تجاری به بسیاری از کاربران نیست.

مستندات پشتیبانی مایکروسافت همچنین توضیح می‌دهد که ممکن است نیاز باشد Quick Assist از فروشگاه مایکروسافت نصب شود و دستگاه‌های مدیریت‌شده ممکن است آن نصب را به‌طور سیاستی مسدود کنند.

ابزارهای کنترل از راه دور مصرف‌کننده و افزونه مرورگر

برخی از محصولات کنترل از راه دور دسترسی بدون دانلود را تبلیغ می‌کنند، اما بسیاری هنوز به افزونه‌های مرورگر، برنامه‌های کمکی، عامل‌های میزبان یا خدمات رله مبتنی بر حساب وابسته هستند. این ممکن است برای استفاده شخصی یا عیب‌یابی گاه به گاه قابل قبول باشد.

برای استفاده تجاری، تیم‌های IT به پاسخ‌های قوی‌تری نیاز دارند. مدیران باید تأیید کنند که آیا دسترسی می‌تواند به‌طور مرکزی لغو شود، آیا گزارش‌ها در دسترس هستند، آیا احراز هویت چندعاملی می‌تواند اعمال شود و آیا می‌توان کاربران را به برنامه‌های خاص محدود کرد به جای اینکه به ماشین‌های کامل دسترسی داشته باشند.

یک افزونه مرورگر همانند یک پورتال دسترسی از راه دور HTML5 نیست. اگر هدف کاهش استقرار نقطه پایانی و بهبود کنترل باشد، معماری زیرین اهمیت دارد.

پورتال وب دسترسی از راه دور HTML5

یک پورتال وب دسترسی از راه دور HTML5 معمولاً بهترین گزینه برای دسترسی به برنامه‌های تجاری است. IT برنامه‌های ویندوز یا دسکتاپ‌های کامل را از میزبان‌های متمرکز منتشر می‌کند و کاربران از طریق یک پورتال مرورگر امن متصل می‌شوند.

این نقطه پایانی به یک کلاینت بومی RDP نیاز ندارد. جلسه از راه دور از طریق فناوری‌های وب ارائه می‌شود، در حالی که برنامه در سمت سرور می‌ماند.

این مدل به ویژه برای مفید است برنامه‌های کاربردی ویندوز قدیمی که نمی‌توان به عنوان برنامه‌های SaaS بازنویسی کرد. به جای نصب برنامه بر روی هر نقطه پایانی، IT آن را به صورت مرکزی میزبانی کرده و از طریق مرورگر ارائه می‌دهد.

چرا یک پورتال دسترسی از راه دور HTML5 برای استفاده تجاری مناسب است؟

یک پورتال دسترسی از راه دور HTML5 نقطه پایانی را از زمان اجرای برنامه جدا می‌کند. دستگاه کاربر به یک نمایشگر، صفحه کلید و رابط ماوس تبدیل می‌شود، در حالی که بار کاری ویندوز تحت کنترل IT باقی می‌ماند.

این رویکرد به مدیران چندین مزیت عملی می‌دهد:

• انتشار متمرکز برنامه
• دسترسی مبتنی بر مرورگر از دستگاه‌های پشتیبانی شده
• کاهش وابستگی به کلاینت‌های VPN
• دسترسی مداوم از طریق یک URL واحد
• ورود آسان‌تر برای پیمانکاران و کاربران BYOD
• احراز هویت متمرکز و کنترل جلسه
• کاهش عیب‌یابی محلی در نقاط پایانی بدون مدیریت

نتیجه یک مدل عملیاتی تمیزتر است. IT منبع را منتشر می‌کند، نه کل شبکه داخلی.

الزامات امنیتی برای دسترسی از راه دور مبتنی بر مرورگر

دسترسی بدون کلاینت به طور خودکار به معنای دسترسی امن نیست. این فقط جایی را که دسترسی مدیریت می‌شود تغییر می‌دهد. تیم‌های IT هنوز باید هویت، حمل و نقل، نمایش جلسه و کنترل اداری را ایمن کنند.

اولاً، هر پورتال مرورگری باید از HTTPS با گواهی‌های معتبر استفاده کند. کاربران هرگز نباید آموزش ببینند که هشدارهای امنیتی مرورگر را نادیده بگیرند، زیرا این رفتار مدل اعتماد را تضعیف می‌کند.

دوم، سازمان‌ها باید از قرار دادن RDP خام به‌طور مستقیم در معرض اینترنت خودداری کنند. CISA هشدار داده است که RDP یک وکتور عفونت رایج با باج‌افزار است و احراز هویت چندعاملی برای کاهش ریسک دسترسی مخرب حیاتی است.

سوم، مدیران باید احراز هویت قوی را اعمال کنند. برای محیط‌های تولید، احراز هویت چندعاملی، سیاست‌های قفل حساب و دسترسی حداقلی باید الزامات پایه باشند.

چهارم، تیم‌های IT باید فقط آنچه را که کاربران نیاز دارند منتشر کنند. بسیاری از کاربران به یک برنامه ویندوز نیاز دارند، نه یک دسکتاپ کامل از راه دور. انتشار برنامه می‌تواند در معرض خطر را کاهش دهد و استفاده از جلسه را آسان‌تر کند.

در نهایت، دسترسی متمرکز باید گزارش‌های مفیدی تولید کند. رویدادهای ورود، فعالیت‌های جلسه، تغییرات مدیریتی و تلاش‌های ناموفق برای احراز هویت باید برای بررسی و تحقیق قابل مشاهده باشند.

زمانی که دسترسی از راه دور مبتنی بر مرورگر مناسب است؟

مبتنی بر مرورگر دسترسی از راه دور زمانی که سازمان‌ها به دسترسی مکرر به برنامه‌های ویندوز بدون نصب نرم‌افزار بر روی دستگاه‌های کاربر نیاز دارند، این گزینه مناسب است.

موارد استفاده معمول شامل:

• پیمانکارانی که به دسترسی محدود به برنامه‌های داخلی نیاز دارند
• کاربران BYOD که نباید کلاینت‌های شرکتی را نصب کنند
• کارکنان از راه دور که در سیستم‌های عامل مختلف کار می‌کنند
• شرکای خارجی که به یک برنامه میزبانی شده دسترسی نیاز دارند
• دفاتر شعبه با کلاینت‌های نازک یا دستگاه‌های قفل‌شده
• برنامه‌های ویندوز قدیمی که به تحویل مبتنی بر وب نیاز دارند
• تیم‌های IT در تلاش برای کاهش بلیط‌های پشتیبانی VPN و RDP

این مدل برای هر بار کاری کمتر مناسب است. برنامه‌های گرافیکی سنگین، هدایت USB پیشرفته، چندرسانه‌ای با تأخیر کم و ادغام عمیق دستگاه محلی ممکن است هنوز به یک کلاینت بومی یا یک پلتفرم مجازی‌سازی تخصصی نیاز داشته باشند.

چک لیست پیاده‌سازی برای تیم‌های IT

قبل از استقرار دسترسی از راه دور مبتنی بر مرورگر، تیم‌های IT باید مدل عملیاتی را تعریف کنند. اولین تصمیم این است که آیا کاربران به دسکتاپ‌های کامل، برنامه‌های فردی یا هر دو نیاز دارند. انتشار برنامه معمولاً ایمن‌تر و پشتیبانی از آن آسان‌تر از ارائه یک دسکتاپ کامل به هر کاربر است.

سپس هویت و کنترل دسترسی را تعریف کنید. تأیید کنید که آیا کاربران با Active Directory، حساب‌های محلی ویندوز، ورود یکپارچه، احراز هویت چندعاملی یا ارائه‌دهنده هویت دیگری تأیید هویت خواهند کرد.

سپس نمای شبکه را بررسی کنید. تصمیم بگیرید که پورتال وب کجا قرار خواهد گرفت، چگونه HTTPS خاتمه خواهد یافت، کدام پورت‌ها باید در معرض قرار گیرند و آیا لایه معکوس پروکسی یا دروازه مورد نیاز است.

اعتبارسنجی برنامه نیز مهم است. برخی از برنامه‌های ویندوز در جلسات چندکاربره به‌طور متفاوتی عمل می‌کنند، به‌ویژه اگر برای نصب دسکتاپ تک‌کاربره طراحی شده باشند.

در نهایت، نقاط پایانی واقعی را آزمایش کنید. دسترسی را از ویندوز، macOS، لینوکس، تبلت‌ها و دستگاه‌های قفل شده که با محیط کاربر مطابقت دارند، تأیید کنید.

اشتباهات رایج که باید از آنها پرهیز کرد

اولین اشتباه این است که فرض کنیم "بدون دانلود" به معنای "بدون زیرساخت" است. دسترسی از راه دور مبتنی بر مرورگر پیچیدگی نقطه پایانی را کاهش می‌دهد، اما پلتفرم سمت سرور هنوز نیاز به ایمن‌سازی، وصله‌گذاری، نظارت و پشتیبان‌گیری دارد.

دومین اشتباه استفاده از ابزارهای پشتیبانی از راه دور برای ارائه برنامه است. یک ابزار به اشتراک‌گذاری صفحه کمک‌پشتیبانی یک پلتفرم انتشار برای برنامه‌های تجاری نیست.

سومین اشتباه این است که به هر کاربر یک دسکتاپ کامل داده می‌شود در حالی که آنها فقط به یک برنامه نیاز دارند. دسکتاپ‌های کامل گاهی لازم هستند، اما برنامه‌های منتشر شده می‌توانند ریسک را کاهش دهند و قابلیت استفاده را بهبود بخشند.

آخرین اشتباه نادیده گرفتن سفر کاربر است. کاربران به یک URL پورتال واضح، احراز هویت قابل اعتماد، آیکون‌های برنامه واضح و رفتار پیش‌بینی‌پذیر جلسه نیاز دارند.

چگونه TSplus Remote Access کمک می‌کند؟

TSplus دسترسی از راه دور برای سازمان‌هایی که به دسترسی مبتنی بر مرورگر به برنامه‌ها و دسکتاپ‌های ویندوز نیاز دارند، بدون اینکه یک کلاینت کامل دسکتاپ از راه دور را به هر نقطه پایانی کاربر مستقر کنند، طراحی شده است. راه‌حل ما دسترسی به برنامه‌های متمرکز ویندوز را بر روی یک دسکتاپ کامل از راه دور فراهم می‌کند، با پشتیبانی از HTML5 و کلاینت‌های سازگار با RDP.

با TSplus، مدیران می‌توانند برنامه‌ها را منتشر کرده و آن‌ها را به کاربران یا گروه‌های خاص اختصاص دهند. مستندات TSplus انتشار برنامه را به عنوان روشی برای کنترل اینکه کدام برنامه‌ها برای کاربران قابل دسترسی هستند و چگونه آن برنامه‌ها راه‌اندازی می‌شوند، توصیف می‌کند.

برای کسب‌وکارهای کوچک و متوسط، ارائه‌دهندگان خدمات مدیریت و تیم‌های IT چابک، ارزش در سادگی عملیاتی است. کاربران به یک پورتال وب امن دسترسی پیدا می‌کنند، برنامه‌های اختصاص‌یافته به خود را راه‌اندازی می‌کنند و از یک مرورگر کار می‌کنند، در حالی که IT برنامه‌های ویندوز را متمرکز نگه می‌دارد.

نتیجه

دسترسی از راه دور بدون نصب نرم‌افزار به بهترین شکل به عنوان عدم استقرار کلاینت نقطه پایانی درک می‌شود، نه به عنوان زیرساخت بدون نرم‌افزار. برای محیط‌های تجاری، مسیر عملی یک پورتال دسترسی از راه دور HTML5 است که به کاربران اجازه می‌دهد تا از طریق یک مرورگر به برنامه‌های ویندوز منتشر شده یا دسکتاپ‌های کامل دسترسی پیدا کنند در حالی که IT احراز هویت، انتشار برنامه، کنترل جلسه و سیاست امنیتی را متمرکز می‌کند.