Pristup bez instalacije softvera: Pristup Windowsu putem preglednika

Uvod

Daljinski pristup bez instalacije softvera praktičan je cilj za hibridni rad, izvođače i korisnike BYOD-a. Ključ nije uklanjanje cijelog softvera iz arhitekture; radi se o uklanjanju klijentske implementacije s krajnje točke. Uz HTML5 portal za daljinski pristup, korisnici otvaraju sigurnu sesiju preglednika kako bi došli do objavljenih Windows aplikacija ili radnih površina.

Što znači Remote Access bez instalacije softvera?

Remote pristup bez instalacije softvera ne znači da softver nigdje ne postoji. Remote pristup i dalje zahtijeva posredovanje sesija, autentifikaciju, prijenos prikaza, enkripciju i kontrolu pristupa. Pravo pitanje je gdje taj softver radi.

U tradicionalnom Protokol udaljenog radnog stola (RDP) implementacija, svaki krajnji uređaj može trebati izvorni RDP klijent, VPN klijent, alat za daljinsku podršku ili prilagođeni pokretač. Taj model stvara trenje kada se korisnici povezuju s neuređenim prijenosnim računalima, osobnim uređajima, tabletima ili zaključanim strojevima.

U modelu temeljenom na pregledniku, skup udaljenog pristupa je centraliziran. Korisnik otvara sigurnu URL adresu, prijavljuje se i pokreće Windows aplikaciju ili radnu površinu unutar preglednika. Microsoft Learn opisuje to Web klijent za daljinski rad kao način za pristup aplikacijama i radnim površinama koje je objavio administrator putem kompatibilnog preglednika.

Za IT timove, praktična definicija je jasna: nijedan klijent za daljinski pristup nije instaliran na korisničkom kraju.

Zašto IT timovi biraju pristup bez klijenta?

Klijentless udaljeni pristup rješava više od problema s korisničkom udobnošću. Smanjuje ovisnost o krajnjim točkama, pojednostavljuje uvođenje i daje administratorima kontroliraniji način za objavljivanje Windows resursa.

Prva prednost je fleksibilnost uređaja. Korisnici se mogu povezati s Windows, macOS, Linux, ChromeOS ili tabletima kada su preglednik i politika pristupa podržani. Ovo je korisno za izvođače, vanjske partnere, privremeno osoblje i okruženja s vlastitim uređajem.

Druga prednost je niži trošak podrške. Nativni klijenti uvode razlike u verzijama, probleme s kompatibilnošću operativnog sustava, lokalne probleme s vatrozidom, neuspjele nadogradnje i greške u konfiguraciji. Portal preglednika korisnicima pruža jedan predvidljiv put pristupa.

Treća prednost je dizajn sigurnosti. Umjesto da postavljaju neuređene krajnje točke na unutarnju mrežu putem širokog VPN pristupa, IT timovi mogu objaviti samo aplikacije ili radne površine koje korisnici trebaju. NIST SP 800-46 Rev. 2 okviri daljinskog pristupa, telework i BYOD kao sigurnosno osjetljiva područja koja zahtijevaju definirane politike i tehničke kontrole.

Glavni načini za daljinski pristup Windowsu bez instalacije klijenta

Nekoliko tehnologija može smanjiti rad na lokalnoj instalaciji, ali ne rješavaju isti problem. Prava opcija ovisi o tome treba li organizaciji administracija, podrška za pomoć ili ponavljajući pristup poslovnim aplikacijama.

Metoda	Najbolje za	Instalacija krajnjeg korisnika	Glavno ograničenje
Izvorna veza za udaljeni desktop	Administratorski pristup s upravljanih Windows PC-a	Obično nema na Windowsu	Nije idealno za neuređene krajnje točke ili objavljivanje aplikacija
Web klijent za udaljeni desktop	Pristup RDS aplikacijama i radnim površinama putem preglednika	Nema lokalnog RDP klijenta	Zahteva RDS planiranje i infrastrukturu
Brza pomoć	Ad hoc podrška sesije	Možda je potrebna instalacija iz Microsoft Store-a	Nije dizajniran za svakodnevnu isporuku aplikacija
Alati za proširenje preglednika	Osobna ili lagana daljinska kontrola	Često zahtijeva ekstenziju ili agenta domaćina	Slaba prilagodba za centraliziranu IT kontrolu
HTML5 portal za daljinski pristup	Poslovni pristup Windows aplikacijama i radnim površinama	Nema implementacije klijenta na kraju.	Zahteva postavljanje poslužiteljske strane za pristup.

Ova usporedba pokazuje zašto "bez preuzimanja" nije dovoljno. IT timovi trebaju procijeniti arhitekturu, a ne samo metodu pristupa koja je usmjerena na korisnika.

Izvorna veza za udaljeni desktop

Windows uključuje nativnog klijenta za Remote Desktop Connection, poznatog kao mstsc.exe. I dalje je koristan za administratore, interne timove podrške i kontrolirane Windows okruženja.

Međutim, izvorni RDP ne rješava u potpunosti problem pristupa bez klijenta. Vanjski pristup često zahtijeva VPN, RD Gateway ili planiranje vatrozida. Objavljivanje pojedinačnih aplikacija također je složenije od davanja korisnicima punog radnog površine.

Nativni RDP je valjani alat za administraciju, ali nije isto što i strategija isporuke aplikacija temeljena na pregledniku. Najbolje funkcionira kada su uređaji, mreže i korisnici već upravljani od strane IT-a.

Web klijent za udaljeni desktop

The Web klijent za daljinski rad premješta iskustvo pristupa u preglednik. Korisnici mogu otvoriti portal i pokrenuti udaljene aplikacije ili radne površine koje je administrator objavio. Microsoftova dokumentacija navodi da nakon postavljanja, korisnici trebaju URL klijenta, svoje vjerodajnice i podržani preglednik.

Ovaj model je bliži onome što mnogim tvrtkama treba. Windows aplikacija ili radna površina i dalje radi na središnjoj infrastrukturi, dok preglednik postaje sloj pristupa.

Kompenzacija je složenost infrastrukture. Implementacije Microsoft Remote Desktop Services i dalje zahtijevaju pažljiv rad oko certifikata, RD Gateway, RD Web Access, RD Connection Broker, licenciranja, autentifikacije, kompatibilnosti preglednika i kapaciteta hosta sesije.

Brzi asistencija i alati za daljinsku podršku

Quick Assist je izgrađen za podršku, a ne za isporuku aplikacija. Microsoft opisuje Quick Assist kao način za osoblje podrške da vidi korisnikov ekran, označi ga ili zatraži punu kontrolu tijekom sesije rješavanja problema.

Taj slučaj upotrebe razlikuje se od svakodnevnog pristupa hostiranim Windows aplikacijama. Quick Assist ovisi o pomoćniku, korisniku i interaktivnoj sesiji podrške. To nije centralizirani portal za objavljivanje poslovnih aplikacija mnogim korisnicima.

Microsoftova podrška također objašnjava da bi Quick Assist mogao biti potreban za instalaciju iz Microsoft Storea, a upravljani uređaji mogu blokirati tu instalaciju politikom.

Proširenje preglednika i alati za daljinsko upravljanje potrošačima

Neki proizvodi za daljinsko upravljanje oglašavaju pristup bez preuzimanja, ali mnogi se još uvijek oslanjaju na proširenja preglednika, pomoćne aplikacije, agente domaćina ili usluge preusmjeravanja temeljene na računu. To može biti prihvatljivo za osobnu upotrebu ili povremeno rješavanje problema.

Za poslovnu upotrebu, IT timovi trebaju jače odgovore. Administratori bi trebali provjeriti može li se pristup centralno opozvati, jesu li dnevnici dostupni, može li se provesti višefaktorska autentifikacija i mogu li se korisnici ograničiti na određene aplikacije umjesto na cijele strojeve.

Produžetak preglednika nije isto što i HTML5 portal za daljinski pristup. Ako je cilj smanjiti implementaciju krajnjih točaka i poboljšati kontrolu, temeljna arhitektura je važna.

HTML5 Web Portal za daljinski pristup

HTML5 web portal za daljinski pristup obično je najbolje rješenje za pristup poslovnim aplikacijama. IT objavljuje Windows aplikacije ili cijele radne površine s centraliziranih poslužitelja, a korisnici se povezuju putem sigurnog pregledničkog portala.

Krajnja točka ne treba izvorni RDP klijent. Udaljena sesija se isporučuje putem web tehnologija, dok aplikacija ostaje smještena na strani poslužitelja.

Ovaj model je posebno koristan za nasljedne Windows aplikacije koji se ne može prepisati kao SaaS aplikacije. Umjesto instaliranja aplikacije na svaki krajnji uređaj, IT je centralno hostira i isporučuje putem preglednika.

Zašto HTML5 portal za daljinski pristup odgovara poslovnoj upotrebi?

HTML5 portal za daljinski pristup odvaja krajnju točku od izvršavanja aplikacije. Uređaj korisnika postaje sučelje za prikaz, tipkovnicu i miš, dok Windows radno opterećenje ostaje pod kontrolom IT-a.

Taj pristup daje administratorima nekoliko praktičnih prednosti:

• Centralizirano objavljivanje aplikacija
• Pristup putem preglednika s podržanih uređaja
• Smanjena ovisnost o VPN klijentima
• Dosljedan pristup putem jedinstvene URL adrese
• Jednostavnije uvođenje za izvođače i korisnike BYOD
• Centralizirana autentifikacija i kontrola sesija
• Manje lokalnog rješavanja problema na neuređenim krajnjim točkama

Rezultat je čišći operativni model. IT objavljuje resurs, a ne cijelu internu mrežu.

Zahtjevi za sigurnost za pristup na daljinu putem preglednika

Pristup bez klijenta ne znači automatski siguran pristup. Samo mijenja mjesto gdje se upravlja pristupom. IT timovi i dalje moraju osigurati identitet, transport, izloženost sesije i administrativnu kontrolu.

Prvo, svaki preglednik portal treba koristiti HTTPS s valjanim certifikatima. Korisnici nikada ne bi trebali biti obučeni da zaobiđu sigurnosne upozorenja preglednika, jer to ponašanje slabi model povjerenja.

Drugo, organizacije bi trebale izbjegavati izlaganje sirovog RDP-a izravno internetu. CISA je upozorila da je RDP uobičajeni vektor infekcije ransomware-om i da je višefaktorska autentifikacija ključna za smanjenje rizika od zlonamjernog pristupa.

Treće, administratori bi trebali primijeniti jaku autentifikaciju. Za proizvodna okruženja, višefaktorska autentifikacija, politike zaključavanja računa i pristup s najmanjim privilegijama trebali bi biti osnovni zahtjevi.

Četvrto, IT timovi trebaju objaviti samo ono što korisnici trebaju. Mnogi korisnici zahtijevaju jednu Windows aplikaciju, a ne cijeli udaljeni desktop. Objavljivanje aplikacija može smanjiti izloženost i olakšati korištenje sesije.

Na kraju, centralizirani pristup trebao bi proizvoditi korisne zapise. Događaji prijave, aktivnost sesije, administrativne promjene i neuspjeli pokušaji autentifikacije trebali bi biti vidljivi za reviziju i istragu.

Kada je pristup udaljenom radnom stolu putem preglednika pravi izbor?

Na web-pregledniku udaljeni pristup je dobar izbor kada organizacijama treba ponavljajući pristup Windows aplikacijama bez instaliranja softvera na korisničke uređaje.

Tipične upotrebe uključuju:

• Izvođači koji trebaju ograničen pristup internim aplikacijama
• Korisnici BYOD-a koji ne bi trebali instalirati korporativne klijente
• Daljinski zaposlenici koji rade na više operativnih sustava
• Vanjski partneri koji trebaju pristup jednoj hostanoj aplikaciji
• Podružnice s tankim klijentima ili zaključanim uređajima
• Nasljedne Windows aplikacije koje trebaju isporuku putem weba
• IT timovi koji pokušavaju smanjiti podršku za VPN i RDP klijente

Ovaj model je manje prikladan za svaki radni opterećenje. Aplikacije bogate grafikom, napredna USB preusmjeravanja, multimedija s niskom latencijom i duboka lokalna integracija uređaja mogu još uvijek zahtijevati izvorni klijent ili specijaliziranu virtualizacijsku platformu.

Popis za implementaciju za IT timove

Prije implementacije udaljenog pristupa putem preglednika, IT timovi trebaju definirati operativni model. Prva odluka je trebaju li korisnici potpune radne površine, pojedinačne aplikacije ili oboje. Objavljivanje aplikacija često je sigurnije i lakše za podršku nego davanje svakoj korisniku potpune radne površine.

Sljedeće, definirajte identitet i kontrolu pristupa. Potvrdite hoće li se korisnici autentificirati putem Active Directory, lokalnih Windows računa, jedinstvenog prijavljivanja, višefaktorske autentifikacije ili drugog pružatelja identiteta.

Zatim pregledajte izloženost mreže. Odlučite gdje će se web portal nalaziti, kako će HTTPS biti prekinut, koje portove treba izložiti i je li potrebna obrnuta proxy ili sloj pristupne točke.

Validacija aplikacija je također važna. Neke Windows aplikacije se ponašaju drugačije u višekorisničkim sesijama, posebno ako su dizajnirane za instalaciju na jednom korisničkom radnom stolu.

Na kraju, testirajte stvarne krajnje točke. Potvrdite pristup s Windowsa, macOS-a, Linuxa, tableta i zaključanih uređaja koji odgovaraju korisničkom okruženju.

Uobičajene pogreške koje treba izbjegavati

Prva greška je pretpostaviti da "bez preuzimanja" znači "bez infrastrukture." Pristup putem preglednika smanjuje složenost krajnjih točaka, ali platforma na strani poslužitelja i dalje treba biti osigurana, zakrpljena, nadzirana i sigurnosno kopirana.

Druga greška je korištenje alata za daljinsku podršku za isporuku aplikacija. Alat za dijeljenje ekrana na helpdesku nije platforma za objavljivanje poslovnih aplikacija.

Treća greška je davanje svakom korisniku punog radnog prostora kada im je potrebna samo jedna aplikacija. Puni radni prostori su ponekad neophodni, ali objavljene aplikacije mogu smanjiti rizik i poboljšati upotrebljivost.

Zadnja greška je ignoriranje korisničkog putovanja. Korisnicima je potreban jasan URL portala, pouzdana autentifikacija, očite ikone aplikacija i predvidljivo ponašanje sesije.

Kako TSplus Remote Access pomaže?

TSplus Remote Access je namijenjen organizacijama koje trebaju pristup Windows aplikacijama i radnim površinama putem preglednika bez potrebe za instalacijom punog klijenta za udaljenu radnu površinu na svakoj korisničkoj točki. Naše rješenje omogućuje pristup centraliziranim Windows aplikacijama na punoj udaljenoj radnoj površini, uz podršku za HTML5 i RDP-kompatibilne klijente.

S TSplus-om, administratori mogu objavljivati aplikacije i dodjeljivati ih određenim korisnicima ili grupama. TSplus dokumentacija opisuje objavljivanje aplikacija kao način kontrole koje aplikacije korisnici mogu pristupiti i kako se te aplikacije pokreću.

Za SMB-ove, MSP-ove i lean IT timove, vrijednost je operativna jednostavnost. Korisnici pristupaju sigurnom web portalu, pokreću aplikacije koje su im dodijeljene i rade iz preglednika, dok IT zadržava Windows aplikacije centralizirane.

Zaključak

Remote pristup bez instalacije softvera najbolje se razumije kao nepostavljanje klijenta na krajnjoj točki, a ne kao infrastruktura bez softvera. Za poslovna okruženja, praktičan put je HTML5 portal za daljinski pristup koji omogućuje korisnicima pristup objavljenim Windows aplikacijama ili punim radnim površinama iz preglednika dok IT centralizira autentifikaciju, objavljivanje aplikacija, kontrolu sesija i sigurnosnu politiku.