Böngészőalapú Windows-hozzáférés szoftver telepítése nélkül

Bevezetés

A szoftver telepítése nélküli távoli hozzáférés praktikus cél a hibrid munkához, a vállalkozókhoz és a BYOD felhasználókhoz. A kulcs nem az összes szoftver eltávolítása az architektúrából; hanem a kliens telepítésének eltávolítása a végpontból. Egy HTML5 távoli hozzáférési portál segítségével a felhasználók biztonságos böngésző munkamenetet nyitnak, hogy elérjék a közzétett Windows alkalmazásokat vagy asztalokat.

Mit jelent a Remote Access szoftver telepítése nélkül?

A szoftver telepítése nélküli távoli hozzáférés nem jelenti azt, hogy sehol sincs szoftver. A távoli hozzáférés továbbra is megköveteli a munkamenet közvetítést, az azonosítást, a megjelenítési adatátvitelt, a titkosítást és a hozzáférés-ellenőrzést. A valódi kérdés az, hogy hol fut ez a szoftver.

Hagyományos Távoli asztali protokoll (RDP) telepítés, minden végpontnak szüksége lehet egy natív RDP kliensre, egy VPN kliensre, egy távoli támogatási eszközre vagy egy egyedi indítóra. Ez a modell súrlódást okoz, amikor a felhasználók nem kezelt laptopokról, személyes eszközökről, táblagépekről vagy lezárt gépekről csatlakoznak.

A böngészőalapú modellben a távoli hozzáférési réteg központosított. A felhasználó megnyit egy biztonságos URL-t, bejelentkezik, és elindít egy Windows alkalmazást vagy asztalt a böngészőn belül. A Microsoft Learn leírja a Távoli asztali webkliensek mint a módja annak, hogy hozzáférjünk az adminisztrátor által közzétett távoli alkalmazásokhoz és asztalokhoz egy kompatibilis böngészőn keresztül.

Az IT csapatok számára a gyakorlati meghatározás világos: nem telepítenek távoli hozzáférési klienst a felhasználói végponton.

Miért választják az IT csapatok az ügyfél nélküli távoli hozzáférést?

A kliens nélküli távoli hozzáférés több mint egy felhasználói kényelmi problémát old meg. Csökkenti a végpontok függőségét, egyszerűsíti a bevezetést, és a rendszergazdák számára egy kontrolláltabb módot biztosít a Windows erőforrások közzétételére.

Az első előny a készülékek rugalmassága. A felhasználók Windows, macOS, Linux, ChromeOS vagy táblagépek segítségével csatlakozhatnak, amikor a böngésző és a hozzáférési politika támogatott. Ez hasznos a vállalkozók, külső partnerek, ideiglenes munkatársak és a saját eszköz használatát lehetővé tevő környezetek számára.

A második előny a kisebb támogatási költségek. A natív kliensek verzióeltérést, operációs rendszer kompatibilitási problémákat, helyi tűzfal problémákat, sikertelen frissítéseket és konfigurációs hibákat okoznak. Egy böngészőportál egy kiszámítható hozzáférési utat biztosít a felhasználók számára.

A harmadik előny a biztonsági tervezés. Ahelyett, hogy kezelhetetlen végpontokat helyeznének el a belső hálózaton széles VPN-hozzáférésen keresztül, az IT csapatok csak azokat az alkalmazásokat vagy asztalokat tehetik közzé, amelyekre a felhasználóknak szükségük van. NIST SP 800-46 Rev. 2 a távoli hozzáférés, a távmunka és a BYOD biztonságérzékeny területek, amelyek meghatározott politikákat és technikai ellenőrzéseket igényelnek.

A Windows távoli elérésének fő módjai kliens telepítése nélkül

Több technológia csökkentheti a helyi telepítési munkát, de nem oldják meg ugyanazt a problémát. A megfelelő lehetőség attól függ, hogy a szervezetnek szüksége van-e adminisztrációra, helpdesk támogatásra vagy ismétlődő hozzáférésre az üzleti alkalmazásokhoz.

Módszer	Legjobb a	Végfelhasználói telepítés	Fő korlátozás
Natív Távoli Asztali Kapcsolat	Admin hozzáférés kezelt Windows PC-kről	Általában nincs Windows-on	Nem ideális nem kezelt végpontok vagy alkalmazáskiadás esetén
Távvezérlő asztali webes kliens	Böngésző hozzáférés RDS alkalmazásokhoz és asztalokhoz	Nincs helyi RDP kliens	RDS tervezést és infrastruktúrát igényel
Gyorssegítség	Ad hoc támogatási ülések	Lehet, hogy a Microsoft Store telepítése szükséges	Nem a napi alkalmazás-átadásra lett tervezve
Böngészőbővítmény eszközök	Személyes vagy könnyű távoli vezérlés	Gyakran kiterjesztést vagy hoszt ügynököt igényel	Gyenge illeszkedés a központosított IT-ellenőrzéshez
HTML5 távoli hozzáférési portál	Üzleti hozzáférés Windows alkalmazásokhoz és asztali számítógépekhez	Nincs végpont kliens telepítése	Szerveroldali átjáró beállítást igényel

Ez a összehasonlítás megmutatja, miért nem elegendő a „nincs letöltés”. Az IT csapatoknak az architektúrát kell értékelniük, nemcsak a felhasználói hozzáférési módszert.

Natív Távoli Asztali Kapcsolat

A Windows tartalmazza a natív Távoli Asztali Kapcsolat klienst, amelyet általában mstsc.exe néven ismernek. Hasznos marad az adminisztrátorok, a belső támogatási csapatok és a kontrollált Windows környezetek számára.

A natív RDP azonban nem oldja meg teljesen a kliens nélküli hozzáférés problémáját. A külső hozzáférés gyakran VPN, RD Gateway vagy tűzfal tervezést igényel. Az egyes alkalmazások közzététele is bonyolultabb, mint a felhasználóknak egy teljes asztal biztosítása.

A natív RDP egy érvényes adminisztrációs eszköz, de nem ugyanaz, mint egy böngészőalapú alkalmazás-átadási stratégia. A legjobban akkor működik, ha az eszközöket, hálózatokat és felhasználókat már az IT kezeli.

Távvezérlő asztali webes kliens

A Távoli asztali webkliensek átviszi a hozzáférési élményt a böngészőbe. A felhasználók megnyithatnak egy portált, és elindíthatják a távoli alkalmazásokat vagy asztalokat, amelyeket egy adminisztrátor közzétett. A Microsoft dokumentációja szerint a beállítás után a felhasználóknak szükségük van a kliens URL-jére, a hitelesítő adataikra és egy támogatott böngészőre.

Ez a modell közelebb áll ahhoz, amire sok vállalkozásnak szüksége van. A Windows alkalmazás vagy asztali számítógép továbbra is a központi infrastruktúrán fut, míg a böngésző válik a hozzáférési réteggé.

A kompromisszum az infrastruktúra összetettsége. A Microsoft Remote Desktop Services telepítések továbbra is gondos munkát igényelnek a tanúsítványok, az RD Gateway, az RD Web Access, az RD Connection Broker, a licencelés, az azonosítás, a böngészőkompatibilitás és a munkamenetgazda kapacitás körül.

Gyorssegély és Távsegítő Eszközök

A Quick Assist a támogatásra készült, nem az alkalmazás szállítására. A Microsoft a Quick Assist-t úgy írja le, mint egy módot a támogatási személyzet számára, hogy megtekinthesse egy felhasználó képernyőjét, annotálhassa azt, vagy teljes irányítást kérhessen egy hibaelhárítási munkamenet során.

Ez a felhasználási eset eltér a hosztolt Windows alkalmazások napi elérésétől. A Quick Assist egy segítőt, egy felhasználót és egy interaktív támogatási ülést igényel. Ez nem egy központosított portál az üzleti alkalmazások sok felhasználóhoz való közzétételére.

A Microsoft támogatási dokumentációja azt is elmagyarázza, hogy a Quick Assist-et a Microsoft Store-ból kell telepíteni, és a kezelt eszközök ezt a telepítést a házirend miatt blokkolhatják.

Böngészőbővítmény és Fogyasztói Távvezérlő Eszközök

Néhány távoli vezérlő termék hirdeti a letöltés nélküli hozzáférést, de sokan még mindig böngészőbővítményekre, segédalkalmazásokra, gazdaügynökökre vagy fiókalapú közvetítő szolgáltatásokra támaszkodnak. Ez elfogadható lehet személyes használatra vagy alkalmi hibaelhárításra.

Üzleti használatra az IT csapatoknak erősebb válaszokra van szükségük. Az adminisztrátoroknak ellenőrizniük kell, hogy a hozzáférés központilag visszavonható-e, hogy elérhetők-e a naplók, hogy érvényesíthető-e a többtényezős hitelesítés, és hogy a felhasználók korlátozhatók-e konkrét alkalmazásokra a teljes gépek helyett.

A böngészőbővítmény nem ugyanaz, mint egy HTML5 távoli hozzáférési portál. Ha a cél az végpontok telepítésének csökkentése és a kontroll javítása, akkor az alapul szolgáló architektúra fontos.

HTML5 Távhozzáférési Webportál

Egy HTML5 távoli hozzáférési webportál általában a legjobb megoldás az üzleti alkalmazások elérésére. Az IT Windows alkalmazásokat vagy teljes asztalokat publikál központosított hosztokból, és a felhasználók egy biztonságos böngészőportálon keresztül csatlakoznak.

A végpontnak nincs szüksége natív RDP kliensre. A távoli munkamenet webtechnológiákon keresztül kerül átadásra, míg az alkalmazás a szerveroldalon marad.

Ez a modell különösen hasznos a örökölt Windows alkalmazások ami nem írható át SaaS alkalmazásokká. Ahelyett, hogy az alkalmazást minden végponton telepítenék, az IT központilag hosztolja, és a böngészőn keresztül szolgáltatja.

Miért illik egy HTML5 Remote Access Portal az üzleti felhasználáshoz?

Egy HTML5 távoli hozzáférési portál elválasztja a végpontot az alkalmazás futási idejétől. A felhasználó eszköze kijelzővé, billentyűzetté és egér interfésszé válik, míg a Windows munkaterhelés az IT irányítása alatt marad.

Ez a megközelítés számos gyakorlati előnyt biztosít az adminisztrátorok számára:

• Központosított alkalmazáskiadás
• Böngészőalapú hozzáférés a támogatott eszközökről
• Csökkentett függőség a VPN kliensektől
• Konzisztens hozzáférés egyetlen URL-en keresztül
• Könnyebb beléptetés a vállalkozók és a BYOD felhasználók számára
• Központosított hitelesítés és munkamenet-ellenőrzés
• Kevesebb helyi hibaelhárítás a nem kezelt végpontokon

Az eredmény egy tisztább működési modell. Az IT közzéteszi az erőforrást, nem az egész belső hálózatot.

Böngészőalapú Távoli Hozzáférés Biztonsági Követelmények

A kliens nélküli hozzáférés nem automatikusan jelenti a biztonságos hozzáférést. Csak azt változtatja meg, hogy hol kezelik a hozzáférést. Az IT csapatoknak továbbra is biztosítaniuk kell az identitást, a szállítást, a munkamenet kitettségét és az adminisztratív ellenőrzést.

Először is, minden böngészőportálnak HTTPS-t kell használnia érvényes tanúsítványokkal. A felhasználókat soha nem szabad arra tanítani, hogy megkerüljék a böngésző biztonsági figyelmeztetéseit, mert ez a viselkedés gyengíti a bizalmi modellt.

Másodszor, a szervezeteknek el kell kerülniük a nyers RDP közvetlen internetre való kitettségét. A CISA figyelmeztetett, hogy az RDP egy gyakori zsarolóvírus-fertőzés vektora, és hogy a többtényezős hitelesítés kulcsfontosságú a rosszindulatú hozzáférési kockázat csökkentésében.

Harmadszor, a rendszergazdáknak erős hitelesítést kell alkalmazniuk. A termelési környezetekben a többtényezős hitelesítés, a fiók zárolási politikák és a legkisebb jogosultságú hozzáférés alapkövetelmények kell, hogy legyenek.

Negyedik, az IT csapatoknak csak azt szabad közzétenniük, amire a felhasználóknak szükségük van. Sok felhasználónak egy Windows alkalmazásra van szüksége, nem egy teljes távoli asztalra. Az alkalmazás közzététele csökkentheti a kitettséget és megkönnyítheti a munkamenet használatát.

Végül a központosított hozzáférésnek hasznos naplókat kellene előállítania. A bejelentkezési események, a munkamenet aktivitása, az adminisztratív változások és a sikertelen hitelesítési kísérletek láthatóak kell legyenek az auditálás és a vizsgálat számára.

Mikor megfelelő a böngészőalapú távoli hozzáférés?

Böngésző alapú távoli hozzáférés erős megoldás, amikor a szervezeteknek folyamatos hozzáférésre van szükségük Windows alkalmazásokhoz anélkül, hogy szoftvert kellene telepíteniük a felhasználói eszközökre.

Tipikus felhasználási esetek közé tartozik:

• A belső alkalmazásokhoz korlátozott hozzáférésre van szükségük a vállalkozóknak
• BYOD felhasználók, akiknek nem szabad vállalati klienseket telepíteniük
• Távmunka dolgozók több operációs rendszeren
• Külső partnerek, akik hozzáférésre van szükségük egy hosztolt alkalmazáshoz
• Vékony kliensekkel vagy lezárt eszközökkel rendelkező fióktermek
• Örökölt Windows alkalmazások, amelyek webalapú szállítást igényelnek
• IT csapatok, akik próbálják csökkenteni a VPN és RDP kliens támogatási jegyeket

Ez a modell kevésbé alkalmas minden munkaterheléshez. A grafikai igényes alkalmazások, a fejlett USB-átirányítás, az alacsony késleltetésű multimédia és a mély helyi eszközintegráció továbbra is megkövetelhet egy natív klienst vagy egy speciális virtualizációs platformot.

IT Csapatok Implementálási Ellenőrzőlistája

A böngészőalapú távoli hozzáférés telepítése előtt az IT csapatoknak meg kell határozniuk a működési modellt. Az első döntés az, hogy a felhasználóknak teljes asztali környezetre, egyedi alkalmazásokra vagy mindkettőre van szükségük. Az alkalmazáskiadás gyakran biztonságosabb és könnyebben támogatható, mint minden felhasználónak teljes asztali környezetet biztosítani.

Ezután határozza meg az identitás- és hozzáférés-ellenőrzést. Erősítse meg, hogy a felhasználók az Active Directory-val, helyi Windows-fiókokkal, egyetlen bejelentkezéssel, többtényezős hitelesítéssel vagy más identitásszolgáltatóval fognak-e hitelesíteni.

Ezután ellenőrizze a hálózati kitettséget. Döntse el, hogy hol helyezkedik el a webportál, hogyan lesz lezárva a HTTPS, mely portokat kell kitenni, és szükség van-e fordított proxyra vagy átjáróra.

Az alkalmazás érvényesítése szintén fontos. Néhány Windows alkalmazás másképp viselkedik többfelhasználós munkamenetekben, különösen, ha egyfelhasználós asztali telepítésre tervezték őket.

Végül tesztelje a valós végpontokat. Érvényesítse a hozzáférést Windows, macOS, Linux, táblagépek és a felhasználói környezetnek megfelelő, lezárt eszközök esetén.

Gyakori hibák, amelyeket el kell kerülni

Az első hiba az, hogy azt feltételezzük, hogy a „nincs letöltés” azt jelenti, hogy „nincs infrastruktúra”. A böngészőalapú távoli hozzáférés csökkenti a végpontok bonyolultságát, de a szerveroldali platformot továbbra is védeni, frissíteni, figyelni és biztonsági másolatot kell készíteni.

A második hiba az, hogy távoli támogatási eszközöket használnak az alkalmazás szállítására. Egy helpdesk képernyőmegosztó eszköz nem kiadási platform üzleti alkalmazások számára.

A harmadik hiba, hogy minden felhasználónak teljes asztalt adunk, amikor csak egy alkalmazásra van szükségük. A teljes asztalok néha szükségesek, de a közzétett alkalmazások csökkenthetik a kockázatot és javíthatják a használhatóságot.

A végső hiba a felhasználói út figyelmen kívül hagyása. A felhasználóknak egyértelmű portál URL-re, megbízható hitelesítésre, nyilvánvaló alkalmazásikonokra és kiszámítható munkamenet-viselkedésre van szükségük.

Hogyan segít a TSplus Remote Access?

TSplus Távhozzáférés azoknak a szervezeteknek készült, akik böngészőalapú hozzáférést igényelnek Windows alkalmazásokhoz és asztalokhoz anélkül, hogy minden felhasználói végpontra teljes távoli asztali klienst telepítenének. Megoldásunk központosított Windows alkalmazásokhoz biztosít hozzáférést teljes távoli asztalon, HTML5 és RDP-kompatibilis kliensek támogatásával.

A TSplus segítségével az adminisztrátorok alkalmazásokat publikálhatnak, és hozzárendelhetik azokat konkrét felhasználókhoz vagy csoportokhoz. A TSplus dokumentációja az alkalmazás publikálását úgy írja le, mint egy módot arra, hogy ellenőrizzük, mely alkalmazásokhoz férhetnek hozzá a felhasználók, és hogyan indítják el azokat az alkalmazásokat.

Kis- és középvállalkozások, szolgáltató cégek és karcsú IT csapatok számára az érték a működési egyszerűség. A felhasználók egy biztonságos webportálhoz férnek hozzá, elindítják a számukra kijelölt alkalmazásokat, és böngészőből dolgoznak, miközben az IT a Windows alkalmazásokat központosítva tartja.

Következtetés

A szoftver telepítése nélküli távoli hozzáférés legjobban úgy érthető, mint a végponti kliens telepítésének hiánya, nem pedig szoftvermentes infrastruktúra. Üzleti környezetekben a gyakorlati megoldás egy HTML5 távoli hozzáférési portál, amely lehetővé teszi a felhasználók számára, hogy böngészőből hozzáférjenek a közzétett Windows alkalmazásokhoz vagy teljes asztalokhoz, miközben az IT központosítja az azonosítást, az alkalmazás közzétételét, a munkamenet-ellenőrzést és a biztonsági politikát.