Truy cập từ xa mà không cần cài đặt phần mềm: Truy cập Windows qua trình duyệt

Giới thiệu

Truy cập từ xa mà không cần cài đặt phần mềm là một mục tiêu thực tiễn cho công việc kết hợp, nhà thầu và người dùng BYOD. Chìa khóa không phải là loại bỏ tất cả phần mềm khỏi kiến trúc; mà là loại bỏ việc triển khai client từ điểm cuối. Với một cổng truy cập từ xa HTML5, người dùng mở một phiên trình duyệt an toàn để truy cập các ứng dụng hoặc máy tính để bàn Windows đã được xuất bản.

Ý nghĩa của Remote Access mà không cần cài đặt phần mềm là gì?

Truy cập từ xa mà không cần cài đặt phần mềm không có nghĩa là không có phần mềm ở đâu cả. Truy cập từ xa vẫn yêu cầu môi giới phiên, xác thực, truyền tải hiển thị, mã hóa và kiểm soát truy cập. Câu hỏi thực sự là phần mềm đó chạy ở đâu.

Trong một truyền thống Giao thức Máy tính từ xa (RDP) triển khai, mỗi điểm cuối có thể cần một khách hàng RDP gốc, một khách hàng VPN, một công cụ hỗ trợ từ xa hoặc một trình khởi động tùy chỉnh. Mô hình đó tạo ra sự cản trở khi người dùng kết nối từ các máy tính xách tay không được quản lý, thiết bị cá nhân, máy tính bảng hoặc máy tính bị khóa.

Trong một mô hình dựa trên trình duyệt, ngăn xếp truy cập từ xa được tập trung. Người dùng mở một URL bảo mật, đăng nhập và khởi động một ứng dụng hoặc máy tính để bàn Windows bên trong trình duyệt. Microsoft Learn mô tả việc Khách hàng web Remote Desktop như một cách để truy cập các ứng dụng và máy tính để bàn từ xa do quản trị viên xuất bản thông qua một trình duyệt tương thích.

Đối với các đội ngũ CNTT, định nghĩa thực tiễn là rõ ràng: không có khách hàng truy cập từ xa nào được triển khai trên điểm cuối của người dùng.

Tại sao các đội ngũ CNTT chọn Truy cập từ xa không cần khách hàng?

Truy cập từ xa không cần khách hàng giải quyết nhiều hơn một vấn đề tiện lợi cho người dùng. Nó giảm sự phụ thuộc vào điểm cuối, đơn giản hóa việc tiếp nhận và cung cấp cho các quản trị viên một cách kiểm soát hơn để công bố các tài nguyên Windows.

Lợi ích đầu tiên là tính linh hoạt của thiết bị. Người dùng có thể kết nối từ Windows, macOS, Linux, ChromeOS hoặc máy tính bảng khi trình duyệt và chính sách truy cập được hỗ trợ. Điều này rất hữu ích cho các nhà thầu, đối tác bên ngoài, nhân viên tạm thời và môi trường mang thiết bị của riêng bạn.

Lợi ích thứ hai là giảm chi phí hỗ trợ. Các ứng dụng khách gốc gây ra sự khác biệt về phiên bản, vấn đề tương thích hệ điều hành, sự cố tường lửa cục bộ, cập nhật thất bại và lỗi cấu hình. Một cổng trình duyệt cung cấp cho người dùng một lối truy cập có thể dự đoán.

Lợi ích thứ ba là thiết kế bảo mật. Thay vì đặt các điểm cuối không được quản lý trên mạng nội bộ thông qua quyền truy cập VPN rộng, các nhóm CNTT có thể chỉ công bố các ứng dụng hoặc máy tính để bàn mà người dùng cần. NIST SP 800-46 Rev. 2 khung truy cập từ xa, làm việc từ xa và BYOD là những lĩnh vực nhạy cảm về an ninh cần có các chính sách và kiểm soát kỹ thuật được xác định.

Cách chính để truy cập Windows từ xa mà không cần cài đặt khách hàng

Nhiều công nghệ có thể giảm bớt công việc cài đặt tại chỗ, nhưng chúng không giải quyết cùng một vấn đề. Lựa chọn đúng phụ thuộc vào việc tổ chức cần quản lý, hỗ trợ helpdesk hay truy cập định kỳ vào các ứng dụng kinh doanh.

Phương pháp	Tốt nhất cho	Cài đặt người dùng cuối	Hạn chế chính
Kết nối Máy tính từ xa gốc	Quyền truy cập quản trị từ các máy tính Windows được quản lý	Thường không có trên Windows	Không lý tưởng cho các điểm cuối không được quản lý hoặc xuất bản ứng dụng
Khách hàng Web Remote Desktop	Truy cập trình duyệt vào các ứng dụng và máy tính để bàn RDS	Không có client RDP cục bộ	Cần lập kế hoạch và cơ sở hạ tầng RDS
Trợ giúp nhanh	Phiên hỗ trợ theo yêu cầu	Có thể cần cài đặt từ Microsoft Store	Không được thiết kế cho việc phân phối ứng dụng hàng ngày
Công cụ mở rộng trình duyệt	Điều khiển từ xa cá nhân hoặc nhẹ	Thường yêu cầu mở rộng hoặc tác nhân máy chủ	Phù hợp yếu cho kiểm soát CNTT tập trung
Cổng truy cập từ xa HTML5	Truy cập doanh nghiệp vào các ứng dụng và máy tính để bàn Windows	Không triển khai client endpoint	Cần thiết lập cổng phía máy chủ

So sánh này cho thấy tại sao "không tải xuống" là không đủ. Các nhóm CNTT nên đánh giá kiến trúc, không chỉ phương pháp truy cập phía người dùng.

Kết nối Máy tính từ xa gốc

Windows bao gồm ứng dụng khách Kết nối Máy tính từ xa gốc, thường được biết đến với tên mstsc.exe. Nó vẫn hữu ích cho các quản trị viên, đội ngũ hỗ trợ nội bộ và các môi trường Windows được kiểm soát.

Tuy nhiên, RDP gốc không hoàn toàn giải quyết được vấn đề truy cập không cần máy khách. Truy cập bên ngoài thường yêu cầu VPN, RD Gateway hoặc lập kế hoạch tường lửa. Xuất bản các ứng dụng riêng lẻ cũng phức tạp hơn so với việc cung cấp cho người dùng một máy tính để bàn đầy đủ.

RDP gốc là một công cụ quản lý hợp lệ, nhưng nó không giống như một chiến lược phân phối ứng dụng dựa trên trình duyệt. Nó hoạt động tốt nhất khi các thiết bị, mạng và người dùng đã được quản lý bởi bộ phận CNTT.

Khách hàng Web Remote Desktop

Công ty Khách hàng web Remote Desktop di chuyển trải nghiệm truy cập vào trình duyệt. Người dùng có thể mở một cổng và khởi động các ứng dụng hoặc máy tính để bàn từ xa mà quản trị viên đã công bố. Tài liệu của Microsoft cho biết rằng sau khi thiết lập, người dùng cần URL của khách hàng, thông tin đăng nhập của họ và một trình duyệt được hỗ trợ.

Mô hình này gần gũi hơn với những gì nhiều doanh nghiệp cần. Ứng dụng Windows hoặc máy tính để bàn vẫn chạy trên hạ tầng trung tâm, trong khi trình duyệt trở thành lớp truy cập.

Sự đánh đổi là độ phức tạp của hạ tầng. Các triển khai Dịch vụ Máy tính từ xa của Microsoft vẫn yêu cầu công việc cẩn thận xung quanh chứng chỉ, Cổng RD, Truy cập Web RD, Môi giới Kết nối RD, cấp phép, xác thực, khả năng tương thích trình duyệt và dung lượng máy chủ phiên.

Công cụ Hỗ trợ Nhanh và Hỗ trợ Từ xa

Quick Assist được xây dựng để hỗ trợ, không phải để phân phối ứng dụng. Microsoft mô tả Quick Assist là một cách để nhân viên hỗ trợ xem màn hình của người dùng, chú thích nó hoặc yêu cầu quyền kiểm soát đầy đủ trong một phiên khắc phục sự cố.

Trường hợp sử dụng đó khác với việc truy cập hàng ngày vào các ứng dụng Windows được lưu trữ. Quick Assist phụ thuộc vào một người trợ giúp, một người dùng và một phiên hỗ trợ tương tác. Nó không phải là một cổng trung tâm để xuất bản các ứng dụng kinh doanh cho nhiều người dùng.

Tài liệu hỗ trợ của Microsoft cũng giải thích rằng Quick Assist có thể cần được cài đặt từ Microsoft Store, và các thiết bị được quản lý có thể chặn việc cài đặt đó theo chính sách.

Tiện ích mở rộng trình duyệt và công cụ điều khiển từ xa cho người tiêu dùng

Một số sản phẩm điều khiển từ xa quảng cáo truy cập mà không cần tải xuống, nhưng nhiều sản phẩm vẫn phụ thuộc vào các tiện ích mở rộng trình duyệt, ứng dụng trợ giúp, tác nhân máy chủ hoặc dịch vụ chuyển tiếp dựa trên tài khoản. Điều đó có thể chấp nhận được cho việc sử dụng cá nhân hoặc khắc phục sự cố thỉnh thoảng.

Đối với mục đích kinh doanh, các nhóm CNTT cần những câu trả lời mạnh mẽ hơn. Các quản trị viên nên xác minh xem quyền truy cập có thể bị thu hồi một cách tập trung hay không, liệu có sẵn nhật ký hay không, liệu có thể thực thi xác thực đa yếu tố hay không và liệu người dùng có thể bị giới hạn ở các ứng dụng cụ thể thay vì toàn bộ máy tính hay không.

Một tiện ích mở rộng trình duyệt không giống như một cổng truy cập từ xa HTML5. Nếu mục tiêu là giảm thiểu việc triển khai điểm cuối và cải thiện kiểm soát, kiến trúc cơ sở hạ tầng là điều quan trọng.

Cổng web truy cập từ xa HTML5

Cổng web truy cập từ xa HTML5 thường là lựa chọn tốt nhất cho việc truy cập ứng dụng doanh nghiệp. CNTT xuất bản các ứng dụng Windows hoặc máy tính để bàn đầy đủ từ các máy chủ tập trung, và người dùng kết nối qua một cổng trình duyệt an toàn.

Điểm cuối không cần một khách hàng RDP gốc. Phiên làm việc từ xa được cung cấp thông qua các công nghệ web, trong khi ứng dụng vẫn được lưu trữ ở phía máy chủ.

Mô hình này đặc biệt hữu ích cho ứng dụng Windows kế thừa không thể viết lại dưới dạng ứng dụng SaaS. Thay vì cài đặt ứng dụng trên từng điểm cuối, IT lưu trữ nó một cách tập trung và cung cấp qua trình duyệt.

Tại sao cổng truy cập từ xa HTML5 phù hợp với việc sử dụng trong doanh nghiệp?

Một cổng truy cập từ xa HTML5 tách biệt điểm cuối khỏi thời gian chạy ứng dụng. Thiết bị của người dùng trở thành giao diện hiển thị, bàn phím và chuột, trong khi khối lượng công việc Windows vẫn nằm dưới sự kiểm soát của IT.

Cách tiếp cận đó mang lại cho các quản trị viên một số lợi thế thực tiễn:

• Xuất bản ứng dụng tập trung
• Truy cập dựa trên trình duyệt từ các thiết bị được hỗ trợ
• Giảm sự phụ thuộc vào các khách hàng VPN
• Truy cập nhất quán qua một URL duy nhất
• Dễ dàng tiếp nhận cho các nhà thầu và người dùng BYOD
• Xác thực tập trung và kiểm soát phiên làm việc
• Giảm thiểu việc khắc phục sự cố tại chỗ trên các điểm cuối không được quản lý

Kết quả là một mô hình hoạt động sạch hơn. CNTT công bố tài nguyên, không phải toàn bộ mạng nội bộ.

Yêu cầu bảo mật cho Truy cập từ xa dựa trên trình duyệt

Truy cập không cần khách hàng không tự động có nghĩa là truy cập an toàn. Nó chỉ thay đổi nơi quản lý truy cập. Các nhóm CNTT vẫn cần bảo mật danh tính, vận chuyển, phơi bày phiên và kiểm soát quản trị.

Đầu tiên, mọi cổng trình duyệt nên sử dụng HTTPS với các chứng chỉ hợp lệ. Người dùng không bao giờ nên được đào tạo để bỏ qua các cảnh báo bảo mật của trình duyệt, vì hành vi đó làm yếu đi mô hình tin cậy.

Thứ hai, các tổ chức nên tránh việc phơi bày RDP thô trực tiếp ra internet. CISA đã cảnh báo rằng RDP là một vector lây nhiễm ransomware phổ biến và rằng xác thực đa yếu tố là rất quan trọng để giảm thiểu rủi ro truy cập độc hại.

Thứ ba, các quản trị viên nên áp dụng xác thực mạnh. Đối với các môi trường sản xuất, xác thực đa yếu tố, chính sách khóa tài khoản và quyền truy cập tối thiểu nên là các yêu cầu cơ bản.

Thứ tư, các đội ngũ CNTT nên chỉ công bố những gì người dùng cần. Nhiều người dùng chỉ yêu cầu một ứng dụng Windows, không phải một máy tính để bàn từ xa đầy đủ. Việc công bố ứng dụng có thể giảm thiểu sự tiếp xúc và làm cho phiên làm việc dễ sử dụng hơn.

Cuối cùng, truy cập tập trung nên tạo ra các nhật ký hữu ích. Các sự kiện đăng nhập, hoạt động phiên, thay đổi quản trị và các nỗ lực xác thực không thành công nên được hiển thị để kiểm toán và điều tra.

Khi nào Truy cập từ xa dựa trên trình duyệt là sự lựa chọn phù hợp?

Dựa trên trình duyệt truy cập từ xa là sự lựa chọn mạnh mẽ khi các tổ chức cần truy cập định kỳ vào các ứng dụng Windows mà không cần cài đặt phần mềm trên thiết bị của người dùng.

Các trường hợp sử dụng điển hình bao gồm:

• Nhà thầu cần quyền truy cập hạn chế vào các ứng dụng nội bộ
• Người dùng BYOD không nên cài đặt khách hàng doanh nghiệp
• Nhân viên từ xa làm việc trên nhiều hệ điều hành khác nhau
• Đối tác bên ngoài cần truy cập vào một ứng dụng được lưu trữ
• Các văn phòng chi nhánh với máy khách mỏng hoặc thiết bị bị khóa
• Các ứng dụng Windows cũ cần được cung cấp qua web
• Các nhóm CNTT đang cố gắng giảm số lượng vé hỗ trợ VPN và RDP.

Mô hình này ít phù hợp hơn cho mọi khối lượng công việc. Các ứng dụng nặng về đồ họa, chuyển hướng USB nâng cao, đa phương tiện độ trễ thấp và tích hợp thiết bị cục bộ sâu có thể vẫn yêu cầu một khách hàng gốc hoặc một nền tảng ảo hóa chuyên biệt.

Danh sách kiểm tra triển khai cho các nhóm CNTT

Trước khi triển khai truy cập từ xa dựa trên trình duyệt, các nhóm CNTT nên xác định mô hình hoạt động. Quyết định đầu tiên là liệu người dùng có cần máy tính để bàn đầy đủ, ứng dụng riêng lẻ hay cả hai. Việc phát hành ứng dụng thường an toàn hơn và dễ hỗ trợ hơn so với việc cung cấp cho mỗi người dùng một máy tính để bàn đầy đủ.

Tiếp theo, xác định danh tính và kiểm soát truy cập. Xác nhận xem người dùng sẽ xác thực bằng Active Directory, tài khoản Windows cục bộ, đăng nhập một lần, xác thực đa yếu tố hay nhà cung cấp danh tính khác.

Sau đó xem xét mức độ tiếp xúc của mạng. Quyết định vị trí của cổng web, cách thức HTTPS sẽ được kết thúc, các cổng nào phải được mở và liệu có cần một proxy ngược hoặc lớp cổng không.

Xác thực ứng dụng cũng rất quan trọng. Một số ứng dụng Windows hoạt động khác nhau trong các phiên làm việc đa người dùng, đặc biệt nếu chúng được thiết kế cho cài đặt máy tính để bàn đơn người dùng.

Cuối cùng, kiểm tra các điểm cuối thực. Xác thực quyền truy cập từ Windows, macOS, Linux, máy tính bảng và các thiết bị bị khóa phù hợp với môi trường người dùng.

Những sai lầm phổ biến cần tránh

Sai lầm đầu tiên là giả định rằng "không tải xuống" có nghĩa là "không có hạ tầng." Truy cập từ xa dựa trên trình duyệt giảm bớt độ phức tạp của điểm cuối, nhưng nền tảng phía máy chủ vẫn cần được bảo mật, vá lỗi, giám sát và sao lưu.

Sai lầm thứ hai là sử dụng các công cụ hỗ trợ từ xa cho việc phân phối ứng dụng. Một công cụ chia sẻ màn hình hỗ trợ không phải là một nền tảng phát hành cho các ứng dụng kinh doanh.

Sai lầm thứ ba là cung cấp cho mọi người dùng một máy tính để bàn đầy đủ khi họ chỉ cần một ứng dụng. Máy tính để bàn đầy đủ đôi khi là cần thiết, nhưng các ứng dụng được công bố có thể giảm rủi ro và cải thiện tính khả dụng.

Sai lầm cuối cùng là bỏ qua hành trình của người dùng. Người dùng cần một URL cổng rõ ràng, xác thực đáng tin cậy, biểu tượng ứng dụng rõ ràng và hành vi phiên làm việc có thể dự đoán.

Làm thế nào TSplus Remote Access giúp?

TSplus Remote Access được thiết kế cho các tổ chức cần truy cập dựa trên trình duyệt vào các ứng dụng và máy tính để bàn Windows mà không cần triển khai một khách hàng máy tính để bàn từ xa đầy đủ cho mỗi điểm cuối người dùng. Giải pháp của chúng tôi cung cấp quyền truy cập vào các ứng dụng Windows tập trung trên một máy tính để bàn từ xa đầy đủ, với hỗ trợ cho HTML5 và các khách hàng tương thích RDP.

Với TSplus, các quản trị viên có thể xuất bản ứng dụng và gán chúng cho người dùng hoặc nhóm cụ thể. Tài liệu của TSplus mô tả việc xuất bản ứng dụng như một cách để kiểm soát các ứng dụng mà người dùng có thể truy cập và cách các ứng dụng đó được khởi động.

Đối với các doanh nghiệp vừa và nhỏ, các nhà cung cấp dịch vụ quản lý và các nhóm CNTT tinh gọn, giá trị nằm ở sự đơn giản trong vận hành. Người dùng truy cập một cổng thông tin web an toàn, khởi động các ứng dụng được chỉ định cho họ và làm việc từ một trình duyệt, trong khi CNTT giữ các ứng dụng Windows được tập trung.

Kết luận

Truy cập từ xa mà không cần cài đặt phần mềm được hiểu tốt nhất là không triển khai client đầu cuối, không phải là hạ tầng không có phần mềm. Đối với môi trường doanh nghiệp, con đường thực tiễn là một cổng truy cập từ xa HTML5 cho phép người dùng truy cập các ứng dụng Windows đã được xuất bản hoặc máy tính để bàn đầy đủ từ trình duyệt trong khi IT tập trung hóa xác thực, xuất bản ứng dụng, kiểm soát phiên và chính sách bảo mật.