如果您使用 Chrome 远程桌面连接到您的家用电脑、办公电脑或为他人提供支持,那么您很可能会想知道它的安全性如何。 远程访问、谷歌帐户和互联网连接的结合 这让很多用户担心是否有人会入侵他们的设备或窥探他们的活动。
在本文中,我们将仔细研究谷歌如何保护连接、存在哪些实际风险、如何逐步加强安全性(窗口模式、防火墙、VPN、双因素身份验证等)以及在哪些情况下可以这样做。 或许选择更全面的替代方案会更好。 例如 Splashtop、AnyViewer,或者基于 RDP 的解决方案,以及 TSplus 或 RDS-Tools 等额外层。所有内容均以西班牙语(西班牙)进行解释,并附有实际示例,以便您做出明智的选择。
Chrome远程桌面究竟是什么?它有什么用途?
Chrome远程桌面(CRD)是谷歌提供的免费远程访问解决方案。它最初是一款 Chrome 浏览器扩展程序,现在已发展成为一款网页应用和移动应用(支持 Android 和 iOS)。它允许您通过互联网控制另一台计算机:您可以查看远程桌面、使用鼠标和键盘、打开应用程序、访问文件,或者帮助他人解决技术问题。
使用 CRD,您可以将一台 Windows PC 连接到另一台 Windows PC,连接到 Mac 或 Linux 系统,甚至连接到其他设备。 使用安卓手机或苹果手机控制你的电脑您只需要 Chrome 浏览器或兼容的客户端,使用您的 Google 帐户登录,并在您想要访问的计算机上安装主机组件即可。
有两种非常常见的用例:永久远程访问(例如,将办公室电脑设置为可从家中连接)和按需支持,其中 需要帮助的人会生成一个临时代码。 你与他联系,帮他解决问题。
一个主要的局限性在于,根据设计, Chrome远程桌面完全依赖于谷歌生态系统。你需要一个谷歌账号,而且在很多情况下,还需要Chrome浏览器才能设置或舒适地使用它。这在企业环境中是一个缺点,因为企业通常使用其他浏览器或更严格的策略。
Chrome远程桌面安全基础架构和技术
Chrome远程桌面安全性的基础在于加密和身份验证。Google 利用其用于其他服务(Gmail、云端硬盘等)的相同安全基础设施,但将其应用于远程访问。
连接期间,CRD 使用 TLS(传输层安全性) 为了保护客户端设备和主机之间的通信通道,TLS 会对传输中的数据进行加密,即使攻击者拦截了网络流量,也能防止攻击者读取正在发送的内容。
除了 TLS 通道之外,Chrome 远程桌面还使用 高级对称加密,例如 256 位 AES。这是网上银行和高级通信领域的一项标准技术。这意味着每一次鼠标移动、每一次键盘敲击和每一次屏幕内容传输都会进行端到端加密。
身份验证依赖于您的 Google 帐户作为主要身份对于永久访问权限,主机上会配置至少六位数的 PIN 码,作为启动会话的第二道防线。在无人值守支持会话中,则使用服务自身生成的一次性代码,该代码仅临时有效。
最后,谷歌提供了激活选项。 在您的 Google 帐户上启用两步验证 (2FA)使用短信验证码、身份验证器应用程序或物理钥匙增加额外的安全层并非强制性的,但却是防止凭证被盗的最佳防御措施之一。
Chrome远程桌面在远距离和连续数天的使用情况下是否可靠?
许多用户想知道,在旅行期间,是否可以将电脑开机并保持可访问状态长达一周,并且能够继续工作而不会出现问题。 就稳定性而言,Chrome远程桌面通常表现相当不错。 对于长时间会话,前提是主机 PC 配置正确,并且不会进入睡眠模式、重启或发生网络中断。
理论上你可以 保持 Chrome 远程桌面服务持续运行 在您的 Windows、Mac 或 Linux 电脑上。您无需每次使用完毕后都关闭应用程序;重要的是使用强密码、安全的帐户和最新的操作系统来保护访问权限。
从安全角度来看,你必须明白这一点。 一支全天候待命的队伍扩大了攻击面。即使频道已加密,如果有人获取了您的 Google 帐户密码或能够实际接触到主机,他们仍然可以尝试入侵。因此,将 Google 的安全保护措施与良好的本地安全实践(例如防病毒软件、防火墙、系统更新、屏幕锁定等)相结合至关重要。
为了最大限度地降低风险,许多管理员倾向于限制 Chrome 远程桌面的使用范围。 受信任网络或企业VPN甚至可以在不需要时禁用某些功能。稍后我们将探讨如何在企业环境中集中执行此操作。
账户加密、身份验证和安全技术
在每次远程会话中,都会并行激活多种机制。一方面, TLS/SSL 负责保护通道 并防止流量拦截或篡改攻击。此外,会话内容本身使用诸如 256 位 AES 等强大的算法进行加密。
在身份验证层面,Chrome 远程桌面结合了 Google 帐户的身份以及其他因素 (例如PIN码、临时验证码等)。如果您启用两步验证,攻击者不仅需要您的密码,还需要您的手机号码或安全密钥。
CRD 的安全性与您的 Google 帐户的安全性一样高,因此 使用长而独特的密码,并使用密码管理器。 这不仅仅是建议,几乎是强制性的。经常查看您最近的账户活动并断开可疑设备也有助于及早发现安全事件。
在企业环境中,还可以通过 Google Workspace 管理控制台应用其他策略,例如 要求所有账户启用双因素身份验证 (2FA)限制某些国家/地区的登录或监控异常访问。
Chrome远程桌面存在的风险和漏洞
虽然 Chrome 远程桌面采用了先进的安全措施,但并非没有风险。 它与任何远程桌面工具都存在共同的漏洞。 并添加了其他源自其与 Google 帐户和浏览器集成的功能。
第一个风险是 因凭证被盗导致的未经授权访问如果有人获取了您的 Google 帐户密码,他们就可以访问所有在 CRD 中注册的设备,前提是他们还能绕过您的 PIN 码或其他安全措施。因此,一旦怀疑存在数据泄露,您就应该立即更改密码、撤销会话并检查已连接的设备。
另一个日益常见的危险是…… 技术支持诈骗许多犯罪分子会冒充微软、谷歌或其他服务提供商的工作人员,打电话或发邮件诱骗受害者安装远程桌面软件(包括Chrome远程桌面),并向其提供访问代码。从那时起,他们就完全控制了计算机。
在软件层面,Chrome远程桌面继承了…… 可能影响 Chrome 浏览器本身的漏洞网络安全机构的报告指出,Chrome 桌面版存在严重缺陷,理论上攻击者可以尝试利用这些缺陷来提升权限或执行代码,但这并不意味着 CRD 默认情况下是不安全的,而是取决于您是否始终保持浏览器更新。
此外,还有一些具体的局限性,例如 与某些第三方防火墙存在兼容性问题 缺乏细粒度的访问控制、详细的日志或集中式安全管理,这对于中大型组织来说可能是一个严重的问题。
Chrome 远程桌面安全性提升的基本最佳实践
对于大多数家庭用户来说,采取一些简单的措施就能产生很大的影响。 第一步是在您的 Google 帐户上启用两步验证。您可以通过账户的安全面板选择第二重验证因素,例如手机验证码、身份验证器应用程序或实体钥匙。
其次,你必须 选择一个复杂且足够长的PIN码。 配置远程访问时,请避免使用诸如 123456 之类的明显组合,或与您相关的数字(例如出生日期、身份证号码等)。如果您对其安全性有任何疑问,可以随时在主机设置中进行更改。
同样建议是: 请确保您的操作系统和 Chrome 浏览器始终保持最新状态。许多漏洞都已被修复,延迟更新只会让你更容易受到攻击。这同样适用于你的杀毒软件和其他任何安全工具。
如果您经常在公共或不稳定的WiFi网络(例如酒店、机场、咖啡馆)上工作,请认真考虑 始终通过可靠的 VPN 连接。这样,即使本地网络不安全,您的流量也会在 VPN 隧道内进行端到端加密传输。
最后,对远程帮助请求采取零信任态度: 切勿在未经您事先同意的情况下,应他人要求安装软件或共享代码。如有疑问,请挂断电话或忽略该邮件,并咨询相关官方部门。
幕帘模式:如何防止他人看到您在主机上的会话
在许多环境中,尤其是在办公室或共享空间中,这一点至关重要: 实际站在主机前的人员无法看到远程用户正在做什么。这就是 Chrome 远程桌面“幕帘模式”的用途,它基本上会在远程会话活动期间在本地显示器上显示一个锁定屏幕。
在 Windows 系统中,此功能仅在专业版、企业版、旗舰版或服务器版中可用。要手动启用此功能,您必须以管理员权限打开注册表编辑器 (Regedit),并且 配置一组特定的按键这是一个精细的过程,所以你必须严格按照步骤来。
首先,定义密钥。 HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostRequireCurtain 值为 1 时,表示 CRD 激活帘幕模式。接下来,调整 Windows 远程桌面服务参数:密钥 fDenyTSConnections HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server 的值应设置为 0,并且该键 用户认证 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 中也设置为 0。
在 Windows 10 系统上,还需要一个额外的步骤:设置 安全层 1 在注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 中进行设置。如果您省略任何这些更改,会话很可能会立即关闭,迫使您重复整个过程。
简单来说,谷歌文档中提供了一条可以在提升权限的控制台中运行的命令,该命令是: 一次性创建并调整所有必要的密钥,然后重启 Chrome 远程桌面服务。:
reg add HKLM\Software\Policies\Google\Chrome /v RemoteAccessHostRequireCurtain /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0 /t REG_DWORD /f && net stop chromoting && net start chromoting
网络控制、防火墙及其在企业环境中的应用
在管理数十个甚至数百个团队的组织中,这一点至关重要。 控制谁可以使用 Chrome 远程桌面以及使用地点Google Workspace 管理员可以从管理控制台为特定用户或组织单位启用或禁用此功能。
此外,还有一项名为……的政策 远程访问主机防火墙穿越 这样可以将 CRD 的使用限制在局域网或 VPN 连接中。在 Windows 系统中,此设置由注册表项 HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostFirewallTraversal 控制,其值为 0 时会禁用外部连接的防火墙穿透。
在 macOS 上,它是在 com.google.Chrome.plist 首选项文件中配置的,并分配了以下参数: RemoteAccessHostFirewallTraversal 到 NO在 Linux 系统中,此设置位于 `/etc/opt/chrome/policies/managed/RemoteAccessHostFirewallTraversal.json` 文件中,其值为 `FALSE`。这些限制会阻止主机接受来自组织定义边界之外的连接。
另一种相当激进的方法是: 完全阻止对 Chrome 远程桌面 API 的流量如果您的防火墙过滤了对 https://remotedesktop-pa.googleapis.com 的请求,则所有 CRD 功能都将被禁用,包括来自内部网络的出站连接和到公司计算机的入站连接。
如果您已经屏蔽了 API,则无需严格阻止访问 https://remotedesktop.google.com,但有些管理员也会选择阻止访问该网站,甚至阻止 Web 客户端加载。这类限制通常应用于监管严格的环境或使用其他企业远程桌面解决方案时。
CRD 中的功能限制和可用性问题
除了安全性之外,Chrome 远程桌面还存在一些影响生产力的缺陷。 它不包含用于与远程用户通信的集成文本聊天功能因此,您需要使用其他工具(电子邮件、即时通讯、电话等)进行协调。
文件传输也不是很方便。不能像通常那样在桌面之间拖放文件, 您需要从一端上传文件,然后从另一端下载。当您需要移动大量文档或整个文件夹时,这会限制您的工作速度。
另一个明显的局限性是: 它无法很好地处理多个并发会话。您无法像付费的、专为技术支持人员或系统管理员设计的替代方案那样,灵活地同时控制多个设备。
在显示方面,CRD 允许您全屏显示、缩放或尝试使其适应窗口大小,但是 它无法对显示器分辨率进行精细控制。在某些情况下,这会降低用户体验的舒适度,尤其是在使用多个显示器或主机和客户端分辨率差异很大的情况下。
此外,在一次性连接中使用一次性代码时, 远程用户必须每 30 分钟更新一次会话。接受他们继续共享设备的意愿。此举加强了安全性,但在长时间工作或需要长期技术支持时可能会带来不便。
与其他软件的比较:AnyViewer、Splashtop、TSplus、RDS-Tools……
当需求超出 CRD 所能提供的范围时,许多人会考虑选择更全面的工具。 AnyViewer是众多免费和付费替代方案之一,它融合了最先进的功能。例如拖放文件传输、支持多个远程会话、会话内即时聊天以及基于带宽的动态分辨率切换。
AnyViewer 也优先考虑安全性,应用 256 位端到端加密,账户双重身份验证 并会频繁更新以修复漏洞。其专业版和企业版套餐允许您将更多设备分配给同一帐户、管理用户角色和权限、使用“屏幕墙”监控多个屏幕,以及高速传输大量数据。
而Splashtop方面,已经确立了自身地位。 一个专注于企业、MSP(托管服务提供商)和IT支持团队的替代方案它提供专门用于专业远程访问、无人值守支持、服务台和设备群管理的产品,具有会话录制、远程打印、与企业目录集成和集中式管理面板等功能。
在基于 RDP 和 RDS 的服务生态系统中,诸如以下解决方案 TSplus 高级安全和 RDS 工具 它们为现有的 Windows 远程桌面基础架构增加了多层安全性和控制功能。功能包括暴力破解防护、地理位置限制、详细审计、会话日志记录、可配置警报和服务器性能监控。
这些平台通常还包括以下选项: 持久会话、更高的个性化程度以及与其他企业系统的集成此外,它们还提供服务级别协议 (SLA) 和专属技术支持。虽然它们比 Chrome 远程桌面更昂贵,但对于需要符合监管要求、高可用性和可扩展性的组织而言,它们更加合适。
物理安全、网络安全和反钓鱼措施
保护远程会话不仅取决于软件,还取决于计算机周围发生的情况。 实体安全至关重要离开时锁定会话,使用生物识别认证或卡登录主机,防止任何人直接访问您共享计算机的键盘和鼠标。
与此同时,至关重要的是要开展以下工作: 提高防范网络钓鱼和会话劫持的意识培训用户识别虚假电子邮件、可疑链接或不恰当的凭证请求,可以大大降低用户在不知不觉中泄露数据的风险。
在网络层面,许多公司将 Chrome 远程桌面与 正确配置的 VPN、网络分段和定期安全审计这包括审查防火墙规则、检测不安全的 WiFi 接入点以及监控任何异常流量行为。
配置警报 重复登录尝试、来自异常位置的连接或异常使用模式 它有助于在事件早期阶段发现它们。在高级环境中,这些信息会被集成到监控和安全信息与事件管理 (SIEM) 系统中,用于取证分析和合规性检查。
所有这些要素——加密、身份验证、物理安全、用户培训和网络控制——相互补充,为您的远程桌面会话构建纵深防御,无论您使用 Chrome 远程桌面还是任何其他工具。
Chrome 远程桌面在易用性、成本(免费)和相当高的安全性之间取得了极具吸引力的平衡,这得益于其 TLS/AES 加密和通过 Google 帐户进行的双因素身份验证 (2FA) 支持。然而,由于它完全依赖于谷歌生态系统,缺乏高级功能(例如集成聊天、多会话、集中管理、细粒度权限控制、详细日志),以及一些防火墙兼容性问题,在要求严苛的专业环境中,值得考虑 AnyViewer、Splashtop 或基于 RDP 并辅以 TSplus 或 RDS-Tools 的解决方案等替代方案。但对于家庭用户或小型团队而言,只要做好密码管理、启用双重验证、设置强 PIN 码、保持更新、设置合适的防火墙/VPN,并在必要时启用隐私模式,CRD 就可以成为一个完全有效且相当安全的远程办公工具。