Вопрос или проблема
Я пользуюсь Chrome Remote Desktop практически каждый день. Однако мысль о том, что кто-то может сидеть перед клиентским компьютером и наблюдать (или, что еще хуже, перехватывать) за тем, что я делаю, вызывает серьезные опасения. Почти что в колоссальной степени.
Я нашел решение под названием “режим занавеса”. Он делает Chrome Remote Desktop более похожим на MS-RDP (который показывает только экран входа, пока вы к нему обращаетесь). В интернете есть множество пошаговых инструкций о том, как добиться режима занавеса. Действительно, одна из них прямиком от Google: https://support.google.com/chrome/a/answer/2799701?hl=en.
В частности, меня беспокоит шаг 2 этого процесса:
Шаги для всех установок Windows:
- С помощью Regedit установите HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostRequireCurtain на 1.
- Включите RDP соединения с машиной, сняв отметку с Control Panel\System and Security\System > Remote settings > “Разрешить
соединения только с компьютерами, использующими Remote Desktop с проверкой уровня сети (рекомендуется)”.
Этот шаг предполагает удаление того, что, похоже, является критическим уровнем безопасности вокруг системы Microsoft RDP. Я не совсем уверен, что это значит или какие последствия может иметь снятие отметки.
Что такое “проверка уровня сети” (Network Level Authentication)? Увеличивает ли это уязвимость машины, если убрать?
Я только что наткнулся на эту тему и у меня были свои сложности с NLA, поэтому, хотя это и старая проблема, я решил предложить ответ. Согласно википедии:
Проверка уровня сети (NLA) — это функция сервисов удаленного рабочего стола (RDP Server) или подключения к удаленному рабочему столу (RDP Client), которая требует от подключающегося пользователя пройти аутентификацию перед установлением сеанса с сервером.
Первоначально, если пользователь открывал сеанс RDP (удаленный рабочий стол) к серверу, загружался экран входа с сервера для пользователя. Это использовало ресурсы на сервере и представляло потенциальные области для атак типа “отказ в обслуживании”, а также атаки на выполнение удаленного кода (см. BlueKeep).
Это довольно хорошо объясняет, что такое NLA. Теперь, в терминах реальных рисков безопасности, я, как правило, настороженно отношусь к отключению его на ноутбуке, с которого я мог бы получить доступ в интернет через открытое Wi-Fi соединение. Если ваш ПК находится за файрволом, на защищенной Wi-Fi сети или на VPN, хакеру нужно получить доступ к этой сети, чтобы хотя бы попытаться получить доступ к вашему компьютеру. Однако в открытой сети легко проникнуть и перехватить IP-адреса, чтобы попытаться их эксплуатировать. Даже тогда это приведет вас лишь к экрану входа Windows, так что это всё равно не является свободным доступом, но есть некоторые риски, если вам повстречается кто-то достаточно злонамеренный, кто знает, что делает.
Стоит отметить, что NLA — это конструкция безопасности Windows, поэтому другие операционные системы или сторонние инструменты для RDP могут работать не всегда, поддерживая это.
Таким образом, моё общее правило, так как мне действительно нравится Chrome Remote Desktop, — отключать NLA на относительно стационарных машинах, находящихся в защищенных сетях. Что касается ноутбука, который я ношу с собой и в который, вероятно, не будет необходимости удаленно подключаться, я оставляю NLA включенным. Надеюсь, это поможет!
Ответ или решение
Chrome Remote Desktop: Режим "кулера" и безопасность
Введение
С каждым годом удаленные рабочие столы становятся неотъемлемой частью рабочего процесса. Chrome Remote Desktop (CRD) предлагает удобство удаленного доступа, но многие пользователи, согласно вашим отзывам, испытывают опасения по поводу безопасности своих данных. Одной из возможностей, которую предоставляет CRD, является "режим кулера" (curtain mode), который обеспечивает дополнительный уровень конфиденциальности.
Что такое режим кулера?
Режим кулера позволяет скрыть активный экран пользователя от человека, который использует удаленное подключение. Это означает, что во время удаленной сессии клиентское устройство отображает только экран входа в систему, что делает невозможным наблюдение за действиями пользователя на рабочем столе. Эта функция полезна в ситуациях, когда у вас есть необходимость обеспечивать максимальную конфиденциальность.
Настройка режима кулера
Настройка режима кулера включает в себя изменение реестра Windows и отключение функции "Аутентификации на уровне сети" (NLA). Как вы упомянули, в процессе настройки необходимо:
- Изменить значение реестра для
RemoteAccessHostRequireCurtainна 1. - Отключить NLA, убрав отметку с опции "Разрешить подключения только от компьютеров, выполняющих удаленный рабочий стол с сетью уровня аутентификации".
Что такое аутентификация на уровне сети (NLA)?
NLA — это механизм безопасности, который требует от пользователей пройти аутентификацию до того, как будет установлено подключение к удаленному рабочему столу. Этот способ минимизирует использование ресурсов сервера и защищает от различных видов атак, таких как атаки отказа в обслуживании и удаленное выполнение кода.
Если отключить NLA, это может привести к ряду уязвимостей:
- Более высокий риск атак: Убирая NLA, вы позволяете злоумышленникам получить доступ к экранам входа в систему, что создает дополнительные возможности для попыток несанкционированного доступ к вашим данным.
- Поход за ресурсами: Отключение NLA может привести к увеличению нагрузки на сервер, поскольку подключения будут устанавливаться без предварительной аутентификации.
Оценка рисков
Использовать режим кулера и отключать NLA на стационарных машинах, работающих в защищенных сетях, может быть оправдано, поскольку при этом риск внешнего вмешательства минимален. Однако на мобильных устройствах, которые подключаются к открытым Wi-Fi сетям, отключать NLA не рекомендуется. Поскольку доступ к вашему устройству любого другого пользователя будет значительно упрощен, это может привести к утечке данных.
Заключение
Режим кулера в Chrome Remote Desktop предоставляет полезные функции для тех, кто обеспокоен конфиденциальностью своего удаленного доступа, однако отключение NLA требует тщательного подхода к оценке рисков. Рекомендуется использовать этот функционал с осторожностью, особенно на мобильных устройствах. Ваши данные и конфиденциальность должны оставаться в приоритете. Всегда старайтесь подключаться к безопасным сетям и при необходимости используйте VPN-решения для дополнительной защиты.