我几乎每天都会使用 Chrome 远程桌面。但是,想到有人可能坐在客户端机器前监视(或更糟的是,劫持)我正在做的事情,我就感到十分担忧。这种担忧几乎令人无法接受。
我找到了一种名为“窗帘模式”的解决方案。它使 Chrome 远程桌面更像 MS-RDP(仅在您访问时显示登录屏幕)。通过 Google,有很多关于如何实现窗帘模式的分步说明。事实上,其中一个直接来自谷歌:https://support.google.com/chrome/a/answer/2799701?hl=en。
我特别关注这个过程的第 2 步:
所有 Windows 安装的步骤:
- 使用 Regedit,将 HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostRequireCurtain 设置为 1。
- 通过以下方式启用与计算机的 RDP 连接取消勾选控制面板\系统和安全\系统 > 远程设置 > “仅允许运行具有网络级别身份验证的远程桌面的计算机进行连接(受到推崇的)”。
此步骤要求删除 Microsoft RDP 设备周围看似关键的安全层。我不完全确定这意味着什么,也不清楚取消选中该框的后果。
什么是“网络级身份验证”?如果删除它,是否会使机器更容易受到黑客攻击?
答案1
刚刚看到这个帖子,我在 NLA 方面遇到了一些挑战,所以尽管这是一个老问题,我还是想提供一个答案。根据维基百科:
网络级别身份验证 (NLA) 是远程桌面服务 (RDP 服务器) 或远程桌面连接 (RDP 客户端) 的一项功能,要求连接用户在与服务器建立会话之前进行身份验证。
最初,如果用户打开与服务器的 RDP(远程桌面)会话,服务器会为用户加载来自服务器的登录屏幕。这会耗尽服务器上的资源,并且是拒绝服务攻击以及远程代码执行攻击的潜在场所(参见 BlueKeep)。
这很好地解释了 NLA 的含义。现在,就现实世界的安全风险而言,我通常不愿意在笔记本电脑上禁用它,因为我可能会通过开放的 wifi 连接访问互联网。如果您的 PC 位于防火墙后面、使用安全的 wifi 或 VPN,黑客必须进入该网络才能尝试访问您的机器。但是,在开放网络上,很容易登录并嗅探 IP 并尝试利用。即使这样,它也只能带您到达 Windows 登录屏幕,所以它仍然不是免费通行证,但如果您碰巧遇到知道他们在做什么的非常恶意的人,则存在一些风险。
值得注意的是,NLA 是一种 Windows 安全构造,因此其他操作系统或用于 RDP 的第三方工具是否支持它很难说是好是坏。
因此,由于我恰好非常喜欢 Chrome 远程桌面,所以我的一般经验法则是在安全网络上相对固定的机器上禁用 NLA。至于我随身携带的笔记本电脑,我可能不需要远程访问,因此我会为此保留 NLA。希望这能有所帮助!