Bạn đã tìm kiếm Chrome Remote Desktop và tìm thấy cụm từ “rủi ro bảo mật” kèm theo nó. Đó là một câu hỏi hợp lý cần nêu ra và nó xứng đáng có được câu trả lời chính xác hơn là những lời trấn an mơ hồ hoặc một danh sách cảnh báo không có ngữ cảnh.
Bài viết này đề cập đến các mối lo ngại thực tế về bảo mật máy tính từ xa của Chrome: công cụ nào bảo vệ tốt, lỗ hổng thực sự ở đâu và các bước cụ thể để khắc phục chúng. Dù là người dùng gia đình hay chuyên gia CNTT, rủi ro đều như nhau; số tiền đặt cược chỉ khác nhau.
Chrome Remote Desktop an toàn đến mức nào?
Chrome Remote Desktop được duy trì theo tiêu chuẩn cơ sở hạ tầng của Google và các biện pháp bảo vệ mặc định của nó là thực tế chứ không phải bề ngoài. Lỗ hổng bảo mật máy tính từ xa của Chrome mà hầu hết người dùng gặp phải không nằm ở lớp mã hóa; nó tồn tại trong cấu hình tài khoản và thiết lập mạng.
Chạy đánh giá bảo mật máy tính từ xa của Chrome có nghĩa là kiểm tra cả những gì được gửi theo mặc định và những gì bạn định cấu hình sau đó. Điểm mạnh của công cụ này đáng được xem xét công bằng trước khi lộ rõ những khoảng trống, vì việc loại bỏ nó hoàn toàn sẽ dẫn đến những quyết định sai lầm theo cả hai hướng.
Mã hóa: TLS/SSL và AES
Mọi đường truyền CRD đều chạy qua một đường hầm được mã hóa TLS/SSL với mã hóa AES được xếp lớp trên cùng. Dữ liệu di chuyển giữa thiết bị của bạn và máy từ xa không thể bị đọc bởi bất kỳ bên thứ ba nào trong quá trình truyền, kể cả nhà điều hành mạng hoặc ISP của bạn.
Mã PIN và mã dùng một lần được xác minh phía máy khách và không bao giờ được gửi tới máy chủ của Google ở dạng có thể đọc được. Nội dung phiên đi qua một Đường dẫn trực tiếp, STUN hoặc TURN/rơle tùy thuộc vào điều kiện mạng; tất cả các phiên máy tính từ xa đều được mã hóa hoàn toàn trên cả ba chế độ, theo tài liệu riêng của Google.
Đối với mục đích sử dụng cá nhân trên mạng đáng tin cậy, tính bảo mật của Chrome Remote Desktop đáp ứng cùng tiêu chuẩn mã hóa được áp dụng trong các giao dịch tài chính trực tuyến. Hầu hết người dùng đều đánh giá thấp mức độ vững chắc của đường cơ sở này trước khi những khoảng trống về cấu hình bắt đầu trở nên quan trọng.
Xác thực tài khoản Google và xác minh hai yếu tố
Quyền truy cập CRD yêu cầu tài khoản Google đang hoạt động, được xác thực và được hỗ trợ bởi các biện pháp bảo vệ mạnh mẽ, phát hiện thông tin đăng nhập đáng ngờ và cảnh báo chiếm đoạt tài khoản ở cấp nền tảng. Nền tảng xác thực này thực sự mạnh mẽ, tách biệt CRD khỏi các công cụ chỉ dựa vào mật khẩu độc lập.
Kích hoạt Xác minh 2 bước giúp giảm đáng kể nguy cơ chiếm đoạt tài khoản dựa trên mật khẩu khi triển khai CRD. Nó không loại bỏ các mối đe dọa sau xác thực như mã thông báo phiên bị đánh cắp, vì vậy nó hoạt động tốt nhất dưới dạng một lớp trong phương pháp tăng cường truy cập rộng hơn.
Phần của chúng tôi trên Máy tính từ xa Chrome là gì? xem chi tiết mô hình truy cập đầy đủ và quy trình thiết lập. Các mối lo ngại về bảo mật máy tính từ xa của Chrome trở nên cụ thể hơn nhiều khi bạn hiểu cách hoạt động của lớp tài khoản và đó chính xác là nơi phần tiếp theo bắt đầu.
Rủi ro bảo mật máy tính từ xa của Chrome
Các mối lo ngại về bảo mật với Chrome Remote Desktop ánh xạ trực tiếp đến các mẫu vi phạm được ghi lại trong toàn ngành. Theo Báo cáo đối thủ tích cực của Sophos trong nửa đầu năm 2024, tội phạm mạng đã lạm dụng Giao thức máy tính từ xa trong 90% các cuộc tấn công được xử lý bởi ứng phó sự cố của Sophos vào năm 2023.
Các dịch vụ từ xa bên ngoài đóng vai trò là phương pháp truy cập ban đầu hàng đầu trong 65% các trường hợp đó, trên hơn 150 cuộc điều tra trải rộng trên 23 quốc gia. Những số liệu này bao gồm các công cụ máy tính để bàn từ xa một cách rộng rãi; các phần bên dưới xác định nơi cụ thể các mẫu đó áp dụng cho CRD.
Mối quan tâm về quyền riêng tư
CRD được nhúng vào hệ sinh thái tài khoản Google. Dấu thời gian kết nối, số nhận dạng thiết bị và tần suất truy cập đều được liên kết với tài khoản đó. Vấn đề bảo mật máy tính từ xa của Google Chrome ở đây mang tính cấu trúc: toàn bộ mô hình nhận dạng của công cụ nằm trong một tài khoản Google.
Tài khoản bị xâm phạm thông qua lừa đảo hoặc chiếm đoạt mã thông báo trình duyệt sẽ mang lại cho kẻ tấn công khả năng hiển thị trực tiếp vào tất cả các thiết bị từ xa đã đăng ký. Đây không phải là vi phạm quyền truy cập từ xa độc lập; đó là sự xâm phạm tài khoản Google đầy đủ, nghĩa là khả năng hiển thị sẽ mở rộng đến mọi dịch vụ, tài liệu và liên hệ được liên kết được lưu trữ trong tài khoản đó.
Lỗ hổng WiFi công cộng
Chrome Remote Desktop sử dụng WebRTC làm lộ trình kết nối, với quá trình đàm phán ban đầu được xử lý thông qua các dịch vụ của Google trước khi phiên Trực tiếp, STUN hoặc TURN/chuyển tiếp được thiết lập. Trên các mạng công cộng hoặc không đáng tin cậy, các điều kiện định tuyến lưu lượng và khả năng hiển thị mạng gây ra những rủi ro mà mạng riêng được kiểm soát sẽ không có.
Những điều kiện đó rất quan trọng vì môi trường WiFi công cộng nằm ngoài tầm kiểm soát của bạn. Việc sử dụng CRD mà không có biện pháp phòng ngừa bổ sung trên mạng dùng chung sẽ mở rộng bề mặt hiển thị của bạn vượt ra ngoài phạm vi mà chỉ lớp mã hóa bao phủ.
VPN có thể giảm mức độ hiển thị trên các mạng không đáng tin cậy, nhưng đây là một lớp bổ sung chứ không phải là giải pháp khắc phục mọi rủi ro liên quan đến CRD.
Các vấn đề về tường lửa và khả năng tương thích
Hầu hết các bộ định tuyến gia đình đều vượt qua lưu lượng CRD mà không cần bất kỳ cấu hình nào. Mạng công ty chạy Kiểm tra gói sâu có thể gắn cờ thành phần báo hiệu WebRTC và loại bỏ thành phần đó mà không cần thông báo cho người dùng. Trên các mạng hạn chế, quản trị viên có thể cần cho phép Chrome Remote Desktop URL dịch vụ cộng với lưu lượng truy cập trên TCP/UDP 443 và 3478.
Từ quan điểm của người dùng, kết nối đơn giản là không thành công mà không có thông báo lỗi nào chỉ ra nguyên nhân thực sự. Tôi đã theo dõi kiểu lỗi này trên các môi trường doanh nghiệp; nó liên tục bị chẩn đoán nhầm là lỗi ứng dụng CRD chứ không phải là xung đột chính sách tường lửa.
Nếu lỗi chứng chỉ SSL xuất hiện trên cùng một mạng, Cách khắc phục thông báo HTTPS không an toàn trong Chrome bao gồm việc khắc phục sự cố cấp cổng liên quan áp dụng trong cùng một môi trường tường lửa và thường giải quyết cả hai vấn đề trong một lần.
Thông tin xác thực có khả năng yếu
Mã PIN tối thiểu của CRD là sáu chữ số. Ngưỡng đó không đủ cho bất cứ thứ gì ngoài mục đích sử dụng cá nhân thông thường. Hầu hết người dùng chọn các mẫu có thể dự đoán được, điều này làm thu gọn không gian tìm kiếm thực tế và khiến các nỗ lực bạo lực trở nên khả thi hơn nhiều so với số lượng chữ số gợi ý.
Việc sử dụng lại mật khẩu ở cấp tài khoản Google sẽ tạo ra điều này. Việc vi phạm ở bất kỳ dịch vụ không liên quan nào có thể trao cho kẻ tấn công một thông tin xác thực đã được kiểm tra để áp dụng đối với tài khoản Google nhằm kiểm soát quyền truy cập vào tất cả các thiết bị CRD đã đăng ký.
Theo Báo cáo chi phí vi phạm dữ liệu của IBM năm 2024, thông tin đăng nhập bị đánh cắp là phương thức tấn công ban đầu hàng đầu vào năm 2024, chiếm 16% tổng số vi phạm được phân tích trên 604 tổ chức được nghiên cứu tại 12 địa điểm.
Những vi phạm dựa trên thông tin xác thực đó mất trung bình 292 ngày để phát hiện và ngăn chặn, vòng đời dài nhất so với bất kỳ loại tấn công nào trong nghiên cứu. Các rủi ro bảo mật máy tính từ xa của Chrome gắn liền với thông tin xác thực yếu tuân theo mô hình chính xác này trong thực tế.
Nhược điểm của Chrome Remote Desktop
Tất cả những gì đã nói, mối lo ngại về bảo mật máy tính từ xa của Google vượt ra ngoài các mối đe dọa đang hoạt động. CRD được thiết kế nhằm mục đích sử dụng cá nhân và hỗ trợ cơ bản từ xa; những hạn chế dưới đây là những lựa chọn thiết kế có chủ ý và chúng trở thành yếu tố quyết định cho bất kỳ hoạt động triển khai chuyên nghiệp nào.
Không có quyền kiểm soát doanh nghiệp
Đối với việc triển khai CRD tiêu chuẩn trên Windows, Mac hoặc Linux, không có bản ghi kết nối và không có kiểm soát truy cập dựa trên vai trò. Môi trường ChromeOS được quản lý cung cấp Quyền truy cập bảng điều khiển dành cho quản trị viên và ghi nhật ký kiểm tra cấp phiên thông qua Chrome Enterprise nhưng những điều khiển đó không có bên ngoài bối cảnh được quản lý đó.
Chúng tôi nhận thấy đây là điểm mà những người đánh giá CNTT liên tục loại CRD để sử dụng cho tổ chức. Một kết nối không được ghi nhật ký tới dữ liệu được quản lý có thể thể hiện lỗi tuân thủ mà không có đường khắc phục, ngay cả khi đã thực hiện mọi bước tăng cường khác.
Sự phụ thuộc của tài khoản và giới hạn hiệu suất
Nếu tài khoản Google được liên kết với CRD không thể truy cập được thì quyền truy cập từ xa có thể bị gián đoạn, do đó, bạn nên biến một tài khoản người tiêu dùng thành con đường duy nhất để truy cập vào một máy quan trọng. Đánh giá sự phụ thuộc này trước khi triển khai là điều cần phải biết đối với bất kỳ nhóm nào chạy CRD trên các hệ thống quan trọng trong sản xuất hoặc kinh doanh.
Mã truy cập hỗ trợ là mã dùng một lần và trong phiên chia sẻ trực tiếp, người tổ chức sẽ được yêu cầu 30 phút một lần để xác nhận việc tiếp tục chia sẻ. Tính năng truyền tệp có sẵn trong các phiên từ xa được quản lý của ChromeOS nhưng không có trong các bản triển khai Windows, Mac và Linux tiêu chuẩn.
Ngoài những khoảng trống về tính năng, dung lượng bộ nhớ của Chrome kết hợp với kết nối từ xa đang hoạt động sẽ đặt một tải trọng có thể đo lường được lên phần cứng máy chủ, làm giảm hiệu suất trên các máy cũ trong thực tế.
Để phát triển, quản lý máy chủ hoặc quy trình làm việc chuyên nghiệp, một công cụ chuyên dụng Máy chủ RDP loại bỏ những giới hạn này. Tại Cloudzy, máy chủ của chúng tôi chạy trên bộ xử lý AMD Ryzen 9 tốc độ 4,2 GHz trở lên, với mạng lên tới 40 Gbps và SLA thời gian hoạt động 99,95%.
Chrome Remote Desktop so với máy chủ Cloudzy RDP
| Tính năng | Máy tính từ xa Chrome | Máy chủ RDP có đám mây |
| Tốc độ mạng | Định tuyến WebRTC có thể thay đổi | Lên đến 40 Gbps dành riêng |
| Bộ xử lý | Phụ thuộc vào phần cứng máy chủ | AMD Ryzen 9, tăng tốc 4,2+ GHz |
| Bảo vệ DDoS | Không có | Bảo vệ FreeDDoS |
| Giao thức | WebRTC qua HTTPS | RDP trên phiên bản cách ly KVM |
| Nhật ký kiểm tra | Không có sẵn | Ghi nhật ký sự kiện kết nối cấp hệ điều hành thông qua Windows Event Viewer |
| SLA thời gian hoạt động | Không có | 99.95% |
| Truyền tệp | Giới hạn; chỉ khả dụng trong ChromeOS được quản lý | Hỗ trợ RDP gốc |
| Phụ thuộc tài khoản | Tài khoản Google duy nhất | Thông tin xác thực Windows độc lập |
Máy tính từ xa của Google có an toàn không?
“Google Remote Desktop” và “Chrome Remote Desktop” là cùng một sản phẩm, đó là lý do tại sao các mối lo ngại về bảo mật của Google Remote Desktop và các vấn đề bảo mật của Google Remote Desktop xuất hiện dưới cả hai tên trên các diễn đàn và tài liệu sản phẩm. Kiến trúc, rủi ro và các bước tăng cường đều giống hệt nhau.
Google Remote Desktop an toàn cho mục đích sử dụng cá nhân khi được định cấu hình đúng cách. Mã hóa TLS/SSL cộng với AES đáp ứng tiêu chuẩn ngành; khi kích hoạt 2FA, lớp xác thực sẽ xử lý các loại mối đe dọa phổ biến nhất nhắm mục tiêu vào việc triển khai cá nhân và nhóm nhỏ.
Đối với các nhóm có yêu cầu tuân thủ, quy trình kiểm tra hoặc nhu cầu truy cập dự phòng, CRD không thể trở thành một công cụ độc lập. Rủi ro bảo mật máy tính từ xa của Google tăng tỷ lệ thuận với mức độ nhạy cảm của hệ thống được truy cập và số lượng người dùng liên quan.
Làm cách nào để Chrome Remote Desktop an toàn hơn?
Mọi rủi ro bảo mật máy tính từ xa của Chrome được xác định ở trên đều có cách khắc phục trực tiếp được liệt kê bên dưới. Các bước được sắp xếp theo tác động; làm việc thông qua chúng từ trên xuống dưới để nâng cấp nhanh nhất, có ý nghĩa nhất cho thiết lập của bạn mà không cần chi phí kỹ thuật không cần thiết.
Kích hoạt Xác minh hai bước trên Tài khoản Google của bạn
Mở myaccount.google.com, chọn Bảo mật, sau đó chọn Xác minh 2 bước. Chọn ứng dụng xác thực hoặc khóa bảo mật phần cứng làm yếu tố thứ hai. Hành động đơn lẻ này sẽ đóng loại vi phạm dựa trên thông tin xác thực mà dữ liệu IBM 2024 cho thấy trung bình là 292 ngày không bị phát hiện.
Khóa bảo mật phần cứng cung cấp khả năng bảo vệ mạnh mẽ nhất chống lại hành vi lừa đảo; ứng dụng xác thực là lựa chọn thiết thực nhất cho hầu hết người dùng. Chúng tôi nhận thấy rằng các nhóm kích hoạt bước này sẽ giảm đáng kể khả năng họ gặp phải các cuộc tấn công dựa trên thông tin xác thực, mặc dù các mối đe dọa sau xác thực như chiếm quyền điều khiển cookie phiên vẫn là một rủi ro riêng cần quản lý.
Đặt mã PIN dài và phức tạp
Sử dụng ít nhất 8 ký tự, kết hợp chữ cái và số, đồng thời tránh bất kỳ chuỗi nào gắn liền với dữ liệu cá nhân. Để cập nhật mã PIN hiện có, hãy mở remotedesktop.google.com/access, tìm thiết bị trong bảng Thiết bị từ xa và chọn biểu tượng bút chì.
Việc luân chuyển mã PIN định kỳ rất quan trọng, đặc biệt sau khi có bất kỳ quyền truy cập tạm thời được chia sẻ nào hoặc sau khi tài khoản Google hiển thị hoạt động đăng nhập đáng ngờ. Mã PIN số ngắn là một trong những điểm yếu được khai thác thường xuyên nhất trong quá trình triển khai CRD mà chúng tôi xem xét.
Sử dụng VPN trên bất kỳ mạng công cộng hoặc mạng chia sẻ nào
Kết nối với VPN của bạn trước khi mở CRD trên bất kỳ mạng nào mà bạn không trực tiếp kiểm soát. Chọn nhà cung cấp có chính sách không ghi nhật ký đã được xác minh và tính năng ngắt kết nối sẽ cắt quyền truy cập Internet nếu VPN đột ngột ngừng hoạt động, đóng cửa sổ hiển thị ngắn.
Hầu hết người dùng bỏ qua VPN trên mạng công cộng chưa bao giờ gặp phải sự cố rõ ràng, điều này tạo ra cảm giác sai lầm rằng rủi ro ở lớp mạng hoàn toàn chỉ là lý thuyết. Hãy coi bước VPN là không thể thương lượng trên bất kỳ mạng con dùng chung nào.
Kích hoạt chế độ màn cửa trên Windows
Chế độ rèm chặn màn hình vật lý của máy chủ hiển thị hoạt động từ xa trong khi kết nối CRD đang hoạt động. Bất kỳ ai ở máy chủ chỉ nhìn thấy màn hình bị khóa, bất kể người dùng từ xa đang làm gì. Nó yêu cầu Windows Professional, Ultimate, Enterprise hoặc Server.
Thiết lập Chế độ màn đầy đủ của Google yêu cầu bốn khóa đăng ký trên Windows. Bộ RemoteAccessHostYêu cầuRèm đến 1 dưới HKLM\Software\Policies\Google\Chrome, fTừ chốiTSKết nối đến 0 và Xác thực người dùng về 0 theo đường dẫn Terminal Server và trên Windows 10 cũng được đặt Lớp bảo mật đến 1 theo đường dẫn RDP-Tcp.
Google cảnh báo rằng một bước bị bỏ lỡ sẽ khiến phiên kết thúc ngay lập tức. Khi tất cả các khóa đã được đặt, hãy khởi động lại dịch vụ máy chủ CRD để áp dụng thay đổi.
Cài đặt này thường xuyên không được sử dụng trong quá trình triển khai văn phòng dùng chung và hầu hết các nhóm CNTT đều định cấu hình cài đặt này trong vòng chưa đầy năm phút.
Luôn cập nhật Chrome
CRD chạy trên cơ sở hạ tầng của Chrome, do đó, trình duyệt chưa được vá có nghĩa là máy chủ CRD chưa được vá. Vào năm 2025, Chrome ghi nhận 205 CVE được xuất bản ở điểm CVSS trung bình là 7,9; một số lỗi thực thi mã từ xa liên quan ảnh hưởng trực tiếp đến các máy chủ CRD đang hoạt động.
Mở Chrome, đi tới Trợ giúp, sau đó đi tới Giới thiệu về Google Chrome và xác nhận trạng thái phiên bản hiện tại. Google khuyên bạn nên bật cập nhật tự động vì vậy các bản vá bảo mật sẽ được áp dụng ngay khi chúng có sẵn. Việc trì hoãn hoặc chặn các bản cập nhật Chrome sẽ khiến các lỗ hổng đã biết mở ra trên mọi máy chủ CRD đang hoạt động.
Phần kết luận
Chrome Remote Desktop đi kèm với các biện pháp bảo vệ thực sự: mã hóa TLS/SSL, quyền truy cập dựa trên mã PIN và mô hình xác thực hỗ trợ 2FA. Đối với mục đích sử dụng cá nhân với các bước tăng cường được áp dụng, đây là một lựa chọn chắc chắn cho nhu cầu truy cập từ xa hàng ngày trên các mạng đáng tin cậy.
Giới hạn về cấu trúc là toàn bộ mô hình truy cập phụ thuộc vào một tài khoản Google. Có thể là tính nhất quán về hiệu suất, ghi nhật ký tuân thủ hoặc độ tin cậy của cơ sở hạ tầng, các mối lo ngại về bảo mật trong cài đặt chuyên nghiệp luôn hướng đến một giải pháp chuyên dụng. Đối với các nhóm đã phát triển CRD nhiều hơn, máy chủ dựa trên KVM của Cloudzy cung cấp nền tảng đáng tin cậy hơn.
Công cụ phù hợp phụ thuộc vào ngữ cảnh của bạn. CRD giải quyết tốt vấn đề truy cập cá nhân. Khi sự tuân thủ, thời gian hoạt động hoặc quyền truy cập của nhiều người dùng xuất hiện, kiến trúc cần phải phù hợp với các yêu cầu đặt ra.
