Dlaczego mapowanie dysków sieciowych w systemie Windows jest złe?

W naszym dziale IT odbyła się ożywiona dyskusja na temat mapowania dysków sieciowych. W szczególności powiedziano, że mapowanie dysków sieciowych jest złą rzeczą, a dodanie ścieżek DFS lub udziałów sieciowych do ulubionych (Eksploratora Windows / bibliotek) jest znacznie lepszym rozwiązaniem.

Dlaczego tak jest?

Osobiście uważam, że wygodę z:\folderjest lepsza niż \\server\path\folder', szczególnie w przypadku linii cmd i skryptów (oczywiście nie mówię oczywiście o linkach zakodowanych na stałe!).

Próbowałem szukać plusów i minusów zmapowanych dysków sieciowych, ale nie widziałem nic innego niż „gdyby sieć uległa awarii, dysk będzie niedostępny”. Jest to jednak ograniczenie pamięci dostępowej w sieci.

Powiedziano mi również, że zmapowane dyski sieciowe odpytują sieć, gdy zasób sieciowy jest niedostępny, jednak nie znalazłem więcej informacji na ten temat. Czy dyski sieciowe sondują sieć bardziej niż bibliotekę / ulubione Eksploratora Windows? Czy nie byłby to nadal problem z innymi mechanizmami dostępu do sieci (tj. Mapowanymi Ulubionymi) za każdym razem, gdy Windows próbuje wyliczyć system plików (na przykład, gdy otwarte jest okno dialogowe wyboru plików / folderów)?

Myślę, że najsilniejszym powodem nie mapowania dysków sieciowych jest to, że administratorzy nie chcą radzić sobie z problemami związanymi z utrzymywaniem indeksu skończonej liczby liter dysków oprócz ścieżek sieciowych. Po pierwsze, może być zbyt wiele powszechnie używanych udziałów sieciowych, aby przypisać im litery dysków, aw dużej organizacji nie wszyscy będą mieli dostęp do wszystkich tych samych udziałów. Nazwy udziałów są również bardziej opisowe i potencjalnie mniej dwuznaczne niż litery napędowe (więcej o niejasności później).

Po drugie, możesz napotkać kolizje liter napędowych. Jeśli czyjś komputer ma czytnik kart pamięci, może pochłonąć cztery lub więcej liter dysku. A i B są zwykle zarezerwowane dla stacji dyskietek ubiegłego wieku, a C i D są zwykle zarezerwowane dla dysku twardego i napędu optycznego, więc czytnik kart będzie używał E, F, G i H. Jeśli jeden z napędów sieciowych jest zwykle mapowany na H: za pomocą skryptu logowania, ta biedna osoba albo nie będzie mogła użyć dysku H: czytnika kart, albo nie będzie mogła zamontować dysku sieciowego.

O ile ktoś w organizacji nie jest odpowiedzialny za przydzielanie liter dysków do określonych celów, dyski sieciowe również mogą powodować zamieszanie. Załóżmy na przykład, że zamapujesz dysk S: na udział, który ma programy instalacyjne dla całego oprogramowania licencjonowanego w witrynie, a ktoś inny mapuje S: na udostępniony dysk, na którym upuszczają wszelkiego rodzaju udostępnione dokumenty. Kiedy próbujesz wyjaśnić, jak zainstalować niektóre oprogramowanie, każesz im otworzyć dysk S: i znaleźć program instalacyjny dla pakietu Microsoft Office, ale wszystko, co mogą znaleźć, to folder o nazwie biuro , który zawiera kilka różnych plików, które ktoś tam upuścił do tymczasowego transferu plików. Rozwiązanie problemu może zająć 5–10 minut.

Istnieją również potencjalne problemy z wydajnością w przypadku awarii serwera lub odłączenia komputera od sieci. Na przykład, jeśli zamapujesz dyski sieciowe na komputerze, a następnie usuniesz komputer z sieci (być może jest to laptop), może się wydawać, że komputer zawiesza się podczas logowania, podczas gdy system Windows bezskutecznie próbuje zamontować brakujące dyski sieciowe.

Z drugiej strony w starszych wersjach systemu Windows zauważyłem, że przesyłanie plików do lub z zamapowanego dysku sieciowego często przebiega znacznie szybciej niż w przypadku przeglądania folderu sieciowego i wykonania tego samego transferu plików - w takim przypadku większość ludzie wolą mapować dyski sieciowe.

Prosta odpowiedź brzmi: nie jest to zła rzecz. Dyski sieciowe są całkowicie bezpieczne do mapowania jako dyski.

Przesąd wynika z faktu, że nie powinieneś mapować obcych dysków (tj. Internetu) jako lokalnych, ponieważ pliki otwierane z mapowanych dysków są otwierane za pomocą strefy „lokalnej”, co ogólnie zapewnia im mniejszą ochronę - i jeśli pliki faktycznie nadchodzą z Internetu jest to zmniejszenie bezpieczeństwa.

Jeśli, jak podejrzewam, jest to przypadek, jesteś rzeczywiście odwzorowanie int ra dysków sieciowych netto, a następnie otwierając foldery jako zmapowanych dysków jest dokładnie tak bezpieczne, jak dostęp do nich poprzez ich nazwy ścieżki sieciowej. Jedyna różnica polega na tym, że mapowanie ich jest wygodniejsze.

Z mojego doświadczenia wynika, że ​​koncentruje się głównie na źle napisanym oprogramowaniu.

Jeśli osoba A pracuje na pakiecie plików, które są zamapowane G:, a następnie osoba B próbuje otworzyć ten sam zestaw plików z tą samą ścieżką zamapowaną H:, rzeczy nie działają.

Jeśli użyjesz ścieżek UNC, zakładając, że zarówno osoba A, jak i komputery osoby B zobaczą punkt udostępniania, wszystko będzie działać dobrze.

Oczywiście idealnym rozwiązaniem jest użycie oprogramowania, które nie przechowuje relacji plików przy użyciu ścieżek bezwzględnych, ale nie zawsze można to kontrolować.

Wiele programów na rynkach CAD / CAM jest źle napisanych i prawie nie działa. Ponieważ rynek jest raczej niewielki, presja konkurencyjna jest niewielka. Znam co najmniej jedno oprogramowanie, które miało problemy z bezwzględnymi ścieżkami dla ostatnich 5 głównych wydań i nadal pozostają nierozwiązane, pomimo zgłaszania problemów firmie.

Mieliśmy poważne problemy z dyskami sieciowymi, w których pracuję, ponieważ czasami system Windows nie łączy się z nimi i wydaje się, że nie łączy się automatycznie z dyskiem sieciowym, gdy program próbuje uzyskać do niego dostęp.

Co najmniej pół tuzina razy zadzwoniła użytkownik z księgowości, ponieważ dostaje ten sam błąd. To dlatego, że otworzyła program X, który używa pliku zmapowanego na dysku sieciowym Y :, i nie jest podłączony z jakiegoś niezgłębionego powodu.

Wątpię, czy informatycy martwią się, że jeden użytkownik mapuje dysk sieciowy, raczej martwi ich około stu użytkowników lub tysiąc. Na przykład, jeśli kilka hostów rozpocznie indeksowanie wyszukiwania dysku sieciowego lub dysków w tym samym czasie, jak wpłynie to na wszystkich innych próbujących korzystać z sieci? Kiedy dysk sieciowy zostanie nieuchronnie przełączony w tryb offline, czy zablokuje on setki komputerów, dopóki system operacyjny nie zrezygnuje z mapowania dysku? Czy komputery będą się ładować wolniej, czy nie uruchomią się całkowicie, jeśli nie będzie można przywrócić połączeń z mapowanymi dyskami?

Jednym ze problemów ze składnią \ server \ dir jest to, że okna poleceń nie mogą do nich cd. Jeśli masz uprawnienia administratora i nie chcesz używać litery dysku, możesz użyć polecenia mklink, aby zamontować dyski w katalogu zamiast litery dysku. Katalog Home nie powinien istnieć.

mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ user1"

Ten folder jest używany przez wszystko.

Montaż na leter dysku może być zły, ponieważ można go zmienić na inny punkt montowania. Potem czytasz i piszesz do czegoś, czego się nie spodziewasz. Jeśli pliki wykonywalne z punktu podłączenia zmienią się, mogą zawierać wirusy.

Moje rozwiązanie wymaga uprawnień administratora, więc jeśli nie masz uprawnień administratora, jest ono bezpieczniejsze, ponieważ inny program nie może go zmienić bez uprawnień administratora.

Oto jeden dobry powód:

System Windows (przynajmniej XP) nie obsługuje ścieżek plików zawierających więcej niż 256 znaków. Mapowanie pozwala komuś dodać plik, w którym nie byłoby to możliwe, poprzez skrócenie ścieżki. Następnie masz program, który porusza się po wszystkich plikach i folderach i nie jest świadomy mapowania. Bez mapowania istniejący plik ma długość ścieżki większą niż 256. Program ulega awarii.

Wiele programów, w tym różne wersje Microsoft Visual Studio i CMS Bounceback, będzie działać tylko z literami dysków, a nie z bezwzględnymi ścieżkami. Biorąc pod uwagę to ograniczenie, korzystanie z takiego oprogramowania wymaga zdefiniowania liter dysku - nie masz wyboru. Ale system Windows nie sprawia, że ​​jest to bardzo łatwe, ponieważ wydaje się, że wymaga podania identyfikatora użytkownika i hasła, ale tylko jeden identyfikator użytkownika i hasło są dozwolone w systemie Windows dla wszystkich połączeń z dowolnym urządzeniem sieciowym (np. Wieloma dyskami i drukarkami).

Po prostu porozmawiaj z setkami konsultantów IT, którzy teraz muszą poradzić sobie z niedawnym wybuchem „CryptoLocker” w czasie zero dni, a wkrótce zrozumiesz, że dyski mapowane na komputerze lokalnym, które zostały zainfekowane, mogą spowodować ogromne szkody w danych na serwerze za pośrednictwem zmapowanego dysku.

Konkretnie:

„CryptoLocker będzie również uzyskiwał dostęp do mapowanych dysków sieciowych, do których bieżący użytkownik ma dostęp do zapisu i szyfruje je. Nie będzie atakować prostych udziałów serwerów, tylko zmapowane dyski. ”

Dlatego istnieją wyraźne obawy dotyczące bezpieczeństwa związane z korzystaniem z mapowanych dysków w dobie stale obecnego i nowo odkrytego złośliwego oprogramowania zero-day często atakującego użytkowników.

Wyeliminowaliśmy wszystkie zamapowane dyski w naszej sieci LAN i zamiast tego używamy „udziałów sieciowych”.

Kilka powodów, aby nie używać zamapowanych dysków:

1) Zajmują zasoby zarówno na komputerze lokalnym z mapowanym dyskiem, jak i zasobami sieciowymi. Lokalne aplikacje mogą stać się powolne, ponieważ komputer lokalny musi odczytać zawartość zamapowanego dysku podczas uruchamiania aplikacji lub uruchamiania systemu. Wypróbuj to. Zamapuj kilka dysków i uruchom program Excel. Usuń mapowanie dysków i spróbuj ponownie.

2) Przeniesienie aplikacji do nowego środowiska będzie uciążliwe. W przypadku awarii przywróć, przenieś się na mocniejszy komputer lub jeśli Twoja aplikacja przejmie inny programista. Jeśli nowe środowisko nie pozwala na mapowanie dysków lub litery dysków są mapowane inaczej, ktoś spędza czas na przepisywaniu kodu. Czas zaoszczędzony na interfejsie będzie więcej niż stracony na naprawę.

Wiem, że to stary wątek, ale nie powiedziałbym, że są całkowicie bezpieczne. Usunęliśmy zmapowane dyski z powodu zagrożeń bezpieczeństwa. Wiele wirusów próbuje rozprzestrzeniać się na dyskach. Nie rozkładają się one jednak na skróty wskazujące udziały DFS. O czym należy pamiętać ...

Jednym z powodów ograniczenia mapowania dysków byłyby wirusy e-mail (pliki zip lub exe otwierane przez nieco „gęstych” użytkowników), takie jak Cryptolocker, które będą alfabetycznie wszystkie pliki na dyskach lokalnych i zmapowanych i szyfrują je. (W szczególności) nie dyskryminuje ze względu na dyski. Zostaliśmy trafieni i mogliśmy odzyskać dane za pomocą kopii zapasowych serwerów, ale oczywiście lokalne pliki były „wznoszone”.

Niektóre szeroko rozpowszechnione wirusy i złośliwe oprogramowanie będą wykorzystywać zmapowane dyski. To prawie tak samo dobry powód, aby ich nie używać.

Zmapowane dyski są szybsze, jeśli manipulujesz dużą ilością plików. System Windows uwierzytelnia dostęp raz za pomocą zamapowanego dysku, a następnie umożliwia interakcje z plikami. Ścieżki UNC są uwierzytelniane przez system Windows dla każdego dostępu do pliku. Tak więc proces uwierzytelnienia miałby miejsce tysiące razy, gdybyś manipulował tysiącami plików pod ścieżką UNC. Mapowany dysk - Uwierzytelnij raz UNC - Uwierzytelnij się przy każdym dostępie do pliku.

Może to mieć wpływ na coś tak prostego, jak kopiowanie plików. Zmapowane dyski zawsze będą szybsze; zauważalnie przy dużej liczbie plików.

Nie lubię korzystać z mapowanych dysków, ponieważ rzadko używam różnych zasobów sieciowych i nigdy nie mogę znaleźć pełnego adresu, z którego mogliby korzystać inni. Używanie skrótów pozwala mi również łatwo wchodzić do katalogu. Jeśli jedynym powodem mapowania dysków jest limit 256 znaków, jest to przepraszająca wymówka, aby utracić wszystkie szczegóły lokalizacji pliku.

Zmapowane dyski są niebezpieczne! W ciągu ostatnich kilku lat wraz z falą oprogramowania ransomware, w miarę możliwości usuwam zamapowane dyski. Ransomware atakuje wszystkie LISTY NAPĘDOWE, a nie tylko lokalne dane. Tak długo, jak jesteś bezpieczny, dopóki utrzymujesz zbędne kopie zapasowe, nadal problemem jest radzenie sobie z takim naruszeniem danych.

Jeśli jesteś w środowisku biznesowym (głównym celem ransomware) i jeśli możesz, pozbądź się mapowanych dysków !!

Niektóre wirusy ransomware, takie jak rodzina CryptoWall , szukają dowolnego zamapowanego dysku i infekują te dyski. Jeśli udział sieciowy używa jednak UNC, a nie litery dysku, wirusy te nie infekują udziału.

W odniesieniu do kwestii związanych z oprogramowaniem kryptograficznym / ransomware, Locky jest jednym przykładem oprogramowania ransomware, które może rozprzestrzeniać się ścieżkami UNC, a także mapowanymi literami dysków. Jeśli Twoje obawy dotyczące ponownego mapowania dysków sieciowych w porównaniu ze ścieżkami UNC są określone przez potencjał ataków ransomware, zrozum, że chroni tylko przed niektórymi.

Wykrywanie / zapobieganie atakom ransomware na kilka sposobów - i ogólnie zaleca się stosowanie wielu metod ochrony: ochrona sieci, ochrona punktu końcowego i utrzymanie solidnego systemu tworzenia kopii zapasowych. Osobiście używam Sophos InterceptX jako rozwiązania przeciw ransomware na punkcie końcowym, zaporze ogniowej Cisco ASA (z IPS), ShadowProtect do tworzenia kopii zapasowych i korzystam z mapowanych dysków sieciowych tam, gdzie jest to uzasadnione z administracyjnego punktu widzenia.

Uwaga: Jestem certyfikowanym architektem Sophos. Chociaż nie pracuję dla Sophos, myślę, że ich technologia jest fajna. Pracuję również dla MSP i właśnie tę technologię zdecydowaliśmy po sprawdzeniu różnych opcji dostępnych w Australii.

Edytowane zgodnie z prośbą, aby podać więcej informacji na temat drugiego akapitu. Poza tym mówię po australijsku, a nie po angielsku, gramatyka jest nieco inna, a niektóre słowa pisane są inaczej (to jest Kolor, nie Kolor, a nawet nie zaczynam od kantalupa).

Dysk sieciowy to dobry sposób na dzielenie się zasobami, ale nie zgadzam się z tym, że katalogi domowe można umieścić na dysku sieciowym umożliwiającym udostępnianie. To po prostu rażąco głupie. Większość aplikacji używa katalogu domowego jako miejsca do przechowywania określonych ustawień aplikacji dla użytkowników. Jeśli informatycy chcą jeszcze jednego bólu głowy (jakby nie mieli wystarczająco dużo do czynienia), to naprawienie zależności aplikacji dla użytkowników w sieci może być uciążliwe, ponieważ mogą dodać swoje problemy. Te problemy można zainstalować w środowisku, w którym używanych jest wiele takich aplikacji, a ich zależności i wymagania ulegają zmianie. Po pierwsze, praca w sieci może być utrudniona, a firma traci pieniądze i czas w oparciu o niski poziom wydajności. Tego nie można zaryzykować. Po drugie, niektóre organizacje mapują dysk domowy użytkownika w sieci, aby monitorować, co „ jest tam. Rząd robi to bardzo często w ramach swoich wymagań. Powoduje to również problem z pracą w domu. Jeśli Twoja łączność za pośrednictwem VP ma problemy z aplikacją działającą zdalnie za pośrednictwem sesji VPN, w której uruchamiasz aplikację, która wymaga zależności od dysku sieciowego zamapowanego w sieci, a mapowanie dysku nie powiedzie się, jesteś chowany.

Osobiście uważam, że powinno się to robić tylko z dobrych powodów, ale nie do tego stopnia, aby utrudniało wydajność i wpłynęło na wyniki finansowe firmy.

Numer 1 powód, dla którego nie chcesz tego zrobić, to że ransomware nie może uzyskać dostępu do ścieżki UNC, ale litery dysków są uczciwa gra. Jeśli chcesz, aby Twój udział sieciowy był szyfrowany, kontynuuj mapowanie liter dysków.

Osobiście nie widzę przewagi liter dysków i naprawdę stwierdzam, że ścieżki UNC są łatwiejsze, ponieważ nigdy nie muszę się martwić mapowaniem liter dysków, zwłaszcza po zmianie haseł logowania. Możesz tworzyć skróty, które nie zachowują się inaczej niż litery dysków i możesz dodać te skróty do Eksploratora Windows.