Perché è male mappare le unità di rete in Windows?

C'è stata una discussione animata all'interno del nostro dipartimento IT sulla mappatura delle unità di rete. In particolare, è stato detto che mappare le unità di rete è una cosa negativa e che l'aggiunta di percorsi DFS o condivisioni di rete ai preferiti (Esplora risorse / Librerie di Windows) è una soluzione molto migliore.

Perché è così?

Personalmente trovo la comodità di z:\folderessere migliore di \\server\path\folder', in particolare con la linea cmd e gli script (ovviamente non sto parlando di collegamenti hard-coded, naturalmente!).

Ho provato a cercare vantaggi e svantaggi delle unità di rete mappate, ma non ho visto altro che "se la rete dovesse andare in crash, l'unità non sarà disponibile". Ma questa è una limitazione di qualsiasi memoria di accesso alla rete.

Mi è stato anche detto che le unità di rete mappate eseguono il polling della rete quando la risorsa di rete non è disponibile, tuttavia non ho trovato ulteriori informazioni al riguardo. Le unità di rete eseguono il polling della rete più di una libreria / preferita di Windows Explorer? Non sarebbe comunque un problema con altri meccanismi di accesso alla rete (ovvero Preferiti mappati) ogni volta che Windows tenta di enumerare il file system (ad esempio, quando viene aperta una finestra di dialogo di selezione file / cartella)?

Immagino che la ragione più forte per non mappare le unità di rete sia che gli amministratori non vogliono affrontare il mal di testa di mantenere un indice di un numero finito di lettere di unità oltre ai percorsi di rete. Per prima cosa, potrebbero esserci troppe condivisioni di rete comunemente utilizzate per assegnare lettere di unità a tutte e in una grande organizzazione, non tutti avranno accesso a tutte le stesse condivisioni. I nomi delle condivisioni sono anche più descrittivi e potenzialmente meno ambigui delle lettere di unità (più sull'ambiguità in seguito).

In secondo luogo, è possibile imbattersi in collisioni di lettere di unità. Se il PC di qualcuno ha un lettore di schede di memoria, questo potrebbe inghiottire quattro o più lettere di unità. A e B sono in genere riservati per le unità floppy del secolo scorso e C e D sono generalmente riservati per il disco rigido e l'unità ottica, quindi il lettore di schede utilizzerà E, F, G e H. Se una delle unità di rete di solito è mappato su H: tramite uno script di accesso, questa persona povera non sarà in grado di utilizzare l'unità H: del lettore di schede o non sarà in grado di montare l'unità di rete.

A meno che qualcuno all'interno dell'organizzazione sia responsabile dell'assegnazione di lettere di unità per scopi specifici, le unità di rete potrebbero anche finire per creare molta confusione. Ad esempio, supponiamo di mappare l'unità S: alla condivisione che ha i programmi di installazione per tutto il software con licenza del sito e qualcun altro mappa S: all'unità condivisa in cui rilasciano tutti i tipi di documenti condivisi. Quando si tenta di spiegare come installare alcuni software, si dice loro di aprire la loro unità S: e trovare il programma di installazione per Microsoft Office, ma tutto ciò che riescono a trovare è una cartella denominata office , che contiene un mucchio di file vari che qualcuno ha lasciato cadere lì per un trasferimento di file temporaneo. Potrebbero essere necessari 5 o 10 minuti per risolvere la confusione.

Esistono anche alcuni potenziali problemi di prestazioni se un server si arresta o se una macchina viene rimossa dalla rete. Ad esempio, se si mappano le unità di rete su una macchina, quindi si rimuove la macchina dalla rete (forse è un laptop), la macchina potrebbe bloccarsi all'accesso mentre Windows tenta invano di montare le unità di rete mancanti.

D'altra parte, nelle versioni precedenti di Windows, ho notato che i trasferimenti di file da o verso un'unità di rete mappata spesso vanno molto più velocemente rispetto a quando si accedeva alla cartella di rete e si eseguiva lo stesso trasferimento di file - nel qual caso, la maggior parte le persone preferirebbero mappare le unità di rete.

La semplice risposta è che non è una brutta cosa. Le unità di rete sono perfettamente sicure da mappare come unità.

La superstizione deriva dal fatto che non dovresti mappare le unità esterne (cioè Internet) come locali perché i file aperti da unità mappate vengono aperti utilizzando la zona "locale", che generalmente offre loro meno protezione - e se i file stanno effettivamente arrivando da Internet questa è una riduzione della sicurezza.

Se, come ho il sospetto è il caso, si sta effettivamente la mappatura int ra le unità di rete di rete, quindi aprire le cartelle come unità mappate è esattamente sicuro come accedervi tramite i loro nomi di percorso di rete. L'unica differenza è che averli mappati è più conveniente.

Nella mia esperienza, si concentra principalmente su software scritto male.

Se la persona A lavora su una suite di file mappati G:e quindi la persona B tenta di aprire lo stesso set di file con lo stesso percorso mappato H:, le cose falliscono.

Se usi percorsi UNC, supponendo che i computer della persona A e della persona B possano entrambi vedere il punto di condivisione, tutto funzionerà bene.

Certo, la soluzione ideale è quella di utilizzare software che non memorizza le relazioni tra file utilizzando percorsi assoluti, ma non è qualcosa che puoi sempre controllare.

Un sacco di software nei mercati CAD / CAM è scritto male e funziona a malapena. Poiché il mercato è piuttosto piccolo, la pressione competitiva è scarsa. Conosco almeno un software che ha avuto problemi con percorsi assoluti per le ultime 5 versioni principali, e rimangono ancora non risolti, nonostante abbiano segnalato i problemi alla società.

Abbiamo avuto seri problemi con le unità di rete in cui lavoro perché a volte Windows non si collega a loro e sembra che non si connetta automaticamente un'unità di rete quando un programma tenta di accedervi.

Almeno una mezza dozzina di volte che un utente della contabilità ha chiamato perché riceve lo stesso errore. È perché ha aperto il programma X, che utilizza un file mappato sull'unità di rete Y :, e non è collegato per qualche motivo insondabile.

Dubito che i ragazzi IT siano preoccupati per un utente che mappa un'unità di rete, piuttosto sono preoccupati per un centinaio di utenti o un migliaio. Ad esempio, se un gruppo di host avvia l'indicizzazione della ricerca di un'unità o di unità di rete contemporaneamente, che effetto avrà su tutti gli altri che tentano di utilizzare la rete? Quando un'unità di rete viene inevitabilmente messa offline, bloccherà centinaia di macchine fino a quando il sistema operativo non si arrenderà e lascerà cadere la mappatura dell'unità? I PC si avvieranno e si avvieranno più lentamente o non si avviano del tutto se non è possibile ristabilire le connessioni alle unità mappate?

Un problema con la sintassi \ server \ dir è che le finestre di comando non possono eseguire il cd. Se si dispone dei privilegi di amministratore e non si desidera utilizzare una lettera di unità, è possibile utilizzare il comando mklink per montare le unità in una directory anziché una lettera di unità. La directory Home non dovrebbe esistere.

mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ user1"

Questa cartella è utilizzabile da tutto.

Il montaggio su un lettore può essere errato perché è possibile che passi a un altro punto di montaggio. Quindi stai leggendo e scrivendo qualcosa che non ti aspetti. Se gli eseguibili da un punto di montaggio cambiano, potrebbero contenere virus.

La mia soluzione richiede i privilegi di amministratore, quindi se non si esegue con i diritti di amministratore, è più sicuro poiché un altro programma non potrebbe modificarlo senza diritti di amministratore.

Ecco un buon motivo:

Windows (almeno XP) non supporta percorsi di file con oltre 256 caratteri. La mappatura consente a qualcuno di aggiungere un file dove otherwhise non sarebbe possibile, accorciando il percorso. Quindi hai un programma che naviga attraverso tutti i file e le cartelle e non è a conoscenza della mappatura. Senza il mapping, il file esistente ha una lunghezza del percorso superiore a 256. Il programma si arresta in modo anomalo.

Un certo numero di software, tra cui varie versioni di Microsoft Visual Studio e CMS Bounceback, funzionerà solo con lettere di unità e non con percorsi assoluti. Data questa limitazione, quindi per utilizzare un software del genere è necessario definire lettere di unità - non si ha scelta. Ma Windows non lo rende molto semplice in quanto sembra richiedere un ID utente e una password, ma solo un ID utente e una password sono consentiti in Windows per tutte le connessioni a un singolo dispositivo di rete (ad esempio più dischi e stampanti).

Parla con alcune delle centinaia di consulenti IT che ora hanno a che fare con il recente scoppio zero-day di "CryptoLocker" e ti accorgerai presto che le unità mappate su un computer locale che vengono infettate possono causare ingenti danni ai dati sul server, tramite l'unità mappata.

In particolare:

“CryptoLocker accederà anche alle unità di rete mappate a cui l'utente corrente ha accesso in scrittura e crittograferà quelle. Non attaccherà semplici condivisioni server, ma solo unità mappate. "

Pertanto, ci sono chiaramente problemi di sicurezza nell'uso di unità mappate in questa epoca di malware zero-day sempre presente e appena scoperto che colpisce frequentemente gli utenti.

Abbiamo eliminato tutte le unità mappate attraverso la nostra LAN e utilizziamo invece "condivisioni di rete".

Alcuni motivi per non utilizzare unità mappate:

1) Occupano risorse su entrambi i computer locali con l'unità mappata e le risorse di rete. Le applicazioni locali possono diventare lente perché il computer locale deve leggere il contenuto dell'unità mappata all'avvio dell'applicazione o all'avvio del sistema. Provalo. Mappa un gruppo di unità e avvia Excel. Annulla la mappatura delle unità e riprova.

2) Spostare l'applicazione in un nuovo ambiente sarà noioso. In caso di ripristino di emergenza, passare a una macchina più potente o se un altro sviluppatore sta rilevando l'applicazione. Se il nuovo ambiente non consente le unità mappate o le lettere delle unità sono mappate in modo diverso, qualcuno sta impiegando del tempo a riscrivere il codice. Il tempo risparmiato sul front-end sarà più che perso riparandolo.

So che è un vecchio thread, ma non direi che sono perfettamente sicuri. Abbiamo rimosso le unità mappate a causa dei rischi per la sicurezza. Molti virus cercano di diffondersi tra le unità. Tuttavia, non si diffondono tra le scorciatoie che puntano alle condivisioni DFS. Qualcosa da tenere a mente ...

Un motivo per limitare il mapping delle unità sarebbe costituito dai virus della posta elettronica (file zip o exe aperti da utenti un po '"densi") come Cryptolocker che alfabetizzerà tutti i file su unità locali e mappate e li crittograferà. (In particolare) non discrimina in base alle unità. Siamo stati colpiti e siamo riusciti a recuperare utilizzando i backup dei server, ma ovviamente i file locali erano "brindisi".

Alcuni virus e malware diffusi sfrutteranno le unità mappate. Questo è un buon motivo per non usarli.

Le unità mappate sono più veloci se si manipolano grandi quantità di file. Windows autentica l'accesso una volta con un'unità mappata e quindi consente le interazioni tra file. I percorsi UNC sono autenticati da Windows per ogni file a cui si accede. Quindi il processo di autenticazione avverrebbe migliaia di volte se si manipolassero migliaia di file in un percorso UNC. Mapped Drive: autentica una volta UNC: autentica ogni volta che si accede a un file.

Ciò può avere implicazioni con qualcosa di semplice come la copia di file. Le unità mappate saranno sempre più veloci; evidentemente con un gran numero di file.

Non mi piace usare le unità mappate perché utilizzo raramente una varietà di risorse di rete e non riesco mai a trovare l'indirizzo completo che altri possano usare. L'uso delle scorciatoie mi consente anche di passare facilmente alla directory. Se l'unico motivo per mappare le unità è il limite di 256 caratteri, questa è una scusa scusa per perdere tutti i dettagli sulla posizione del file.

Le unità mappate sono pericolose! Negli ultimi anni con l'ondata di ransomware, ho rimosso le unità mappate laddove possibile. Il ransomware prende di mira tutte le LETTERE DI TRASMISSIONE, non solo i dati locali. Pertanto, mentre si è sicuri finché si mantengono backup ridondanti, è ancora un problema avere a che fare con una simile violazione dei dati.

Se ti trovi in ​​un ambiente aziendale (obiettivo principale del ransomware) e, se puoi, elimina le unità mappate !!

Alcuni virus ransomware, come la famiglia CryptoWall , cercano qualsiasi unità mappata e infettano tali unità. Se tuttavia la condivisione di rete utilizza UNC e non una lettera di unità, questi virus non infettano la condivisione.

In relazione alle considerazioni sul crypto / ransomware, Locky è un esempio di ransomware che può diffondersi tramite percorsi UNC e lettere di unità mappate. Se la tua preoccupazione riguarda: unità di rete mappate e percorsi UNC è determinata dal potenziale di attacchi ransomware, tieni presente che protegge solo da alcuni.

Esistono diversi modi per rilevare / prevenire gli attacchi ransomware e in genere si consiglia di utilizzare più metodi di protezione: proteggere la rete, proteggere l'endpoint e mantenere un solido regime di backup. Personalmente utilizzo Sophos InterceptX come soluzione anti-ransomware sull'endpoint, un firewall Cisco ASA (con IPS), ShadowProtect per il backup e utilizzo unità di rete mappate dove ha senso amministrativo farlo.

Disclaimer: sono un architetto certificato Sophos. Anche se non lavoro per Sophos, penso che la loro tecnologia sia pulita. Lavoro anche per un MSP, e questa è la tecnologia che abbiamo deciso dopo aver verificato le varie opzioni disponibili in Australia.

Modificato come richiesto per fornire maggiori informazioni per il secondo paragrafo. Inoltre, parlo australiano, non inglese, la grammatica è leggermente diversa e alcune parole sono scritte diversamente (è Colore, non Colore, e non mi fa nemmeno iniziare su melone).

L'unità di rete è un buon modo per condividere le risorse, ma non sono d'accordo con il fatto che le home directory siano inserite in un'unità di rete condivisibile. È semplicemente palesemente stupido. La maggior parte delle applicazioni utilizza la directory home come luogo per memorizzare impostazioni specifiche per gli utenti. Se l'IT vuole ancora un altro mal di testa (come se non abbiano abbastanza da gestire), fissare le dipendenze delle applicazioni per gli utenti all'interno della rete può essere una seccatura che possono aggiungere il loro sacco di problemi. Questi problemi possono sorgere in un ambiente in cui vengono utilizzate molte di queste applicazioni e le loro dipendenze e requisiti cambiano. Per prima cosa, il lavoro può essere irrigidito per gli utenti della rete e l'azienda perde tempo e denaro in base a bassi livelli di produttività. Questo è qualcosa che non può essere rischiato. In secondo luogo, alcune organizzazioni mappano l'unità home dell'utente sulla rete per monitorare cosa " è lì. Il governo lo fa molto come parte delle loro esigenze. Inoltre si aggiunge al problema di poter lavorare da casa. Se la tua connettività tramite VP ha problemi con l'applicazione che lavora in remoto tramite una sessione VPN, in cui esegui l'applicazione che richiede una dipendenza dall'unità principale mappata in rete e la mappatura dell'unità non riesce, allora sei esasperato.

Personalmente, penso che dovrebbe essere fatto solo per buoni motivi, ma non al punto in cui ostacola la produttività e influisce sui profitti dell'azienda.

Il motivo numero 1 per cui non vorresti farlo è che il ransomware non può accedere a un percorso UNC, ma le lettere di unità sono un gioco equo. Se desideri condividere la tua rete cryptolocked, continua con la mappatura delle lettere di unità.

Personalmente non vedo il vantaggio delle lettere di unità e trovo davvero che i percorsi UNC siano più facili in quanto non devo mai preoccuparmi di mappare le lettere di unità, specialmente dopo aver cambiato le password di accesso. È possibile creare collegamenti che non si comportano diversamente dalle lettere di unità e possono aggiungere tali collegamenti a Esplora risorse.