Perché è cattivo mappare le unità di networking in Windows?

Nel nostro reparto IT c'è stata una viva discussione sulla mapping delle unità di networking. In particolare, è stato detto che la mapping delle unità di networking è una cosa negativa e che l'aggiunta di routes DFS o di condivisioni di networking ai tuoi preferiti (Esplora risorse / Librerie) è una soluzione molto migliore.

Perché è questo il caso?

Personalmente trovo che la comodità della z:\folder sia migliore di \\server\path\folder ', in particolare con linee cmd e scripting (naturalmente non parlo di collegamenti rigidi, naturalmente!).

Ho cercato di cercare pro e contro di unità di networking mappate, ma non ho visto nient'altro che "se la networking wheresse scendere, l'unità non sarà disponibile". Ma questa è una limitazione di qualsiasi archiviazione accessibile in networking.

Mi è stato anche detto che le unità di networking mappate esaminano la networking quando la risorsa di networking non è disponibile, tuttavia non ho trovato ulteriori informazioni su questo. Le unità di networking sondano la networking più di una libreria / preferenza di Esplora risorse di Windows? Non sarebbe ancora questo un problema con altri meccanismi di accesso alla networking (cioè Preferenze mappate) each volta che Windows tenta di enumerare il file system (ad esempio, quando viene aperta una window di dialogo di selezione file o cartelle)?

    Immagino che la ragione più forte per non mappare le unità di networking è che gli amministratori non vogliono affrontare le emicranie di mantenere un indice di un numero finito di lettere di unità oltre ai routes di networking. Per uno, potrebbero essere troppe azioni di networking comunemente utilizzate per assegnare lettere di unità a tutti e in una big organizzazione, non tutti avranno accesso a tutte le stesse azioni. I nomi di condivisione sono anche più descrittivi e potenzialmente less ambigui delle lettere di unità (più sull'ambiguità più avanti).

    In secondo luogo, è ansible eseguire collisioni di lettera di unità. Se il PC di qualcuno dispone di un lettore di tabs di memory, ciò potrebbe ingannare quattro o più lettere di unità. A e B sono tipicamente riservati ai dischi floppy del secolo scorso, e C e D sono di solito riservati al disco rigido e all'unità ottica, in modo che il lettore di tabs utilizzerà E, F, G e H. Se uno dei tuoi drive di networking è di solito mappata su H: tramite uno script di accesso, questa povera persona non sarà in grado di utilizzare l'unità H del lettore di tabs o non sarà in grado di montare l'unità di networking.

    A less che qualcuno all'interno dell'organizzazione non sia responsabile dell'allocazione di lettere di unità per scopi specifici, le unità di networking potrebbero anche finire per causare molta confusione. Ad esempio, supponiamo di mappare l'unità S: alla condivisione dei programmi di installazione di tutti i software con licenza del sito e qualcun altro pianifica S: all'unità condivisa in cui rilasciano tutti i tipi di documenti condivisi. Quando si tenta di spiegare come installare un software, si chiede loro di aprire la propria unità S: e trovare il programma di installazione per Microsoft Office, ma tutto quello che trovano è una cartella denominata ufficio , che contiene un gruppo di file diversi che qualcuno ha lasciato lì per un trasferimento temporaneo di file. Potrebbe essere necessario 5 o 10 minuti per risolvere la confusione.

    Ci sono anche alcuni problemi di performance potenziali se un server scende o se una macchina viene tolto dalla networking. Ad esempio, se si mappano le unità di networking su una macchina, quindi rimuove la macchina dalla networking (forse è un computer porttile), potrebbe sembrare che la macchina blocca l'accesso quando Windows cerca invano di montare le unità di networking mancanti.

    D'altra parte, sulle vecchie versioni di Windows, ho notato che i trasferimenti di file da o da un'unità di networking mappata spesso vanno molto più velocemente rispetto a quando si è in navigazione nella cartella di networking e hanno eseguito lo stesso trasferimento di file – in questo caso, la maggior parte le persone preferiscono mappare le unità di networking.

    La semplice risposta è che non è una cosa negativa. Le unità di networking sono perfettamente sicure da mappare come unità.

    La superstizione deriva dal fatto che non si dovrebbe mappare le unità esterne (come Internet) perché sono locali perché i file aperti da unità mappati vengono aperti utilizzando la zona "locale", che in genere fornisce loro less protezione – e se i file stanno arrivando da Internet questo è una riduzione della sicurezza.

    Se, come sospetto che sia il caso, stai effettivamente mappando le unità di networking intranet, quindi aprendo le cartelle come unità mappate è esattamente sicuro quanto accedendoli tramite i nomi dei routes di networking. L'unica differenza è che la loro mapping è più conveniente.

    Nella mia esperienza, si concentra soprattutto sul software scritto male.

    Se la persona A lavora su una serie di file che sono mappati a G: e poi la persona B cerca di aprire lo stesso insieme di file con lo stesso path mappato su H: cose non funzionano.

    Se utilizzi i routes UNC, supponendo che la persona A ei computer di persona B possano vedere il punto di condivisione, tutto functionrà bene.


    Certo, la soluzione ideale è quella di utilizzare il software che non memorizza i rapporti di file utilizzando routes assoluti, ma non è una cosa che puoi sempre controllare.

    Un sacco di software nei mercati CAD / CAM è scarsamente scritto e funziona a malapena. Dal momento che il mercato è piuttosto piccolo, c'è poca pressione competitiva. Conosco alless un pezzo di software che ha avuto problemi con routes assoluti per le ultime 5 versioni principali e rimangono ancora non funzionali, nonostante riportino i problemi all'azienda.

    Abbiamo avuto gravi problemi con le unità di networking in cui lavoro perché a volte Windows non si connette a loro e sembra non colbind automaticamente un'unità di networking quando un programma tenta di accedervi.

    Alless una mezza dozzina di volte che un utente dalla contabilità ha chiamato perché ottiene lo stesso errore. È perché ha aperto il programma X, che utilizza un file mappato sull'unità di networking Y :, e non è connesso per qualche ragione insondabile.

    Dubito che i ragazzi IT siano preoccupati per un utente che traccia un'unità di networking, anzi sono preoccupati di cento utenti o mille. Ad esempio, se un gruppo di host avvierà indirizzi di ricerca di un'unità o unità di networking contemporaneamente, come influirà tutti gli altri che tentano di utilizzare la networking? Quando un'unità di networking viene inevitabilmente ripresa in modalità offline, blocca centinaia di macchine fino a quando il sistema operativo non rilascerà e rilascia la mapping degli azionamenti? I PC dovranno essere avviati in modo più lento o non riescono ad avviarsi totalmente se le connessioni a unità mappate non possono essere ristabilite?

    Un problema con la syntax \ server \ dir è che le windows di command non possono eseguire il cd. Se si dispone di privilegi di amministratore e non si desidera utilizzare una lettera di unità è ansible utilizzare il command mklink per montare unità in una directory anziché una lettera di unità. La home directory non dovrebbe esistere.

    mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ utente1"

    Questa cartella è utilizzabile da tutto.

    Il assembly su un disco di azionamento potrebbe essere cattivo perché è ansible cambiarlo in un altro punto di assembly. Poi stai leggendo e scrivendo qualcosa che non ti aspetti. Se gli eseguibili da un punto di assembly cambiano, potrebbero contenere virus.

    La mia soluzione richiede privilegi di amministratore, quindi se non si esegue con i diritti di amministratore, è più sicuro dato che un altro programma non è in grado di modificarlo su di te senza diritti di amministratore.

    Ecco una buona ragione:

    Windows (alless XP) non support i routes di file con più di 256 caratteri. La mapping consente a qualcuno di aggiungere un file in cui non sia ansible altrimenti abbreviando il path. Allora hai un programma che naviga su tutti i file e le cartelle e non è a conoscenza della mapping. Senza la mapping, il file esistente ha una lunghezza del path superiore a 256. Il programma si blocca.

    Un certo numero di pezzi di software, tra cui varie versioni di Microsoft Visual Studio e CMS Bounceback, functionranno solo con lettere di unità e non con routes assoluti. Dato questa restrizione allora usare qualsiasi software richiede di definire le lettere di unità – non hai scelta. Ma Windows non rende questo aspetto molto semplice in quanto sembra richiedere un ID utente e una password, ma solo un ID utente e una password sono consentiti in Windows per tutte le connessioni a un qualsiasi dispositivo di networking (ad esempio più dischi e printingnti).

    Basta parlare con alcune delle centinaia di consulenti IT che ora devono affrontare il recente scoppio zero di "CryptoLocker" e presto capinetworking che le unità mappate su un computer locale che vengono infettati possono causare danni massicci ai dati sul server, tramite l'unità mappata.

    In particolare:

    "CryptoLocker accederà anche alle unità di networking mappate che l'utente corrente ha in scrittura l'accesso e le crittografa. Non attaccherà le parti semplici del server, solo le unità mappate. "

    Pertanto, ci sono chiaramente preoccupazioni in materia di sicurezza con l'utilizzo di unità mappate in questa epoca di malware di zero giorni, sempre presenti e recentemente scoperti, che colpiscono spesso gli utenti.

    Abbiamo eliminato tutte le unità mappate nella nostra LAN e usando invece "parti di networking".

    Alcune ragioni per non utilizzare i drive mappati:

    1) Richiedono risorse sia sulla macchina locale che sull'unità mappata e sulle risorse di networking. Le applicazioni locali possono diventare instabili perché il computer locale deve leggere i contenuti dell'unità mappata quando viene avviata l'applicazione o quando viene avviato il sistema. Provalo. Programmi un sacco di unità e lanciate Excel. Distriggersre le unità e provare di nuovo.

    2) Spostare la tua applicazione in un nuovo ambiente sarà noioso. In caso di disastro recuperare, spostarsi in una macchina più potente o se un altro sviluppatore sta assumendo la tua applicazione. Se il nuovo ambiente non consente le unità mappate o le lettere di unità vengono mappate in modo diverso, allora qualcuno sta trascorrendo il codice di riscrittura del tempo. Il tempo salvato sulla parte anteriore sarà più che perduto fissandolo.

    Non mi piace usare le unità mappate perché uso una varietà di risorse di networking raramente e non riesco mai a trovare l'indirizzo completo per gli altri utenti. L'utilizzo di scorciatoie mi consente anche di aumentare facilmente la directory. Se l'unico motivo per mappare i dischi è il limite di 256 caratteri, si tratta di una scusa per perdere tutto quel dettaglio della posizione del file.

    So che è un filo vecchio, ma non direi che sono perfettamente sicuri. Abbiamo rimosso le unità mappate a causa dei rischi per la sicurezza. Molti virus cercano di diffondere attraverso le unità. Tuttavia, non si distribuiscono attraverso le scorciatoie che indicano le azioni DFS. Qualcosa da tenere a mente …

    Una delle ragioni per limitare la mapping dei drive è virus di posta elettronica (file zip o exe aperti da utenti "densi") quali Cryptolocker che abiterà tutti i file su unità locali e mappati e li crittografa. Esso (in particolare) non discrimina in base agli azionamenti. Siamo stati colpiti e siamo riusciti a recuperare utilizzando i backup del server, ma naturalmente i file locali erano "toast".

    Alcuni virus e malware diffusi sfrutteranno le unità mappate. E 'un motivo che non li usa.

    Le unità mappate sono più veloci se si manipolano grandi quantità di file. Windows autentica l'accesso una volta con un'unità mappata e consente quindi l'interazione dei file. I routes UNC vengono autenticati da Windows per each file accessibile. Quindi il process di authentication avrebbe avuto luogo migliaia di volte se si stava manipolando migliaia di file sotto un path UNC. Drive mappata – Autenticazione una volta UNC – Autenticazione each volta che un file viene acceduto.

    Ciò può avere implicazioni con qualcosa di semplice come la copia di file. Le unità mappate saranno sempre più veloci; notevolmente con un gran numero di file.

    In relazione alle considerazioni di crypto / ransomware, Locky è un esempio di ransomware che può essere diffuso tramite i routes UNC e le lettere di unità mappate. Se la tua preoccupazione è: le mappe di routes di networking vs. routes UNC sono determinati dal potenziale degli attacchi di ransomware, capire che protegge solo contro alcuni.

    Ci sono diversi modi per individuare o prevenire gli attacchi di ransomware e generalmente è consigliabile utilizzare methods di protezione multipli: proteggere la networking, proteggere l'endpoint e mantenere un sistema di backup robusto. Personalmente uso Sophos InterceptX come soluzione anti-ransomware sull'endpoint, un firewall Cisco ASA (con IPS), ShadowProtect per il backup e l'utilizzo di unità di networking mappate in cui ha senso amministrativo.

    Disclaimer: Sono un architetto certificato Sophos. Anche se non lavoro per Sophos, penso che la loro tecnologia sia pulita. Lavoro anche per un MSP, e questa è la tecnologia che abbiamo deciso dopo aver verificato le varie opzioni disponibili in Australia.

    Modificato come richiesto per dare ulteriori informazioni per il secondo paragrafo. Inoltre, parlo l'australiano, non l'inglese, la grammatica è leggermente diversa e alcune parole sono scritte in modo diverso (è Colore, non Colore, e non mi fanno nemless iniziato su cantalupo).

    L'unità di networking è un buon modo per condividere le risorse, ma non sono d'accordo sul fatto che le directory di origine siano messe su un'unità di networking condivisa. È solo stupido stupido. La maggior parte delle applicazioni utilizza la tua home directory come luogo per memorizzare impostazioni specifiche per gli utenti. Se l'IT desidera un'ulteriore mal di testa (come se non fossero abbastanza da affrontare), la riparazione delle dependencies delle applicazioni per gli utenti all'interno della networking può essere un dolore che può aggiungere la loro borsa di problemi. Questi problemi possono essere montati in un ambiente in cui vengono utilizzate molte applicazioni e le loro dependencies e requisiti cambiano. Per una cosa il lavoro può essere rigidito per gli utenti sulla networking e l'azienda perdere soldi e tempi basati su bassi livelli di produttività. Questo è qualcosa che non può essere rischiato. In secondo luogo, alcune organizzazioni mappano l'home drive degli utenti sulla networking per monitorare ciò che è presente. Il governo lo fa molto come parte del loro requisito. Aggiunge anche il problema di poter lavorare da casa. Se la tua connettività tramite VP ha problemi con l'applicazione in remoto tramite una session VPN, where eseguire l'applicazione che richiede una dipendenza dall'unità a casa mappata in networking e la mapping dell'unità non riesce, allora sei terminato.

    Personalmente, penso che ciò dovrebbe essere fatto solo per buone ragioni, ma non al punto che ostacola la produttività e colpisce la linea di fondo dell'azienda.

    Le unità mappate sono pericolose! Negli ultimi anni con l'aumento di ransomware, ho rimosso le unità mappate where ansible. Ransomware punta a tutti i LETTERE DRIVE non solo dati locali. Così, mentre sei sicuro finché conservi i backup ridondanti, è ancora un mal di testa a wherer affrontare una violazione di tali dati.

    Se sei in un ambiente di business (objective primario di ransomware) e se puoi, liberi di unità mappate !!

    Alcuni virus di ransomware, come la famiglia CryptoWall , cercano qualsiasi unità mappata e infettano quelle unità. Se la condivisione di networking utilizza UNC tuttavia e non una lettera di unità, questi virus non infettano la condivisione.

    Il motivo numero 1 per cui non volete fare questo è che il ransomware non può accedere a un path UNC, ma le lettere di unità sono un gioco giusto. Se si desidera che la condivisione di networking cripolocked quindi con tutti i mezzi continuare con mapping lettera di unità.

    Personalmente non vedo il vantaggio delle lettere di unità e cerco veramente che i routes UNC siano più semplici perché non devo mai preoccuparmi di mappare lettere di unità, in particolare dopo aver cambiato le password di accesso. È ansible creare collegamenti che non si comportno diversamente da lettere di unità e possono aggiungere tali scorciatoie a Esplora risorse.