Dlaczego mapowanie dysków sieciowych w systemie Windows jest złe?

Wyobrażam sobie, że najsilniejszym powodem nie mapowania dysków sieciowych jest to, że administratorzy nie chcą zajmować się bólami głowy związanymi z utrzymaniem indeksu skończonej liczby liter dysków oprócz ścieżek sieciowych. Po pierwsze, może być zbyt wiele powszechnie używanych udziałów sieciowych, aby przypisać litery dysków do wszystkich z nich, a w dużej organizacji, nie każdy będzie miał dostęp do wszystkich tych samych udziałów. Nazwy udziałów są również bardziej opisowe i potencjalnie mniej niejednoznaczne niż litery dysków (więcej o niejednoznaczności później).

Po drugie, można natknąć się na kolizje liter dysków. Jeśli czyjś komputer posiada czytnik kart pamięci, może on pochłonąć cztery lub więcej liter dysków. A i B są zwykle zarezerwowane dla napędów dyskietek z ubiegłego wieku, a C i D są zwykle zarezerwowane dla dysku twardego i napędu optycznego, więc czytnik kart będzie używał E, F, G i H. Jeśli jeden z dysków sieciowych jest zwykle mapowany do H: przez skrypt logowania, ta biedna osoba albo nie będzie mogła użyć dysku H: czytnika kart, albo nie będzie mogła zamontować dysku sieciowego.

O ile ktoś w organizacji nie jest odpowiedzialny za przydzielanie liter napędów do określonych celów, dyski sieciowe mogą również powodować wiele zamieszania. Na przykład, przypuśćmy, że mapujesz dysk S: do udziału, w którym znajdują się programy instalacyjne dla wszystkich programów licencjonowanych w danej lokalizacji, a ktoś inny mapuje dysk S: do dysku współdzielonego, na który zrzuca wszystkie rodzaje współdzielonych dokumentów. Kiedy próbujesz wyjaśnić, jak zainstalować jakieś oprogramowanie, mówisz im, aby otworzyli dysk S: i znaleźli program instalacyjny dla Microsoft Office, ale wszystko, co mogą znaleźć, to folder o nazwie office, który zawiera kilka różnych plików, które ktoś tam wrzucił dla tymczasowego transferu plików. Uporządkowanie tego zamieszania może zająć Ci 5 lub 10 minut.

Istnieją również pewne potencjalne problemy z wydajnością, jeśli serwer ulegnie awarii lub jeśli maszyna zostanie usunięta z sieci. Na przykład, jeśli zmapujesz dyski sieciowe na maszynie, a następnie usuniesz ją z sieci (może to być laptop), maszyna może się zawiesić po zalogowaniu, podczas gdy Windows będzie bezskutecznie próbował zamontować brakujące dyski sieciowe.

Z drugiej strony, w starszych wersjach systemu Windows zauważyłem, że transfer plików do lub z mapowanego dysku sieciowego często przebiega znacznie szybciej niż w przypadku przeglądania folderu sieciowego i wykonywania tego samego transferu plików - w takim przypadku większość ludzi wolałaby mapować dyski sieciowe.

Prosta odpowiedź brzmi, że nie jest to zła rzecz. Dyski sieciowe są całkowicie bezpieczne do mapowania jako dyski.

Przesąd pochodzi z faktu, że nie powinieneś mapować obcych (tj. internetowych) dysków jako lokalnych, ponieważ pliki otwierane z mapowanych dysków są otwierane przy użyciu strefy “lokalnej”, co generalnie zapewnia im mniejszą ochronę - a jeśli pliki faktycznie pochodzą z Internetu, jest to zmniejszenie bezpieczeństwa.

Jeśli, jak podejrzewam, faktycznie mapujesz dyski sieciowe int ra net, to otwieranie folderów jako zmapowanych dysków jest dokładnie tak samo bezpieczne, jak dostęp do nich poprzez ich nazwy ścieżek sieciowych. Jedyna różnica polega na tym, że posiadanie ich zmapowanych jest wygodniejsze.

Z mojego doświadczenia wynika, że najczęściej dotyczy to źle napisanego oprogramowania.

Jeśli osoba A pracuje nad zestawem plików, które są zmapowane do G:, a następnie osoba B próbuje otworzyć ten sam zestaw plików z tą samą ścieżką zmapowaną do H:, wszystko się nie powiedzie.

Jeśli używasz ścieżek UNC, to zakładając, że komputery osoby A i osoby B widzą punkt udostępniania, wszystko będzie działać dobrze.

Jasne, idealnym rozwiązaniem jest używanie oprogramowania, które nie przechowuje relacji między plikami przy użyciu ścieżek bezwzględnych, ale nie jest to coś, co zawsze można kontrolować.

Wiele programów na rynku CAD/CAM jest źle napisanych i prawie w ogóle nie działa. Ponieważ rynek jest raczej mały, nie ma zbyt dużej presji konkurencyjnej. Znam co najmniej jedno oprogramowanie, które miało problemy ze ścieżkami bezwzględnymi przez ostatnie 5 głównych wydań, i nadal nie zostały one naprawione, pomimo zgłoszenia problemów do firmy.

Mieliśmy poważne problemy z dyskami sieciowymi, gdzie pracuję, ponieważ czasami Windows nie łączy się z nimi i wydaje się, że nie automatycznie łączy się z dyskiem sieciowym, gdy program próbuje uzyskać do niego dostęp.

Co najmniej pół tuzina razy dzwoniła użytkowniczka z księgowości, bo dostawała ten sam błąd. To dlatego, że otworzyła program X, który używa pliku zmapowanego na dysku sieciowym Y:, a ten z jakiegoś niezrozumiałego powodu nie jest podłączony.

Wątpię, aby informatycy martwili się o jednego użytkownika mapującego dysk sieciowy, raczej martwią się o stu użytkowników lub tysiąc. Na przykład, jeśli grupa hostów rozpocznie indeksowanie wyszukiwania na dysku lub dyskach sieciowych w tym samym czasie, jak wpłynie to na wszystkich innych próbujących korzystać z sieci? Gdy dysk sieciowy zostanie nieuchronnie wyłączony, czy spowoduje to zablokowanie setek maszyn, aż system operacyjny podda się i porzuci mapowanie dysku? Czy komputery w różnych miejscach będą uruchamiać się wolniej lub w ogóle nie będą się uruchamiać, jeśli nie będzie można przywrócić połączeń z mapowanymi dyskami?

Jednym z problemów ze składnią \serwer\dir jest to, że okna poleceń nie mogą cd do nich. Jeśli masz uprawnienia administratora i nie chcesz używać litery dysku, możesz użyć polecenia mklink, aby zamontować dyski do katalogu zamiast litery dysku. Katalog Home nie powinien istnieć.

mklink /d “c:\Drives\Home” “\server\HomeFolder\user1”

Ten folder jest używany przez wszystko.

Montowanie do letera dysku może być złe, ponieważ możliwe jest, że zmieni się on na inny punkt montowania. Wtedy czytasz i piszesz do czegoś, czego się nie spodziewasz. Jeśli pliki wykonywalne z punktu montowania się zmienią, mogą zawierać wirusy.

Moje rozwiązanie wymaga uprawnień administratora, więc jeśli nie pracujesz z prawami administratora, jest to bezpieczniejsze, ponieważ inny program nie mógłby zmienić go na tobie bez praw administratora.

Wiele programów, w tym różne wersje Microsoft Visual Studio i CMS Bounceback, działa tylko z literami dysków, a nie ze ścieżkami bezwzględnymi. Biorąc pod uwagę to ograniczenie, korzystanie z takiego oprogramowania wymaga zdefiniowania liter dysków - nie ma wyboru. Ale Windows nie ułatwia tego zbytnio, ponieważ wydaje się, że wymaga podania identyfikatora użytkownika i hasła, ale w Windows dozwolony jest tylko jeden identyfikator i hasło dla wszystkich połączeń z jednym urządzeniem sieciowym (np. wieloma dyskami i drukarkami).

Oto jeden dobry powód:

Windows (przynajmniej XP) nie obsługuje ścieżek do plików zawierających ponad 256 znaków. Mapowanie pozwala komuś dodać plik, gdzie w przeciwnym razie nie byłoby to możliwe, poprzez skrócenie ścieżki. Następnie masz program, który nawiguje przez wszystkie pliki i foldery, i nie jest świadomy mapowania. Bez mapowania, istniejący plik ma długość ścieżki powyżej 256. Program się zawiesza.

Wystarczy porozmawiać z setkami konsultantów IT, którzy mają do czynienia z niedawnym wybuchem epidemii “CryptoLocker”, a szybko zrozumieją, że zmapowane dyski na lokalnym komputerze, który został zainfekowany, mogą spowodować ogromne szkody w danych na serwerze, poprzez zmapowany dysk.

Konkretnie:

“CryptoLocker uzyska również dostęp do zmapowanych dysków sieciowych, do których bieżący użytkownik ma dostęp do zapisu i zaszyfruje je. Nie będzie atakował zwykłych udziałów serwera, tylko zmapowane dyski.”

Tak więc, istnieją wyraźne obawy dotyczące bezpieczeństwa związane z używaniem zmapowanych dysków w dobie wszechobecnego i nowo odkrytego złośliwego oprogramowania zero-day, które często uderza w użytkowników.

Wyeliminowaliśmy wszystkie zmapowane dyski w naszej sieci LAN i używamy zamiast nich “udziałów sieciowych”.

Kilka powodów, dla których nie należy używać zmapowanych dysków:

1) Zajmują zasoby zarówno na lokalnej maszynie z mapowanym dyskiem, jak i zasoby sieciowe. Lokalne aplikacje mogą stać się powolne, ponieważ komputer lokalny musi odczytać zawartość zmapowanego dysku, gdy aplikacja jest uruchamiana lub gdy system jest uruchamiany. Wypróbuj to. Zmapuj kilka dysków i uruchom program Excel. Odmapuj dyski i spróbuj ponownie.

2) Przenoszenie aplikacji do nowego środowiska będzie uciążliwe. W przypadku usuwania skutków awarii, przeniesienia na bardziej wydajną maszynę lub jeśli inny programista przejmuje Twoją aplikację. Jeśli nowe środowisko nie pozwala na mapowanie dysków lub litery dysków są mapowane inaczej, to ktoś spędza czas na przepisywaniu kodu. Czas zaoszczędzony na front-end będzie więcej niż stracony na jego naprawę.

Zmapowane dyski są szybsze w przypadku manipulowania dużymi ilościami plików. System Windows uwierzytelnia dostęp do zmapowanego dysku raz, a następnie pozwala na interakcje z plikami. Ścieżki UNC są uwierzytelniane przez system Windows dla każdego dostępnego pliku. Tak więc proces uwierzytelniania odbywa się tysiące razy, jeśli użytkownik manipuluje tysiącami plików w ramach ścieżki UNC. Zmapowany dysk - uwierzytelnij raz UNC - uwierzytelniaj przy każdym dostępie do pliku.

Może to mieć wpływ na coś tak prostego jak kopiowanie plików. Zmapowane dyski zawsze będą szybsze; zauważalne przy dużej liczbie plików.

Niektóre szeroko rozpowszechnione wirusy i złośliwe oprogramowanie mogą wykorzystywać zmapowane dyski. Jest to równie dobry powód, aby ich nie używać.

Jednym z powodów ograniczenia mapowania dysków byłyby wirusy pocztowe (pliki zip lub exe otwierane przez nieco “zagęszczonych” użytkowników), takie jak Cryptolocker, który alfabetyzuje wszystkie pliki na lokalnych i zmapowanych dyskach i szyfruje je. To (w szczególności) nie dyskryminuje dysków. Zostaliśmy dotknięci i byliśmy w stanie odzyskać przy użyciu kopii zapasowych serwera (ów), ale oczywiście lokalne pliki były “tostowane”.

Wiem, że to stary wątek, ale nie powiedziałbym, że są one całkowicie bezpieczne. Usunęliśmy zmapowane dyski z powodu zagrożeń bezpieczeństwa. Wiele wirusów próbuje rozprzestrzeniać się przez dyski. Nie rozprzestrzeniają się one jednak przez skróty wskazujące na udziały DFS. Coś, o czym należy pamiętać…

W odniesieniu do rozważań na temat crypto/ransomware, Locky jest jednym z przykładów ransomware, które może rozprzestrzeniać się poprzez ścieżki UNC, jak również zmapowane litery dysków. Jeśli Twoje obawy dotyczące mapowanych dysków sieciowych vs. ścieżek UNC są zdeterminowane przez potencjał ataków ransomware, zrozum, że chroni to tylko przed niektórymi.

Istnieje kilka sposobów na wykrywanie / zapobieganie atakom ransomware - i ogólnie zaleca się stosowanie wielu metod ochrony: ochrona sieci, ochrona punktów końcowych i utrzymywanie solidnego systemu kopii zapasowych. Osobiście używam Sophos InterceptX jako rozwiązania anty-ransomware na punktach końcowych, firewall Cisco ASA (z IPS), ShadowProtect do backupu i używam zmapowanych dysków sieciowych tam, gdzie ma to sens administracyjny.

Zastrzeżenie: Jestem Certyfikowanym Architektem Sophos. Chociaż nie pracuję dla Sophos, uważam, że ich technologia jest fajna. Pracuję również dla MSP, i to jest technologia, na którą się zdecydowaliśmy po sprawdzeniu różnych opcji dostępnych w Australii.

Edytowane zgodnie z życzeniem, aby podać więcej informacji dla drugiego akapitu. Ponadto, mówię po australijsku, a nie po angielsku, gramatyka jest nieco inna, a niektóre słowa są pisane inaczej (to Kolor, a nie Kolor, i nawet nie zaczynajcie mi mówić o kantalupie).

Nie lubię używać zmapowanych dysków, ponieważ rzadko korzystam z różnych zasobów sieciowych i nigdy nie mogę znaleźć pełnego adresu, z którego mogliby korzystać inni. Używanie skrótów umożliwia mi również łatwe poruszanie się w górę katalogu. Jeśli jedynym powodem do mapowania dysków jest limit 256 znaków, to jest to przykra wymówka, aby stracić wszystkie te szczegóły lokalizacji plików.

Zmapowane dyski są niebezpieczne! W ciągu ostatnich kilku lat, wraz z pojawieniem się oprogramowania ransomware, usuwałem zmapowane dyski, gdzie tylko było to możliwe. Ransomware celuje we wszystkie LITERY DYSKÓW, nie tylko w dane lokalne. Więc chociaż jesteś bezpieczny tak długo, jak utrzymujesz nadmiarowe kopie zapasowe, to nadal jest to ból głowy, aby mieć do czynienia z takim naruszeniem danych.

Jeśli jesteś w środowisku biznesowym (główny cel ransomware), i jeśli możesz, pozbądź się zmapowanych dysków!!!

Niektóre wirusy typu ransomware, takie jak rodzina CryptoWall , szukają dowolnego zmapowanego dysku i infekują te dyski. Jeśli jednak udział sieciowy używa UNC, a nie litery dysku, to wirusy te nie zainfekują udziału.

Powodem nr 1 jest to, że ransomware nie może uzyskać dostępu do ścieżki UNC, ale litery dysków są jak najbardziej fair. Jeśli chcesz, aby Twój udział sieciowy był zablokowany, kontynuuj mapowanie liter dysku.

Osobiście nie widzę korzyści z liter dysków i naprawdę uważam, że ścieżki UNC są łatwiejsze, ponieważ nigdy nie muszę się martwić o mapowanie liter dysków, zwłaszcza po zmianie haseł logowania. Można tworzyć skróty, które nie zachowują się inaczej niż litery dysków i można dodać te skróty do Windows Explorera.

Dysk sieciowy to dobry sposób na współdzielenie zasobów, ale nie zgadzam się z tym, że katalogi domowe powinny być umieszczane na współdzielonym dysku sieciowym. To jest po prostu rażąco głupie. Większość aplikacji używa katalogu domowego jako miejsca do przechowywania specyficznych ustawień aplikacji dla użytkowników. Jeśli IT chce jeszcze jeden ból głowy (tak jakby nie mieli wystarczająco dużo do czynienia), to ustalanie zależności aplikacji dla użytkowników w sieci może być bólem, który mogą dodać swój worek problemów. Problemy te mogą narastać w środowisku, w którym używanych jest wiele takich aplikacji, a ich zależności i wymagania zmieniają się. Dla jednej rzeczy praca może zostać zduszona dla użytkowników w sieci i firma traci pieniądze i czas w oparciu o niski poziom produktywności. Jest to coś, czego nie można ryzykować. Po drugie, niektóre organizacje mapują dyski domowe użytkowników w sieci, aby monitorować, co się na nich znajduje. Rząd robi to bardzo często jako część swoich wymagań. To również zwiększa problem możliwości pracy z domu. Jeśli Twoja łączność za pośrednictwem VP ma problemy z aplikacją działającą zdalnie poprzez sesję VPN, w której uruchamiasz aplikację wymagającą zależności od zmapowanego dysku domowego w sieci, a mapowanie dysku nie powiedzie się, to jesteś spłukany.

Osobiście uważam, że powinno się to robić tylko z ważnych powodów, ale nie do tego stopnia, że utrudnia to produktywność i wpływa na wynik finansowy firmy.