Por que é ruim mapear unidades de rede no Windows?

Eu imagino que o motivo mais strong para não mapear unidades de rede é que os administradores não querem lidar com as dores de cabeça de manter um índice de um número finito de letras de unidade além dos caminhos de rede. Por um lado, pode haver muitos compartilhamentos de rede comumente usados para atribuir letras de unidade a todos eles e, em uma grande organização, nem todos terão acesso aos mesmos compartilhamentos. Nomes de compartilhamento também são mais descritivos e potencialmente menos ambíguos do que letras de unidade (mais sobre a ambigüidade posterior).

Em segundo lugar, você pode colidir com colisões de letra de unidade. Se o PC de alguém tiver um leitor de cartão de memória, isso pode engolir quatro ou mais letras de unidade. A e B são normalmente reservados para as unidades de disquete do século passado, e C e D são geralmente reservados para o disco rígido e unidade óptica, portanto, o leitor de cartões usará E, F, G e H. Se uma de suas unidades de rede geralmente é mapeado para H: por meio de um script de logon, essa pessoa pobre não poderá usar a unidade H: do leitor de cartões ou não poderá montar a unidade de rede.

A menos que alguém dentro da organização seja responsável por alocar letras de unidade para fins específicos, as unidades de rede também podem acabar causando muita confusão. Por exemplo, suponha que você mapeie a unidade S: para o compartilhamento que possui os programas de instalação para todo o seu software licenciado pelo site, e outra pessoa mapeia S: para a unidade compartilhada, onde eles descartam todos os tipos de documentos compartilhados. Quando você tenta explicar como instalar algum software, você diz a eles para abrir a unidade S: e encontrar o programa de instalação do Microsoft Office, mas tudo o que eles podem encontrar é uma pasta chamada office , que contém um Um monte de arquivos diversos que alguém deixou lá para uma transferência temporária de arquivos. Pode levar 5 ou 10 minutos para resolver a confusão.

Existem também alguns problemas potenciais de desempenho se um servidor ficar inativo ou se uma máquina for retirada da rede. Por exemplo, se você mapear unidades de rede em uma máquina e, em seguida, remover a máquina da rede (talvez seja um laptop), a máquina pode parecer travar durante o logon enquanto o Windows tenta montá-las.

Por outro lado, em versões mais antigas do Windows, notei que as transferências de arquivos para ou de uma unidade de rede mapeada geralmente são muito mais rápidas do que se você navegasse para a pasta de rede e realizasse a mesma transferência de arquivos Nesse caso, a maioria das pessoas prefere mapear unidades de rede.

A resposta simples é que não é uma coisa ruim. Unidades de rede são perfeitamente seguras para mapear como drives.

A superstição vem do fato de que você não deveria estar mapeando unidades estrangeiras (isto é, Internet) como locais porque os arquivos abertos de unidades mapeadas são abertos usando a zona "local", que geralmente os oferece menos proteção - e se os arquivos estão realmente vindo da Internet, isso representa uma redução na segurança.

Se, como suspeito, você está mapeando int ra unidades de rede de rede, abrir as pastas como unidades mapeadas é exatamente tão seguro quanto acessá-las pelo caminho de rede nomes. A única diferença é que tê-los mapeado é mais conveniente.

Na minha experiência, concentra-se principalmente em software mal escrito.

Se a pessoa A trabalhar em um conjunto de arquivos mapeados para G: e, em seguida, a pessoa B tentar abrir o mesmo conjunto de arquivos com o mesmo caminho mapeado para H: , as coisas falharão.

Se você usar caminhos UNC, presumindo que os computadores da pessoa A e da pessoa B podem ver o ponto de compartilhamento, tudo funcionará bem.

Claro, a solução ideal é usar software que não armazene relacionamentos de arquivos usando caminhos absolutos, mas isso não é algo que você sempre pode controlar.

Muitos softwares nos mercados de CAD / CAM são mal escritos e quase não funcionam. Como o mercado é pequeno, há pouca pressão competitiva. Conheço pelo menos um software que teve problemas com caminhos absolutos para os <5> últimos 5 principais lançamentos, e eles ainda permanecem sem correção, apesar de relatarem os problemas para a empresa.

Tivemos sérios problemas com unidades de rede onde eu trabalho porque às vezes o Windows não se conecta a elas, e parece que não conecta automaticamente uma unidade de rede quando um programa tenta acessá-la.

Pelo menos meia dúzia de vezes que um usuário da contabilidade ligou porque recebeu o mesmo erro. É porque ela abriu o programa X, que está usando um arquivo mapeado na unidade de rede Y :, e não está conectado por algum motivo insondável.

Eu duvido que os caras de TI estejam preocupados com um usuário mapeando uma unidade de rede, e eles estão preocupados com uma centena de usuários ou mil. Por exemplo, se um grupo de hosts inicia a indexação de pesquisa de uma unidade ou unidades de rede ao mesmo tempo, como isso afetará todos os demais que tentam usar a rede? Quando uma unidade em rede é inevitavelmente colocada offline, ela trancará centenas de máquinas até que o sistema operacional desista e elimine o mapeamento da unidade? Os PCs irão inicializar mais devagar ou falhar ao inicializar se as conexões com as unidades mapeadas não puderem ser restabelecidas?

Um problema com a sintaxe \ server \ dir é que as janelas de comando não podem fazer o cd para elas. Se você tiver privilégios de administrador e não quiser usar uma letra de unidade, poderá usar o comando mklink para montar unidades em um diretório em vez de uma letra de unidade. O diretório Home não deveria existir.

mklink / d "c: \ Drives \ Início" "\ server \ HomeFolder \ user1"

Esta pasta é utilizável por tudo.

A montagem em um drive leter pode ser ruim porque é possível que ele mude para outro ponto de montagem. Então você está lendo e escrevendo algo que não espera. Se os executáveis de um ponto de montagem mudarem, eles poderão conter vírus.

Minha solução requer privilégios de administrador, portanto, se você não estiver executando com direitos de administrador, ela será mais segura, já que outro programa não poderá alterá-la sem direitos de administrador.

Aqui está uma boa razão:

O Windows (pelo menos XP) não suporta caminhos de arquivo com mais de 256 caracteres. O mapeamento permite que alguém adicione um arquivo onde otherwhise não seria possível, encurtando o caminho. Então você tem um programa que navega por todos os arquivos e pastas, e não está ciente do mapeamento. Sem o mapeamento, o arquivo existente tem um comprimento de caminho acima de 256. O programa trava.

Vários softwares, incluindo várias versões do Microsoft Visual Studio e do CMS Bounceback, funcionam apenas com letras de unidade e não com caminhos absolutos. Dada essa restrição, usar um software como esse requer que você defina letras de unidade - você não tem escolha. Mas o Windows não torna isso muito fácil, pois parece solicitar uma ID de usuário e senha, mas apenas uma ID de usuário e senha é permitida no Windows para todas as conexões com qualquer dispositivo de rede (por exemplo, vários discos e impressoras). >     

Apenas fale com algumas das centenas de consultores de TI que agora estão tendo que lidar com o recente surto Zero-day de "CryptoLocker" e você logo perceberá que as unidades mapeadas em um computador local infectado podem causar problemas enormes. danos aos dados no servidor, através da unidade mapeada.

Especificamente:

“O CryptoLocker também acessará unidades de rede mapeadas que o usuário atual escrever acesso e criptografar esses. Ele não atacará compartilhamentos de servidor simples, somente unidades mapeadas. ”

Assim, há claramente preocupações de segurança com o uso de unidades mapeadas nesta era de malwares de dia zero sempre presentes e recém-descobertos que atingem os usuários com frequência.

Eliminamos todas as unidades mapeadas em nossa LAN e usamos "compartilhamentos de rede".

Algumas razões para não usar unidades mapeadas:

1) Eles pegam recursos na máquina local com a unidade mapeada e os recursos da rede. Os aplicativos locais podem ficar lentos porque o computador local precisa ler o conteúdo da unidade mapeada quando o aplicativo é iniciado ou quando o sistema é inicializado. Experimente. Mapeie várias unidades e inicie o Excel. Remova o mapeamento das unidades e tente novamente.

2) Mover seu aplicativo para um novo ambiente será tedioso. No caso de uma recuperação de desastre, mudar para uma máquina mais potente ou se outro desenvolvedor estiver assumindo a sua inscrição. Se o novo ambiente não permitir unidades mapeadas ou letras de unidade forem mapeadas de forma diferente, alguém está gastando tempo reescrevendo o código. O tempo economizado no front end será mais do que perdido para consertá-lo.

Eu sei que é um tópico antigo, mas eu não diria que eles são perfeitamente seguros. Removemos as unidades mapeadas devido aos riscos de segurança. Muitos vírus tentam se espalhar pelas unidades. No entanto, eles não se espalham por atalhos apontando para compartilhamentos DFS. Algo para manter em mente ...

Um motivo para limitar o mapeamento de unidade seria vírus de e-mail (arquivos zip ou exe abertos por usuários um tanto "densos"), como o Cryptolocker, que alfabetizará todos os arquivos em unidades locais e mapeadas e os criptografará. Ele (em particular) não discrimina de acordo com os impulsos. Nós fomos atingidos e fomos capazes de recuperar usando backups do (s) servidor (es), mas é claro que os arquivos locais foram "toast".

Certos vírus e malwares disseminados explorarão unidades mapeadas. Essa é uma boa razão para não usá-los.

As unidades mapeadas são mais rápidas se você estiver manipulando grandes quantidades de arquivos. O Windows autentica seu acesso uma vez com uma unidade mapeada e, em seguida, permite que as interações de arquivos ocorram. Caminhos UNC são autenticados pelo Windows para cada arquivo acessado. Assim, o processo de autenticação aconteceria milhares de vezes se você estivesse manipulando milhares de arquivos em um caminho UNC. Unidade mapeada - Autenticar uma vez UNC - Autentica toda vez que um arquivo é acessado.

Isso pode ter implicações com algo tão simples quanto copiar arquivos. Unidades mapeadas sempre serão mais rápidas; visivelmente com um grande número de arquivos.

Eu não gosto de usar unidades mapeadas porque eu uso uma variedade de recursos de rede com pouca freqüência e nunca consigo encontrar o endereço completo para outros usarem. Usando atalhos também me permite avançar no diretório com facilidade. Se a única razão para mapear unidades é o limite de 256 caracteres, é uma desculpa desculpe perder todos os detalhes da localização do arquivo.

Drives mapeados são perigosos! Nos últimos anos com o surgimento do ransomware, removi unidades mapeadas sempre que possível. O Ransomware segmenta todas as LETRAS DE DRIVE e não apenas os dados locais. Então, enquanto você estiver seguro, desde que mantenha backups redundantes, ainda é uma dor de cabeça ter que lidar com essa violação de dados.

Se você estiver em um ambiente de negócios (principal alvo do ransomware), e se puder, livre-se de unidades mapeadas!

Alguns vírus de ransomware, como a família CryptoWall , procuram por qualquer unidade mapeada e infectam essas unidades. Se, no entanto, o compartilhamento de rede estiver usando o UNC e não uma letra de unidade, esses vírus não infectarão o compartilhamento.

Em relação às considerações de criptografia / ransomware, Locky é um exemplo de ransomware que pode se espalhar via caminhos UNC, bem como letras de unidade mapeadas. Se a sua preocupação com unidades de rede mapeadas versus caminhos UNC for determinada pelo potencial de ataques de ransomware, entenda que ela apenas protege contra alguns.

Existem várias maneiras de detectar / impedir ataques de ransomware - e geralmente é recomendado usar vários métodos de proteção: proteger a rede, proteger o terminal e manter um regime de backup robusto. Eu pessoalmente uso o Sophos InterceptX como uma solução anti-ransomware no endpoint, um firewall Cisco ASA (com IPS), o ShadowProtect para backup e uso de drives de rede mapeados onde faz sentido administrativo fazê-lo.

Isenção de responsabilidade: Sou um arquiteto certificado pela Sophos. Embora eu não trabalhe para a Sophos, acho que a tecnologia deles é legal. Eu também trabalho para um MSP, e essa é a tecnologia que decidimos depois de verificar as várias opções disponíveis na Austrália.

Editado conforme solicitado para fornecer mais informações para o segundo parágrafo. Além disso, eu falo australiano, não inglês, a gramática é um pouco diferente e algumas palavras são escritas de forma diferente (é cor, não cor, e nem sequer me comece a cantar melão).

A unidade de rede é uma boa maneira de compartilhar recursos, mas não concordo com o fato de os diretórios pessoais serem colocados em uma unidade de rede compartilhável. Isso é simplesmente estupidamente estúpido. A maioria dos aplicativos usa seu diretório inicial como local para armazenar configurações específicas do aplicativo para os usuários. Se a TI quiser mais uma dor de cabeça (como se eles não tivessem o suficiente para lidar), então consertar as dependências de aplicativos para os usuários dentro da rede pode ser uma dor, pois eles podem adicionar sua bagagem de problemas. Esses problemas podem ser montados em um ambiente em que muitos desses aplicativos são usados e suas dependências e requisitos são alterados. Por um lado, o trabalho pode ser dificultado para os usuários da rede e a empresa perde dinheiro e tempo com base em baixos níveis de produtividade. Isso é algo que não pode ser arriscado. Em segundo lugar, algumas organizações mapeiam a unidade inicial do usuário na rede para monitorar o que está lá. O governo faz muito isso como parte de sua exigência. Também aumenta o problema de poder trabalhar em casa. Se a sua conectividade via VP tiver problemas com seu aplicativo trabalhando remotamente por meio de uma sessão VPN, onde você executa o aplicativo que requer uma dependência da sua unidade inicial mapeada em rede e o mapeamento da unidade falha, você é escolhido.

O motivo número 1 que você não deseja fazer é que o ransomware não consiga acessar um caminho UNC, mas as letras das unidades são justas. Se você quiser que você compartilhe a rede com criptografia, então continue com o mapeamento da letra da unidade.

Eu pessoalmente não vejo a vantagem de letras de unidade e realmente encontrar os caminhos UNC são mais fáceis, pois eu nunca tenho que me preocupar com o mapeamento de letras de unidade, especialmente depois de alterar as senhas de login. Você pode criar atalhos que não sejam diferentes das letras de unidade e pode adicionar esses atalhos ao Windows Explorer.