Perché è male mappare le unità di rete in Windows?

Immagino che la ragione più forte per non mappare le unità di rete sia che gli amministratori non vogliono affrontare il mal di testa di mantenere un indice di un numero finito di lettere di unità oltre ai percorsi di rete. Per esempio, potrebbero esserci troppe condivisioni di rete di uso comune per assegnare lettere di unità a tutte, e in una grande organizzazione, non tutti avranno accesso a tutte le stesse condivisioni. I nomi delle condivisioni sono anche più descrittivi e potenzialmente meno ambigui delle lettere di unità (più avanti sull'ambiguità).

Secondo, puoi incorrere in collisioni di lettere di unità. Se il PC di qualcuno ha un lettore di schede di memoria, questo potrebbe ingoiare quattro o più lettere di unità. A e B sono tipicamente riservate alle unità floppy del secolo scorso, e C e D sono solitamente riservate al disco rigido e all'unità ottica, quindi il lettore di schede userà E, F, G, e H. Se una delle vostre unità di rete è solitamente mappata su H: tramite uno script di accesso, questa povera persona non sarà in grado di usare l'unità H: del lettore di schede o non sarà in grado di montare l'unità di rete.

A meno che qualcuno all'interno dell'organizzazione sia responsabile dell'assegnazione di lettere di unità per scopi specifici, le unità di rete potrebbero anche finire per causare molta confusione. Per esempio, supponiamo che voi mappiate l'unità S: alla condivisione che ha i programmi di installazione per tutti i vostri software con licenza del sito, e qualcun altro mappi S: all'unità condivisa dove si scaricano tutti i tipi di documenti condivisi. Quando cercate di spiegare come installare qualche software, dite loro di aprire l'unità S: e trovare il programma di installazione di Microsoft Office, ma tutto quello che riescono a trovare è una cartella chiamata office, che contiene un mucchio di file vari che qualcuno ha lasciato lì per un trasferimento temporaneo di file. Potrebbero volerci 5 o 10 minuti per risolvere la confusione.

Ci sono anche alcuni potenziali problemi di prestazioni se un server va giù o se una macchina viene tolta dalla rete. Per esempio, se mappi le unità di rete su una macchina, poi rimuovi la macchina dalla rete (forse è un portatile), la macchina potrebbe sembrare bloccarsi all'accesso mentre Windows cerca invano di montare le unità di rete mancanti.

D'altra parte, sulle vecchie versioni di Windows, ho notato che i trasferimenti di file verso o da un'unità di rete mappata spesso vanno molto più velocemente che se si navigasse nella cartella di rete e si eseguisse lo stesso trasferimento di file - in questo caso, la maggior parte delle persone preferirebbe mappare le unità di rete.

La risposta semplice è che non è una brutta cosa. I drive di rete sono perfettamente sicuri da mappare come unità.

La superstizione deriva dal fatto che non si dovrebbe mappare unità straniere (cioè Internet) come locali, perché i file aperti dalle unità mappate vengono aperti usando la zona “locale”, che generalmente offre loro meno protezione - e se i file provengono effettivamente da Internet, questo è una riduzione della sicurezza.

Se, come sospetto sia il caso, state effettivamente mappando unità di rete int ra net, allora aprire le cartelle come unità mappate è esattamente sicuro come accedervi tramite i loro nomi di percorso di rete. L'unica differenza è che averle mappate è più comodo.

Nella mia esperienza, è per lo più incentrato su software scritto male.

Se la persona A lavora su una serie di file che sono mappati su G:, e poi la persona B cerca di aprire la stessa serie di file con lo stesso percorso mappato su H:, le cose falliscono.

Se usi percorsi UNC, assumendo che i computer della persona A e della persona B possano entrambi vedere il punto di condivisione, tutto funzionerà bene.

Certo, la soluzione ideale è usare un software che non memorizzi le relazioni tra i file usando percorsi assoluti, ma non è qualcosa che puoi sempre controllare.

Un sacco di software nei mercati CAD/CAM è scritto male, e funziona a malapena. Poiché il mercato è piuttosto piccolo, c'è poca pressione competitiva. Conosco almeno un software che ha avuto problemi con i percorsi assoluti per le ultime 5 versioni principali, e ancora non sono stati risolti, nonostante la segnalazione dei problemi all'azienda.

Abbiamo avuto seri problemi con le unità di rete dove lavoro, perché a volte Windows non si connette ad esse, e sembra che non connetta automaticamente un'unità di rete quando un programma cerca di accedervi.

Almeno una mezza dozzina di volte un utente della contabilità ha chiamato perché riceve lo stesso errore. È perché ha aperto il programma X, che sta usando un file mappato sull'unità di rete Y:, e non è collegato per qualche ragione insondabile.

Dubito che i ragazzi dell'IT siano preoccupati per un utente che mappi un'unità di rete, piuttosto sono preoccupati per un centinaio o un migliaio di utenti. Per esempio, se un gruppo di host avvia l'indicizzazione di ricerca di uno o più dischi in rete allo stesso tempo, come influenzerà tutti gli altri che cercano di utilizzare la rete? Quando un'unità in rete viene inevitabilmente messa offline, bloccherà centinaia di macchine finché il sistema operativo non si arrenderà e abbandonerà la mappatura dell'unità? I PC si avvieranno più lentamente o non si avvieranno affatto se le connessioni alle unità mappate non possono essere ristabilite?

Un problema con la sintassi \server\dir è che le finestre di comando non possono fare il cd. Se avete i privilegi di amministratore e non volete usare una lettera di unità potete usare il comando mklink per montare le unità su una directory invece che su una lettera di unità. La directory Home non dovrebbe esistere.

mklink /d “c:\Drives\Home” “\server\HomeFolder\user1”

Questa cartella è utilizzabile da tutto.

Montare su un drive leter potrebbe essere un male perché è possibile che cambi in un altro punto di montaggio. Quindi state leggendo e scrivendo su qualcosa che non vi aspettate. Se gli eseguibili da un punto di montaggio cambiano, potrebbero contenere virus.

La mia soluzione richiede i privilegi di amministratore, quindi se non state eseguendo con i diritti di amministratore, è più sicura poiché un altro programma non potrebbe cambiarla su di voi senza diritti di amministratore.

Un certo numero di software, incluse varie versioni di Microsoft Visual Studio e CMS Bounceback, funzionano solo con lettere di unità e non con percorsi assoluti. Data questa restrizione, usare un qualsiasi software richiede di definire le lettere di unità - non si ha scelta. Ma Windows non rende questo molto facile perché sembra chiedere un ID utente e una password, ma solo un ID utente e una password sono consentiti in Windows per tutte le connessioni a qualsiasi dispositivo di rete (ad esempio, più dischi e stampanti).

Ecco una buona ragione:

Windows (almeno XP) non supporta percorsi di file con più di 256 caratteri. La mappatura permette a qualcuno di aggiungere un file dove altrimenti non sarebbe possibile, accorciando il percorso. Poi si ha un programma che naviga attraverso tutti i file e le cartelle, e non è a conoscenza della mappatura. Senza la mappatura, il file esistente ha un percorso di lunghezza superiore a 256. Il programma va in crash.

Basta parlare con alcune delle centinaia di consulenti IT che stanno avendo a che fare con la recente epidemia Zero-day di “CryptoLocker” e vi renderete presto conto che le unità mappate su un computer locale che viene infettato può causare danni enormi ai dati sul server, attraverso l'unità mappata.

Nello specifico:

“CryptoLocker accederà anche alle unità di rete mappate su cui l'utente corrente ha accesso in scrittura e le cripterà. Non attaccherà le semplici condivisioni del server, solo le unità mappate”.

Quindi, ci sono chiaramente problemi di sicurezza con l'utilizzo di unità mappate in questa epoca di malware zero-day sempre presente e appena scoperto che colpisce frequentemente gli utenti.

Abbiamo eliminato tutti i drive mappati nella nostra LAN e usiamo invece le “condivisioni di rete”.

Alcune ragioni per non usare unità mappate:

1) Occupano risorse sia sulla macchina locale con il drive mappato che sulle risorse di rete. Le applicazioni locali possono diventare lente perché il computer locale deve leggere il contenuto del drive mappato quando l'applicazione viene lanciata o quando il sistema viene avviato. Provate. Mappate un gruppo di unità e lanciate Excel. Smaterializza le unità e prova di nuovo.

2) Spostare la vostra applicazione in un nuovo ambiente sarà noioso. Nel caso di un ripristino di emergenza, di uno spostamento su una macchina più potente, o se un altro sviluppatore sta prendendo in consegna la vostra applicazione. Se il nuovo ambiente non permette unità mappate o le lettere di unità sono mappate in modo diverso, allora qualcuno sta passando del tempo a riscrivere il codice. Il tempo risparmiato sul front-end sarà più che perso nel sistemarlo.

Le unità mappate sono più veloci se state manipolando grandi quantità di file. Windows autentica il vostro accesso una volta con un'unità mappata, e poi permette che le interazioni con i file abbiano luogo. I percorsi UNC sono autenticati da Windows per ogni file a cui si accede. Quindi il processo di autenticazione avverrebbe migliaia di volte se stai manipolando migliaia di file sotto un percorso UNC. Mapped Drive - Autenticare una volta UNC - Autenticare ogni volta che si accede a un file.

Questo può avere implicazioni con qualcosa di semplice come la copia di file. Le unità mappate saranno sempre più veloci; notevolmente con un gran numero di file.

Alcuni virus e malware molto diffusi sfruttano le unità mappate. Questa è una ragione come un'altra per non usarli.

Una ragione per limitare la mappatura delle unità sarebbe quella dei virus della posta elettronica (file zip o exe aperti da utenti un po’ “densi”) come Cryptolocker che mette in ordine alfabetico tutti i file sulle unità locali e mappate e li cripta. Esso (in particolare) non discrimina in base alle unità. Siamo stati colpiti, e siamo stati in grado di recuperare utilizzando i backup dei server, ma ovviamente i file locali erano “abbrustoliti”.

So che è un vecchio thread, ma non direi che sono perfettamente sicuri. Abbiamo rimosso le unità mappate a causa dei rischi per la sicurezza. Molti virus cercano di diffondersi attraverso le unità. Tuttavia, non si diffondono attraverso i collegamenti che puntano alle condivisioni DFS. Qualcosa da tenere a mente…

In relazione alle considerazioni crypto/ransomware, Locky è un esempio di ransomware che può diffondersi tramite percorsi UNC e lettere di unità mappate. Se la vostra preoccupazione riguardo alle unità di rete mappate rispetto ai percorsi UNC è determinata dal potenziale per gli attacchi ransomware, capite che protegge solo da alcuni.

Ci sono diversi modi per individuare/prevenire gli attacchi ransomware - ed è generalmente raccomandato l'uso di più metodi di protezione: proteggere la rete, proteggere l'endpoint e mantenere un robusto regime di backup. Personalmente uso Sophos InterceptX come soluzione anti-ransomware sull'endpoint, un firewall Cisco ASA (con IPS), ShadowProtect per il backup e uso unità di rete mappate dove ha senso a livello amministrativo.

Disclaimer: Sono un Sophos Certified Architect. Anche se non lavoro per Sophos, penso che la loro tecnologia sia pulita. Lavoro anche per un MSP, e questa è la tecnologia su cui abbiamo deciso dopo aver controllato le varie opzioni disponibili in Australia.

Modificato come richiesto per dare più informazioni per il secondo paragrafo. Inoltre, parlo australiano, non inglese, la grammatica è leggermente diversa e alcune parole sono scritte in modo diverso (è Colour, non Color, e non fatemi nemmeno iniziare con cantaloupe).

Non mi piace usare le unità mappate perché uso una varietà di risorse di rete poco frequentemente e non riesco mai a trovare l'indirizzo completo da far usare agli altri. Usare le scorciatoie mi permette anche di salire nella directory con facilità. Se l'unica ragione per mappare le unità è il limite di 256 caratteri, questa è una scusa triste per perdere tutti quei dettagli sulla posizione dei file.

Le unità mappate sono pericolose! Negli ultimi anni, con l'ondata di ransomware, ho rimosso le unità mappate ovunque possibile. Il ransomware prende di mira tutte le LETTERE DEI DRIVE, non solo i dati locali. Quindi, anche se si è al sicuro finché si mantengono backup ridondanti, è comunque un mal di testa avere a che fare con una tale violazione dei dati.

Se siete in un ambiente aziendale (obiettivo primario del ransomware), e se potete, liberatevi delle unità mappate!

Alcuni virus ransomware, come la famiglia CryptoWall , cercano qualsiasi unità mappata e infettano quelle unità. Se però la condivisione di rete utilizza UNC e non una lettera di unità, allora questi virus non infettano la condivisione.

La ragione numero 1 per cui non vorreste farlo è che il ransomware non può accedere a un percorso UNC, ma le lettere di unità sono un gioco leale. Se volete che la vostra condivisione di rete sia criptata, allora continuate pure con la mappatura delle lettere di unità.

Personalmente non vedo il vantaggio delle lettere di unità e trovo davvero che i percorsi UNC siano più facili perché non devo mai preoccuparmi di mappare le lettere di unità, specialmente dopo aver cambiato le password di accesso. È possibile creare collegamenti che non si comportano diversamente dalle lettere di unità e si possono aggiungere questi collegamenti a Windows Explorer.

L'unità di rete è un buon modo per condividere le risorse, ma non sono d'accordo sul fatto che le directory home siano messe su un'unità di rete condivisibile. Questo è solo palesemente stupido. La maggior parte delle applicazioni usa la directory home come luogo per memorizzare le impostazioni specifiche delle applicazioni per gli utenti. Se l'IT vuole un altro mal di testa (come se non ne avesse abbastanza da affrontare), allora fissare le dipendenze delle applicazioni per gli utenti all'interno della rete può essere un dolore che possono aggiungere la loro borsa di problemi. Questi problemi possono montare in un ambiente in cui molte di queste applicazioni sono utilizzate e le loro dipendenze e requisiti cambiano. Per prima cosa, il lavoro può essere bloccato per gli utenti in rete e l'azienda perde denaro e tempo a causa dei bassi livelli di produttività. Questo è qualcosa che non può essere rischiato. In secondo luogo, alcune organizzazioni mappano l'home drive degli utenti sulla rete per monitorare ciò che c'è dentro. Il governo lo fa spesso come parte dei suoi requisiti. Si aggiunge anche al problema di poter lavorare da casa. Se la tua connettività tramite VP ha problemi con la tua applicazione che lavora in remoto attraverso una sessione VPN, dove si esegue l'applicazione che richiede una dipendenza dal tuo disco domestico mappato in rete e la mappatura del disco non riesce, allora sei fregato.

Personalmente, penso che dovrebbe essere fatto solo per buone ragioni, ma non fino al punto in cui ostacola la produttività e colpisce la linea di fondo della società.