Почему плохо отображать сетевые диски в Windows?

В нашем ИТ-отделе состоялась оживленная дискуссия о подключении сетевых дисков. В частности, было сказано, что сопоставление сетевых дисков - это плохо, и что добавление путей DFS или общих сетевых ресурсов в избранное (Windows Explorer / Libraries) является гораздо лучшим решением.

Почему это так?

Лично я считаю, что удобство z:\folderзаключается в том, чтобы быть лучше, чем в \\server\path\folder', особенно с помощью строки cmd и сценариев (естественно, я не говорю о жестко закодированных ссылках, естественно!).

Я пробовал искать плюсы и минусы подключенных сетевых дисков, но я не видел ничего, кроме «если сеть выйдет из строя, диск будет недоступен». Но это ограничение любого сетевого хранилища.

Мне также сказали, что подключенные сетевые диски опрашивают сеть, когда сетевой ресурс недоступен, однако я не нашел больше информации об этом. Сетевые диски опрашивают сеть больше, чем библиотека / избранное Windows Explorer? Разве это не будет проблемой с другими механизмами доступа к сети (то есть с отображением избранного), когда Windows пытается перечислить файловую систему (например, когда открывается диалоговое окно выбора файлов / папок)?

Я полагаю, что самая веская причина не отображать сетевые диски в том, что администраторы не хотят иметь дело с головной болью, связанной с поддержанием индекса конечного числа букв дисков в дополнение к сетевым путям. С одной стороны, может быть слишком много часто используемых общих сетевых ресурсов, чтобы назначить буквы дисков всем им, и в большой организации не у всех будет доступ ко всем одинаковым общим ресурсам. Имена общих ресурсов также являются более описательными и потенциально менее двусмысленными, чем буквы дисков (подробнее об этой двусмысленности позже).

Во-вторых, вы можете столкнуться с коллизиями дисков. Если на чьем-то компьютере есть устройство для чтения карт памяти, это может сожрать четыре или более букв дисков. A и B обычно зарезервированы для флоппи-дисководов прошлого века, а C и D обычно зарезервированы для жесткого диска и оптического привода, поэтому устройство чтения карт будет использовать E, F, G и H. Если один из ваших сетевых дисков обычно сопоставляется с H: с помощью сценария входа в систему, этот бедный человек либо не сможет использовать диск H: кард-ридера, либо не сможет подключить сетевой диск.

Если кто-то в организации не отвечает за распределение букв дисков для определенных целей, сетевые диски также могут привести к путанице. Например, предположим, что вы подключаете диск S: к общему ресурсу, на котором есть программы установки для всех ваших программ, лицензируемых вашим сайтом, а кто-то еще подключает S: к общему диску, где они сбрасывают все виды общих документов. Когда вы пытаетесь объяснить, как установить какое-либо программное обеспечение, вы говорите им открыть свой диск S: и найти программу установки для Microsoft Office, но все, что они могут найти, - это папка с именем office , которая содержит кучу разных файлов, которые кто-то там упал. для временной передачи файлов. Это может занять 5 или 10 минут, чтобы разобраться в путанице.

Есть также некоторые потенциальные проблемы с производительностью, если сервер выходит из строя или если машина отключена от сети. Например, если вы сопоставляете сетевые диски на машине, а затем удаляете машину из сети (возможно, это ноутбук), машина может зависнуть при входе в систему, а Windows безуспешно пытается смонтировать отсутствующие сетевые диски.

С другой стороны, в более старых версиях Windows я заметил, что передача файлов на подключенный сетевой диск или с него часто происходит намного быстрее, чем если бы вы просматривали сетевую папку и выполняли такую ​​же передачу файлов - в этом случае большинство люди предпочли бы подключить сетевые диски.

Ответ прост: это не так уж плохо. Сетевые диски абсолютно безопасны для сопоставления с дисками.

Суеверие исходит из того факта, что вы не должны отображать иностранные (например, Интернет) диски как локальные, потому что файлы, открытые с подключенных дисков, открываются в «локальной» зоне, которая обычно обеспечивает им меньшую защиту - и если файлы действительно приходят из Интернета это снижение безопасности.

Если, как я подозреваю , что это так, то вы на самом деле отображение Int ¯ra чистых сетевых дисков, а затем открывать папки, подключенные диски точно так безопасен , как доступ к ним через свои сетевые имена пути. Разница лишь в том, что их сопоставление более удобно.

По моему опыту, это главным образом вокруг плохо написанного программного обеспечения.

Если человек A работает с набором файлов, которые сопоставлены G:, а затем человек B пытается открыть один и тот же набор файлов с тем же путем, сопоставленный H:, вещи не удаются.

Если вы используете UNC-пути, то при условии, что компьютеры человека A и B могут видеть точку общего доступа, все будет работать нормально.

Конечно, идеальным решением является использование программного обеспечения, которое не хранит файловые отношения, используя абсолютные пути, но это не то, что вы всегда можете контролировать.

Многие программы на рынках CAD / CAM плохо написаны и практически не работают. Поскольку рынок довольно маленький, конкурентное давление невелико. Я знаю, по крайней мере, одну часть программного обеспечения, у которой были проблемы с абсолютными путями для последних 5 основных выпусков, и они все еще остаются незафиксированными, несмотря на сообщение о проблемах в компанию.

У нас были серьезные проблемы с сетевыми дисками, на которых я работаю, потому что иногда Windows не подключается к ним, и кажется, что они не подключаются автоматически к сетевому диску, когда программа пытается получить к нему доступ.

По крайней мере, полдюжины раз пользователь из бухгалтерии звонил, потому что он получает ту же ошибку. Это потому, что она открыла программу X, которая использует файл, сопоставленный с сетевым диском Y:, и она не подключена по непостижимой причине.

Я сомневаюсь, что айтишники беспокоятся о том, что один пользователь подключает сетевой диск, скорее, они беспокоятся о сотне или тысяче пользователей. Например, если несколько хостов одновременно запускают поисковую индексацию сетевого диска или дисков, как это повлияет на всех остальных, пытающихся использовать сеть? Когда сетевой диск неизбежно переводится в автономный режим, блокирует ли он сотни машин до тех пор, пока ОС не сдастся и не прекратит сопоставление диска? Будут ли ПК зависать и загружаться медленнее или вообще не загрузиться, если не удастся восстановить соединения с подключенными дисками?

Одна проблема с синтаксисом \ server \ dir заключается в том, что окна команд не могут перейти к ним. Если у вас есть права администратора и вы не хотите использовать букву диска, вы можете использовать команду mklink для монтирования дисков в каталог вместо буквы диска. Каталог Home не должен существовать.

mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ user1"

Эта папка доступна всем.

Монтирование на букву диска может быть плохим, поскольку его можно сменить на другую точку монтирования. Тогда вы читаете и пишете что-то, чего не ожидаете. Если исполняемые файлы из точки монтирования меняются, они могут содержать вирусы.

Мое решение требует прав администратора, поэтому, если вы не работаете с правами администратора, это более безопасно, поскольку другая программа не может изменить его на вас без прав администратора.

Вот одна веская причина:

Windows (по крайней мере, XP) не поддерживает пути к файлам длиной более 256 символов. Сопоставление позволяет кому-то добавить файл, в котором иначе было бы невозможно, путем сокращения пути. Затем у вас есть программа, которая перемещается по всем файлам и папкам и не знает о сопоставлении. Без сопоставления существующий файл имеет длину пути выше 256. Сбой программы.

Ряд программ, в том числе различные версии Microsoft Visual Studio и CMS Bounceback, будут работать только с буквами дисков, а не с абсолютными путями. Учитывая это ограничение, использование любого такого программного обеспечения требует от вас определения букв дисков - у вас нет выбора. Но Windows не делает это очень легко, так как кажется, что запрашивается идентификатор пользователя и пароль, но в Windows разрешен только один идентификатор пользователя и пароль для всех подключений к одному сетевому устройству (например, к нескольким дискам и принтерам).

Просто поговорите с сотнями ИТ-консультантов, которым сейчас приходится иметь дело с недавней вспышкой «нулевого дня» «CryptoLocker», и вы скоро поймете, что подключенные диски на локальном компьютере, которые заражаются, могут нанести огромный ущерб данным на сервере через подключенный диск.

В частности:

«CryptoLocker также получит доступ к подключенным сетевым дискам, к которым у текущего пользователя есть право на запись, и зашифрует их. Он не будет атаковать простые серверные ресурсы, только подключенные диски ».

Таким образом, существуют явные проблемы с безопасностью при использовании подключенных дисков в эпоху постоянных и недавно обнаруженных вредоносных программ нулевого дня, которые часто поражают пользователей.

Мы удалили все подключенные диски в нашей локальной сети и вместо этого используем «сетевые ресурсы».

Несколько причин не использовать подключенные диски:

1) Они занимают ресурсы как на локальном компьютере с подключенным диском, так и на сетевых ресурсах. Локальные приложения могут работать медленно, поскольку ваш локальный компьютер должен считывать содержимое подключенного диска при запуске приложения или при загрузке системы. Попробуйте это. Подключите несколько дисков и запустите Excel. Разархивируйте диски и попробуйте снова.

2) Перемещение вашего приложения в новую среду будет утомительным. В случае аварийного восстановления, перехода на более мощную машину или, если ваше приложение принимает другой разработчик. Если новая среда не позволяет отображать подключенные диски или буквы дисков отображаются иначе, то кто-то тратит время на переписывание кода. Время, сэкономленное на переднем конце, будет больше, чем потрачено на его исправление.

Я знаю, что это старая нить, но я бы не сказал, что они совершенно безопасны. Мы удалили подключенные диски из-за угроз безопасности. Многие вирусы пытаются распространяться по дискам. Однако они не распространяются на ярлыки, указывающие на общие ресурсы DFS. Что-то иметь в виду ...

Одной из причин ограничения сопоставления дисков могут быть почтовые вирусы (zip или exe-файлы, открытые довольно «плотными» пользователями), такие как Cryptolocker, который будет алфавитизировать все файлы на локальных и подключенных дисках и шифровать их. Это (в частности) не различает в зависимости от дисков. Мы получили удар и смогли восстановить с помощью резервных копий серверов, но, конечно, локальные файлы были "тост".

Некоторые распространенные вирусы и вредоносные программы будут использовать подключенные диски. Это такая же веская причина, как и любая, не использовать их.

Подключенные диски работают быстрее, если вы манипулируете большим количеством файлов. Windows аутентифицирует ваш доступ один раз с подключенного диска, а затем позволяет взаимодействовать с файлами. Пути UNC аутентифицируются Windows для каждого файла, к которому осуществляется доступ. Таким образом, процесс аутентификации происходил бы тысячи раз, если бы вы манипулировали тысячами файлов по пути UNC. Mapped Drive - Аутентификация один раз UNC - Аутентификация каждый раз при доступе к файлу.

Это может иметь последствия при простом копировании файлов. Сопоставленные диски всегда будут быстрее; заметно с большим количеством файлов.

Я не люблю использовать подключенные диски, потому что я редко использую различные сетевые ресурсы и никогда не могу найти полный адрес для использования другими. Использование ярлыков также позволяет мне с легкостью перейти в каталог. Если единственной причиной для сопоставления дисков является ограничение в 256 символов, то это извините за потерю всей информации о расположении файла.

Сопоставленные диски опасны! В последние несколько лет с ростом вымогателей я по возможности удалял подключенные диски. Ransomware предназначается для всех ДИСКОВЫХ БУКВ, а не только для локальных данных. Поэтому, пока вы в безопасности, пока сохраняете резервные резервные копии, бороться с таким нарушением данных по-прежнему непросто.

Если вы находитесь в бизнес-среде (основная цель вымогателей), и если вы можете, избавьтесь от подключенных дисков!

Некоторые вирусы-вымогатели, такие как семейство CryptoWall , ищут все подключенные диски и заражают их. Однако если общий сетевой ресурс использует UNC, а не букву диска, эти вирусы не заражают общий ресурс.

Что касается крипто-вымогателей, Locky - один из примеров вымогателей, которые могут распространяться по UNC-путям, а также по буквам сопоставленных дисков. Если ваше беспокойство по поводу сопоставления сетевых дисков по сравнению с путями UNC определяется потенциальной атакой вымогателей, следует понимать, что она защищает только от некоторых из них.

Существует несколько способов обнаружения / предотвращения атак вымогателей - и обычно рекомендуется использовать несколько методов защиты: защищать сеть, защищать конечную точку и поддерживать надежный режим резервного копирования. Я лично использую Sophos InterceptX в качестве решения для защиты от вымогателей на конечной точке, брандмауэра Cisco ASA (с IPS), ShadowProtect для резервного копирования и использую подключенные сетевые диски, где это имеет смысл для администратора.

Отказ от ответственности: я сертифицированный Sophos архитектор. Хотя я не работаю на Sophos, я думаю, что их технология аккуратна. Я также работаю в MSP, и эту технологию мы определили после проверки различных вариантов, доступных в Австралии.

Отредактировано по просьбе, чтобы дать больше информации для второго абзаца. Кроме того, я говорю по-австралийски, а не по-английски, грамматика немного отличается, и некоторые слова пишутся по-разному (это Цвет, а не Цвет, и даже не заводите меня на канталупе).

Сетевой диск - это хороший способ совместного использования ресурсов, но я не согласен с тем, что домашние каталоги должны быть размещены на общем сетевом диске. Это просто глупо. Большинство приложений используют ваш домашний каталог как место для хранения определенных настроек приложений для пользователей. Если ИТ-специалистам нужна еще одна головная боль (как будто у них недостаточно ресурсов), то исправление зависимостей приложений для пользователей в сети может быть проблемой, с которой они могут добавить свои проблемы. Эти проблемы могут возникать в среде, где используется много таких приложений, и их зависимости и требования изменяются. С одной стороны, работа пользователей сети может быть затруднена, и компания теряет деньги и время из-за низкого уровня производительности. Это то, чем нельзя рисковать. Во-вторых, некоторые организации сопоставляют домашний диск пользователя в сети, чтобы отслеживать, что там. Правительство делает это много как часть их требований. Это также добавляет к проблеме возможности работать из дома. Если у вашего соединения через VP есть проблемы с вашим приложением, работающим удаленно через сеанс VPN, когда вы запускаете свое приложение, которое требует зависимости от подключенного к сети домашнего диска и сбой сопоставления диска, то вы попали в ловушку.

Лично я думаю, что это должно быть сделано только по уважительным причинам, но не до такой степени, что это снижает производительность и влияет на прибыль компании.

Номер 1 причина , вы не хотите , чтобы сделать это , что вымогатели не могут получить доступ к пути UNC, но буквы дисков честная игра. Если вы хотите, чтобы ваша сетевая папка была зашифрована, то непременно перейдите к отображению буквы диска.

Лично я не вижу преимущества букв дисков и действительно нахожу пути UNC проще, поскольку мне никогда не нужно беспокоиться о отображении букв дисков, особенно после смены паролей входа в систему. Вы можете создавать ярлыки, которые ведут себя не иначе, как буквы дисков, и можете добавлять эти ярлыки в Windows Explorer.