Чому погано відображати мережеві накопичувачі в Windows?

У нашому ІТ-відділі відбулася певна дискусія щодо відображення мережевих накопичувачів. Зокрема, було сказано, що відображення мережевих накопичувачів - це погана річ, а додавання шляхів або загальних мережевих ресурсів DFS до вибраних (Провідник Windows / Бібліотеки) - це набагато краще рішення.

Чому це так?

Особисто я вважаю, що зручність z:\folderє кращою, ніж \\server\path\folder', особливо з cmd-лінією та сценаріями (звичайно, я не кажу про жорстко закодовані посилання, природно!).

Я спробував шукати плюси і мінуси картографічних мережевих накопичувачів, але я не бачив нічого, окрім "якщо мережа знизиться, накопичувач буде недоступний". Але це обмеження будь-якого зберігання, яке отримує доступ до мережі.

Також мені сказали, що картографічні мережеві накопичувачі опитують мережу, коли мережевий ресурс недоступний, однак я не знайшов більше інформації про це. Чи запитують мережеві диски більше, ніж бібліотеку / улюблену програму Windows Explorer? Чи все-таки це не буде проблемою з іншими механізмами доступу до мережі (тобто, зібраними у вибране), коли Windows намагається перерахувати файлову систему (наприклад, коли відкриється діалогове вікно вибору файлів / папок)?

Я думаю, що найсильнішою причиною того, що не відображати мережеві накопичувачі, є те, що адміністратори не хочуть боротися з головними болями у підтримці індексу кінцевої кількості букв диска на додаток до мережевих шляхів. Для одного може бути занадто багато загальновживаних мережевих спільних ресурсів, щоб присвоїти їм букви приводів, і у великій організації не кожен матиме доступ до всіх однакових акцій. Імена спільного доступу також є більш описовими та потенційно менш неоднозначними, ніж букви диска (докладніше про неоднозначність пізніше).

По-друге, ви можете зіткнутися зі зіткненнями літер диска. Якщо на чиємусь ПК є зчитувач карт пам'яті, він може згорнути чотири чи більше літер диска. A і B, як правило, зарезервовані для дискети минулого століття, а C і D зазвичай зарезервовані для жорсткого диска та оптичного приводу, тому картридер буде використовувати E, F, G і H. Якщо один з ваших мережевих дисків зазвичай відображається на H: за допомогою сценарію входу, ця бідна людина або не зможе використовувати пристрій зчитування карт: H: або не зможе встановити мережевий диск.

Якщо хтось із організації не несе відповідальності за розподіл букв диска для певних цілей, мережеві накопичувачі також можуть призвести до великої плутанини. Наприклад, припустимо, ви присвячуєте дисковод S: на загальну частку, яка містить програми налаштування для всього програмного забезпечення, що має ліцензію на вашому сайті, а хтось інший відображає S: на спільний диск, куди вони видають усі види спільних документів. Коли ви намагаєтесь пояснити, як встановити певне програмне забезпечення, ви скажете їм відкрити свій S: диск та знайти програму налаштування для Microsoft Office, але все, що вони можуть знайти, - це папка з назвою office , яка містить купу різних файлів, які хтось там скинув. для тимчасової передачі файлів. Щоб розібратися в замішанні, може знадобитися 5 або 10 хвилин.

Також можливі проблеми з продуктивністю, якщо сервер виходить з ладу або якщо машина знята з мережі. Наприклад, якщо ви накреслите мережеві накопичувачі на машині, а потім вийміть машину з мережі (можливо, це ноутбук), може здатися, що машина зависає при вході в систему, тоді як Windows марно намагається встановити відсутні мережеві накопичувачі.

З іншого боку, на старих версіях Windows я помічав, що передача файлів до або зі зібраного мережевого накопичувача часто йде набагато швидше, ніж якщо ви перейшли до мережевої папки та здійснили ту саму передачу файлів - у цьому випадку більшість люди вважають за краще картувати мережеві накопичувачі.

Проста відповідь полягає в тому, що це не погано. Мережеві накопичувачі цілком безпечно відображати як накопичувачі.

Забобон походить від того, що ви не повинні відображати іноземні (тобто Інтернет) диски як локальні, оскільки файли, відкриті з картографічних дисків, відкриваються за допомогою "локальної" зони, що, як правило, забезпечує їм менший захист - і якщо файли насправді надходять з Інтернету це зниження рівня безпеки.

Якщо, як я підозрюю , що це так, то ви на самому справі відображення Int ¯ra чистих мережевих дисків, а потім відкривати папки, підключені диски точно так безпечний , як доступ до них через свої мережеві імена шляху. Єдина відмінність полягає в тому, що їх карта зручніше.

На мій досвід, він здебільшого зосереджується на погано написаному програмному забезпеченні.

Якщо людина A працює над набором файлів, на які відображено G:, і людина B намагається відкрити той самий набір файлів з тим самим контуром, який відображається H:, не вдасться.

Якщо ви використовуєте контури UNC, то якщо припустити, що комп'ютери людини A та людини B можуть бачити точку спільного доступу, все буде добре.

Звичайно, ідеальним рішенням є використання програмного забезпечення, яке не зберігає відносини файлів, використовуючи абсолютні шляхи, але це не те, що ви завжди можете контролювати.

Багато програмного забезпечення на ринках CAD / CAM написано погано і ледве працює. Оскільки ринок досить малий, конкурентний тиск є невеликим. Я знаю принаймні одну частину програмного забезпечення, у якого виникли проблеми з абсолютними шляхами для останніх 5 основних випусків, і вони все ще залишаються невиправленими, незважаючи на повідомлення про проблеми компанії.

У нас виникли серйозні проблеми з мережевими накопичувачами, де я працюю, тому що іноді Windows не підключається до них, і, здається, він автоматично не підключає мережевий диск, коли програма намагається отримати доступ до нього.

Принаймні півдесятка разів користувач із бухгалтерії дзвонив, бо вона отримує ту саму помилку. Це тому, що вона відкрила програму X, яка використовує файл, відображений на мережевому накопичувачі Y :, і він не пов'язаний з незрозумілої причини.

Я сумніваюся, що ІТ-хлопці переживають за те, щоб один користувач відобразив мережевий диск, скоріше вони переживають за сто користувачів або тисячу. Наприклад, якщо купа хостів одночасно розпочинає пошукову індексацію мережевого накопичувача або накопичувачів, як це вплине на всіх інших, хто намагається використовувати мережу? Коли мережевий накопичувач неминуче перебуває в автономному режимі, чи він заблокує сотні машин, поки ОС не здасться і не скине відображення накопичувача? Чи завантажуватимуться ПК та йон повільніше, чи не вдасться завантажитися взагалі, якщо підключення до відображених накопичувачів не вдасться відновити?

Одна з проблем із синтаксисом \ server \ dir полягає в тому, що вікна команд не можуть їх передати. Якщо у вас є права адміністратора і не хочете використовувати літеру диска, ви можете використовувати команду mklink для монтажу дисків до каталогу замість літери диска. Домашній каталог не повинен існувати.

mklink / d "c: \ Диски \ Головна" "\ сервер \ HomeFolder \ user1"

Цією папкою користуються всі.

Кріплення до приводу-накопичувача може бути поганим, оскільки можливо змінити його на іншу точку кріплення. Тоді ви читаєте і пишете те, чого не очікуєте. Якщо виконувані файли з точки монтажу змінюються, вони можуть містити віруси.

Моє рішення вимагає привілеїв адміністратора, тому якщо ви не працюєте з правами адміністратора, воно є більш безпечним, оскільки інша програма не може змінити його на вас без прав адміністратора.

Ось одна вагома причина:

Windows (принаймні XP) не підтримує файлові контури, що містять понад 256 символів. Картографування дозволяє комусь додати файл там, де інше не було б можливим, скорочуючи шлях. Тоді у вас є програма, яка здійснює навігацію по всіх файлах і папках і не знає відображення. Без відображення наявний файл має довжину шляху понад 256. Програма виходить з ладу.

Кілька фрагментів програмного забезпечення, включаючи різні версії Microsoft Visual Studio та CMS Bounceback, працюватимуть лише з літерами диска, а не з абсолютними шляхами. Враховуючи це обмеження, тоді для використання будь-якого такого програмного забезпечення потрібно визначити літери диска - у вас немає вибору. Але Windows робить це не дуже просто, як здається, запитують ідентифікатор користувача та пароль, але в Windows дозволяється лише один ідентифікатор користувача та пароль для всіх підключень до будь-якого мережевого пристрою (наприклад, декількох дисків та принтерів).

Просто поговоріть із деякими сотнями ІТ-консультантів, яким зараз доводиться стикатися з недавнім спалахом "CryptoLocker" на нульовий день, і незабаром ви зрозумієте, що картографічні накопичувачі на локальному комп'ютері, які заразилися, можуть завдати величезної шкоди даним на сервері, за допомогою картографічного накопичувача.

Конкретно:

«CryptoLocker також отримає доступ до картографічних мережевих накопичувачів, до яких поточний користувач має доступ до запису, та зашифрує їх. Він не буде атакувати прості серверні спільноти, лише зіставлені диски ".

Таким чином, існує чітке занепокоєння із безпекою щодо використання картографічних накопичувачів у цей вік постійно наявних та нещодавно виявлених зловмисних програм із нульовим днем.

Ми усунули всі відображені накопичувачі в нашій локальній мережі та замість цього використовуємо "мережеві спільні папки"

Кілька причин не використовувати відображені на диску накопичувачі:

1) Вони забирають ресурси як на локальній машині за допомогою відображеного на диску, так і на мережевих ресурсах. Місцеві програми можуть стати млявими, оскільки ваш локальний комп'ютер повинен зчитувати вміст відображеного на диску диска під час запуску програми або під час завантаження системи. Спробуй. Зобразіть купу накопичувачів та запустіть Excel. Відкрутіть диски та повторіть спробу.

2) Переміщення вашої програми в нове середовище буде втомливим. У разі катастрофи відновіться, перейдіть на більш потужну машину або якщо інший розробник приймає вашу заявку. Якщо нове середовище не дозволяє відображати відображені диски або літери дисків по-різному, то хтось витрачає час на перезапис коду. Заощаджений час на передньому кінці буде більш ніж втрачено на його фіксацію.

Я знаю, що це стара нитка, але я б не сказав, що вони абсолютно безпечні. Ми видалили відображені накопичувачі через ризики безпеки. Багато вірусів намагаються поширитись на дисках. Однак вони не розповсюджуються на ярлики, які вказують на акції DFS. Щось пам’ятати ...

Однією з причин обмеження відображення дисків були віруси електронної пошти (ZIP-файли та файли EXE, відкриті дещо "щільними" користувачами), такі як Cryptolocker, який буде алфавітувати всі файли на локальних та відображених накопичувачах та шифрувати їх. Він (зокрема) не розмежовує за приводами. Ми потрапили і змогли відновити за допомогою резервного копіювання сервера (ив), але, звичайно, локальні файли були "тости".

Деякі широко розповсюджені віруси та зловмисне програмне забезпечення використовуватимуть накопичені диски. Це приблизно настільки ж хороша причина, як і будь-яка не використовувати їх.

Картовані накопичувачі швидше, якщо ви маніпулюєте великою кількістю файлів. Windows автентифікує ваш доступ один раз за допомогою картографічного диска, а потім дозволяє взаємодії з файлами. Шлях UNC аутентифікується Windows для кожного доступу до файлу. Таким чином, процес аутентифікації відбуватиметься тисячі разів, якби ви маніпулювали тисячами файлів під UNC-трактом. Mapped Drive - Автентифікуйте один раз UNC - ідентифікуйте щоразу, коли доступ до файлу.

Це може мати наслідки з таким простим, як копіювання файлів. Картовані накопичувачі завжди будуть швидшими; помітно з великою кількістю файлів.

Мені не подобається використовувати картографічні накопичувачі, тому що я використовую різноманітні мережеві ресурси нечасто, і я ніколи не можу знайти повну адресу для інших. Використання ярликів також дозволяє мені легко перейти до каталогу. Якщо єдиною причиною для відображення накопичувачів є обмеження в 256 символів, це шкода приводу, щоб втратити всю інформацію про розташування файлів.

Картовані накопичувачі небезпечні! Протягом останніх декількох років із сплеском викупних програм я видаляв зібрані накопичувачі, де це було можливо. Ransomware орієнтований на всі ШИРОКИ ЛІТИ, а не лише на локальні дані. Тож, поки ви в безпеці до тих пір, поки зберігаєте зайві резервні копії, все-таки головний біль повинен мати справу з таким порушенням даних.

Якщо ви перебуваєте в бізнес-середовищі (головна ціль викупового програмного забезпечення), і якщо можете, позбавтеся від відображених на карті накопичувачів !!

Деякі віруси, що містять викуп, наприклад, сімейство CryptoWall , шукають будь-який відображений накопичувач та заражають ці диски. Якщо мережева частка використовує UNC, але не букву диска, то ці віруси не заражають цю подію.

Що стосується міркувань криптовалюти / викупового програмного забезпечення, Локі - це один із прикладів викупового програмного забезпечення, яке може поширюватися через контури UNC, а також накреслені літери накопичувача. Якщо ваше занепокоєння стосується: відображених мережевих накопичувачів проти UNC-шляхів визначається потенціалом атаки, що випробовується, розумійте, що це захищає лише від деяких.

Існує кілька способів виявити / запобігти атакам викупних програм - і зазвичай рекомендується використовувати кілька методів захисту: захистити мережу, захистити кінцеву точку та підтримувати надійний режим резервного копіювання. Я особисто використовую Sophos InterceptX як антивиробниче рішення на кінцевій точці, брандмауер Cisco ASA (з IPS), брандмауер ShadowProtect для резервного копіювання та використання відображених мережевих накопичувачів, де це має адміністративний сенс.

Відмова: Я сертифікований архітектор Sophos. Хоча я не працюю на Sophos, я думаю, що їхня технологія є акуратною. Я також працюю в MSP, і це технологія, яку ми вирішили після перевірки різних варіантів, доступних в Австралії.

Відредаговано відповідно до вимог, щоб надати більше інформації для другого абзацу. Крім того, я розмовляю австралійською, а не англійською мовою, граматика дещо відрізняється, а деякі слова написані по-різному (це колір, а не колір, і навіть не запускайте мене з дині.)

Мережевий накопичувач - це хороший спосіб спільного використання ресурсів, але я не згоден з тим, що домашні каталоги розміщуються на спільному мережевому диску. Це просто нахабно нерозумно. Більшість додатків використовують ваш домашній каталог як місце для зберігання конкретних налаштувань програм для користувачів. Якщо ІТ хочуть ще одного головного болю (як ніби їх недостатньо для вирішення), то виправлення залежностей програм для користувачів всередині мережі може бути болем, вони можуть додати проблеми. Ці проблеми можуть вирішуватися в середовищі, де використовується багато таких додатків і змінюються їх залежності та вимоги. З одного боку, робота може бути обмежена для користувачів мережі та компанія втрачає гроші та час на основі низького рівня продуктивності. Це те, що не можна ризикувати. По-друге, деякі організації відображають домашній привід користувача в мережі, щоб відстежувати, що " s там. Уряд робить це дуже багато, як частина їхніх вимог. Це також додає до проблеми можливості працювати з дому. Якщо у вашого підключення через VP є проблеми з вашою програмою, яка працює віддалено через сеанс VPN, де ви запускаєте свою програму, яка вимагає залежності від домашнього диска, відображеного в мережі, і відображення диска не вдається, тоді ви шлангуєте.

Особисто я вважаю, що це слід робити лише з поважних причин, але не до того, що це перешкоджає продуктивності та впливає на суть компанії.

Номер 1 причина , ви не хочете , щоб зробити це , що вимагачі не можуть отримати доступ до шляху UNC, але букви дисків чесна гра. Якщо ви хочете, щоб ви криптовалюту обмінювались мережею, то будь-якими способами продовжуйте картування букв диска.

Я особисто не бачу переваги букв накопичувача і справді знайти шляхи UNC простіше, тому що мені ніколи не потрібно турбуватися про відображення букв диска, особливо після зміни паролів для входу. Ви можете створювати ярлики, які не відрізняються від букв диска і можете додавати ці ярлики до Провідника Windows.