Почему плохо составлять карту сетевых дисков в Windows?

Я полагаю, что самая сильная причина отказа от сопоставления сетевых дисков заключается в том, что администраторы не хотят иметь дело с головной болью, связанной с поддержанием индекса конечного числа букв дисков в дополнение к сетевым путям. Например, может быть слишком много широко используемых сетевых ресурсов, чтобы назначать буквы дисков всем им, а в большой организации не у всех будет доступ ко всем одинаковым ресурсам. Имена сетевых ресурсов также более описательны и потенциально менее двусмысленны, чем буквы дисков (подробнее о двусмысленности позже). 0x2 и 0x2 и, во-вторых, вы можете столкнуться с коллизиями букв дисков. Если на чьем-либо компьютере установлено устройство чтения карт памяти, это может привести к столкновению четырех или более букв дисков. A и B обычно зарезервированы для дискет прошлого века, а C и D обычно зарезервированы для жесткого диска и оптического диска, поэтому кардридер будет использовать E, F, G и H. Если один из ваших сетевых дисков обычно отображается на H: с помощью сценария входа, этот бедняга либо не сможет использовать диск H: кардридера, либо не сможет смонтировать сетевой диск.

Если кто-то в организации не отвечает за назначение букв дисков для определенных целей, сетевые диски также могут вызвать много путаницы. Например, предположим, что вы сопоставляете диск S: с общим ресурсом, на котором установлены программы установки для всего лицензированного программного обеспечения, а кто-то другой сопоставляет диск S: с общим ресурсом, на котором хранятся все типы совместно используемых документов. Когда вы пытаетесь объяснить, как установить некоторое программное обеспечение, вы говорите им открыть свой диск S: и найти программу установки для Microsoft Office, но все, что они могут найти, это папку с именем office, которая содержит кучу различных файлов, которые кто-то уронил туда для временной передачи файлов. На то, чтобы разобраться с этой путаницей, может потребоваться 5 или 10 минут.

Существуют также некоторые потенциальные проблемы с производительностью, если сервер выходит из строя или машина отключена от сети. Например, если вы сопоставляете сетевые диски на машине, а затем удаляете машину из сети (может быть, это ноутбук), может показаться, что машина зависает при входе в систему, в то время как Windows тщетно пытается смонтировать недостающие сетевые диски. С другой стороны, в старых версиях Windows я заметил, что передача файлов на или с отображенного сетевого диска часто происходит гораздо быстрее, чем если бы вы просмотрели сетевую папку и выполнили ту же самую передачу файлов - в этом случае большинство людей предпочли бы сопоставить сетевые диски.

Простой ответ в том, что это не так уж и плохо. Сетевые диски абсолютно безопасны для отображения в виде дисков.

Суеверие возникает из-за того, что вы не должны отображать foreign (т.е. Интернет) диски как локальные, потому что файлы, открытые с отображаемых дисков, открываются с помощью “локальной” зоны, что обычно обеспечивает им меньшую защиту - и если файлы на самом деле поступают из Интернета, то это снижает безопасность.

Если, как я подозреваю, вы на самом деле отображаете сетевые диски int ra, то открытие папок как отображаемых дисков в точности так же безопасно, как и доступ к ним через их сетевые имена путей. Единственная разница заключается в том, что их сопоставление более удобно.

По моему опыту, он в основном сосредоточен на плохо написанном программном обеспечении.

Если человек A работает с набором файлов, которые сопоставляются с G:, а человек B пытается открыть тот же набор файлов с тем же самым путем, который сопоставляется с H:, то все не получается.

Если вы используете UNC пути, то, предполагая, что компьютеры человека A и человека B могут видеть точку доступа, все будет работать нормально.

Конечно, идеальным решением будет использование программного обеспечения, которое не хранит файловые отношения, используя абсолютные пути, но это не то, чем вы всегда можете управлять.

Множество программного обеспечения на рынках CAD/CAM плохо написано и едва работает вообще. Так как рынок довольно мал, давление со стороны конкурентов невелико. Я знаю по крайней мере один программный продукт, у которого были проблемы с абсолютными путями для last 5 major релизов, и они все еще остаются не исправленными, несмотря на сообщения о проблемах в компанию.

У нас были серьезные проблемы с сетевыми дисками, где я работаю, потому что иногда Windows не подключается к ним, и кажется, что not автоматически подключает сетевой диск, когда программа пытается получить к нему доступ.

Как минимум полдюжины раз звонил пользователь из бухгалтерии, потому что он получает ту же ошибку. Это потому, что она открыла программу X, которая использует файл, отображенный на сетевом диске Y:, и он не подключен по какой-то непостижимой причине.

Я сомневаюсь, что ребята из ИТ-отдела беспокоятся об одном пользователе, сопоставляющем сетевой диск, скорее они беспокоятся о сотне или тысяче пользователей. Например, если кучка хостов начнет поиск индексации сетевого диска или дисков одновременно, как это повлияет на всех остальных пользователей, пытающихся использовать сеть? Когда сетевой диск неизбежно отключается, будет ли он блокировать сотни машин до тех пор, пока операционная система не сдастся и не сбросит индексацию диска? Будут ли компьютеры зависеть и будут ли они загружаться медленнее или вообще не смогут загрузиться, если подключения к отображенным дискам не смогут быть восстановлены?

Одна из проблем синтаксиса \server\dir заключается в том, что командные окна не могут cd к ним. Если у вас есть привилегии администратора и вы не хотите использовать букву диска, вы можете использовать команду mklink для монтирования дисков в каталог вместо буквы диска. Каталог Home не должен существовать.

mklink /d “c:\Drives\Home” “\server\HomeFolder\user1”

Эта папка используется всем.

Монтаж на левере диска может быть плохим, потому что его можно поменять на другую точку монтирования. Затем вы читаете и записываете на что-то, чего не ожидаете. Если исполняемые файлы из точки монтирования изменятся, они могут содержать вирусы.

Мое решение требует привилегий администратора, так что если вы работаете без прав администратора, это более безопасно, так как другая программа не может изменить ее на вас без прав администратора.

Ряд программ, включая различные версии Microsoft Visual Studio и CMS Bounceback, будут работать только с буквами дисков, а не с абсолютными путями. Учитывая это ограничение, для использования любой такой программы необходимо определить буквы дисков - у вас нет выбора. Но Windows не делает это очень простым, так как вроде бы спрашивают идентификатор пользователя и пароль, но в Windows разрешено только один идентификатор пользователя и пароль для всех подключений к любому одному сетевому устройству (например, к нескольким дискам и принтерам).

Вот одна веская причина:

Windows (по крайней мере XP) не поддерживает пути к файлам с более чем 256 символами. Отображение позволяет кому-либо добавить файл, где иначе было бы невозможно, путем сокращения пути. Тогда у вас есть программа, которая осуществляет навигацию по всем файлам и папкам и не знает о привязке. Без отображения существующий файл имеет длину пути более 256. Программа аварийно завершает работу.

Просто поговорите с некоторыми из сотен ИТ-консультантов, которым сейчас приходится иметь дело с недавней вспышкой “CryptoLocker” в нулевой день, и вы скоро поймете, что зараженные маппируемые диски на локальном компьютере могут нанести огромный ущерб данным на сервере, через маппируемые диски.

Конкретно:

“CryptoLocker также получит доступ к маппируемым сетевым дискам, к которым текущий пользователь имеет доступ с правами записи, и зашифрует их. Он не будет атаковать простые разделяемые ресурсы сервера, а только отображенные диски”.

Таким образом, очевидно, что существуют проблемы с безопасностью при использовании отображенных сетевых дисков в эту эпоху постоянно присутствующего и вновь обнаруженного вредоносного ПО нулевого дня, которое часто поражает пользователей.

Мы устранили все отображенные диски в нашей локальной сети и вместо этого используем “общие сетевые ресурсы”.

Несколько причин не использовать отображенные приводы:

1) Они занимают ресурсы как локальной машины с отображенным диском, так и сетевых ресурсов. Локальные приложения могут стать вялыми, потому что ваш локальный компьютер должен читать содержимое отображенного диска при запуске приложения или при загрузке системы. Попробуйте это. Составьте карту нескольких дисков и запустите Excel. Распакуйте диски и попробуйте еще раз.

2) Перемещение приложения в новую среду будет утомительным. В случае аварийного восстановления, перехода на более мощную машину, или если другой разработчик берет на себя ваше приложение. Если новая среда не позволяет отображать диски или буквы дисков отображаются по-другому, то кто-то тратит время на переписывание кода. Время, сэкономленное на его исправлении, будет более чем потеряно.

Отображение дисков происходит быстрее, если вы манипулируете большим количеством файлов. Windows аутентифицирует ваш доступ один раз с отображенным диском, а затем разрешает взаимодействие с файлами. Windows аутентифицирует UNC пути для каждого доступа к файлам. Таким образом, процесс аутентификации будет происходить тысячи раз, если вы манипулируете тысячами файлов по UNC-пути. Mapped Drive - Аутентифицируйте один раз UNC - Аутентифицируйте каждый раз при доступе к файлу.

Это может иметь последствия для чего-то настолько простого, как копирование файлов. Отображение дисков всегда будет быстрее; заметно при большом количестве файлов.

Некоторые распространенные вирусы и вредоносные программы будут использовать отображенные диски. Это примерно такая же причина, как и любой другой, чтобы не использовать их.

Одной из причин ограничения отображения дисков могут быть почтовые вирусы (zip или exe файлы, открытые немного “плотными” пользователями), такие как Cryptolocker, который будет алфавитировать все файлы на локальных и отображаемых дисках и шифровать их. Он (в частности) не дискриминирует накопители. Мы получили удар, и смогли восстановить с помощью резервных копий сервера (серверов), но, конечно же, локальные файлы были “поджарены”.

Я знаю, что это старая нить, но я бы не сказал, что они в полной безопасности. Мы удалили картографические диски из-за рисков безопасности. Многие вирусы пытаются распространиться по дискам. Однако они не распространяются через ярлыки, указывающие на акции DFS. Нужно кое-что запомнить…

В отношении соображений, связанных с криптографическим/рансометрическим обеспечением, Locky является одним из примеров программ выкупа, которые могут распространяться как по UNC-пути, так и по отображенным буквам диска. Если ваше беспокойство относительно: отображенных сетевых дисков против UNC-путей определяется потенциальной возможностью атаки выкупа, поймите, что он защищает только от некоторых из них.

Существует несколько способов обнаружения/предупреждения атак с целью получения выкупа - и обычно рекомендуется использовать несколько методов защиты: защита сети, защита конечной точки и поддержание надежного режима резервного копирования. Лично я использую Sophos InterceptX в качестве антивирусного решения на конечной точке, брандмауэр Cisco ASA (с IPS), ShadowProtect для резервного копирования и использую отображенные сетевые диски, где это имеет административный смысл.

Отказ от ответственности: я сертифицированный архитектор компании Sophos. Хотя я не работаю в Sophos, я думаю, что их технология аккуратна. Я также работаю на MSP, и именно на эту технологию мы остановились после того, как проверили различные варианты, доступные в Австралии.

Отредактировано по запросу, чтобы дать больше информации для второго абзаца. Также я говорю по-австралийски, а не по-английски, грамматика немного отличается, а некоторые слова пишутся по-другому (это Цвет, а не Цвет, и даже не заставляйте меня начинать с канталупы).

Я не люблю использовать отображенные диски, потому что редко пользуюсь различными сетевыми ресурсами и никогда не могу найти полный адрес для использования другими. Использование ярлыков также позволяет мне с легкостью продвигаться вверх по каталогу. Если единственной причиной для отображения дисков является 256-символьный лимит, то это извинение за то, что я потерял все детали расположения файлов.

Картинные диски опасны! В последние несколько лет со всплеском выкупа я удалял отображенные диски везде, где это было возможно. ПО для выкупа нацелено не только на локальные данные, но и на все ПОСЛЕДНИЙ ДОСТУП. Поэтому, пока вы в безопасности, пока вы храните резервные копии с избыточными данными, все равно головной болью является борьба с такой утечкой данных.

Если вы находитесь в бизнес-среде (основная цель выкупа), и если можете, избавьтесь от отображенных дисков!!!

Некоторые вирусы-вымогатели, такие как [ CryptoWall ]0x3 и семейство, ищут любой отображенный диск и заражают эти диски. Однако если сетевой ресурс использует UNC, а не букву диска, то эти вирусы не заражают этот ресурс.

Причина, по которой вы не захотите этого делать, заключается в том, что вымогатель не может получить доступ к UNC-пути, но буквы диска - это справедливая игра. Если вы хотите, чтобы сетевой ресурс криптоблокирован, то во что бы то ни стало продолжайте с отображением букв дисков. Лично я лично не вижу преимущества букв дисков и действительно считаю, что UNC-пути проще, так как мне никогда не придется беспокоиться о сопоставлении букв дисков, особенно после смены пароля для входа в систему. Можно создавать ярлыки, которые ведут себя не иначе, чем буквы дисков, и добавлять эти ярлыки в Windows Explorer.

Сетевой диск - это хороший способ совместного использования ресурсов, но я не согласен с тем фактом, что домашние каталоги должны быть помещены на сетевой диск с возможностью совместного использования. Это просто вопиющая глупость. Большинство приложений используют ваш домашний каталог в качестве места для хранения определенных настроек приложений для пользователей. Если ИТ-отделу нужна еще одна головная боль (как будто у них ее недостаточно), то исправление зависимостей приложений для пользователей в сети может стать занозой, которую они могут добавить в свой мешок проблем. Эти проблемы могут возникать в среде, где используется много таких приложений, а их зависимости и требования меняются. С одной стороны, работа может быть затруднена для пользователей в сети, и компания теряет деньги и время, основываясь на низком уровне производительности. Это то, чем нельзя рисковать. Во-вторых, некоторые организации сопоставляют домашние диски пользователей в сети для мониторинга того, что там находится. Правительство делает это часто как часть своих требований. Это также усугубляет проблему возможности работать из дома. Если ваше подключение через VP имеет проблемы с тем, что ваше приложение работает удаленно через VPN сеанс, где вы запускаете ваше приложение, которое требует зависимости от вашего сетевого отображенного домашнего диска, и отображение диска не работает, тогда вы подключены к сети.

Лично я думаю, что это следует делать только по уважительным причинам, но не до такой степени, чтобы это мешало продуктивности и влияло на прибыль компании.