Mengapa memetakan drive jaringan di Windows buruk?

Ada beberapa diskusi bersemangat di dalam departemen TI kami tentang pemetaan drive jaringan. Secara khusus, telah dikatakan bahwa memetakan drive jaringan adalah hal yang buruk dan menambahkan jalur DFS atau berbagi jaringan ke favorit (Windows Explorer / Libraries) Anda adalah solusi yang jauh lebih baik.

Mengapa demikian?

Secara pribadi saya menemukan kenyamanan z:\folderuntuk menjadi lebih baik daripada \\server\path\folder', khususnya dengan cmd line dan scripting (tentu saja saya tidak berbicara tentang tautan yang dikodekan secara alami!).

Saya telah mencoba mencari pro dan kontra dari drive jaringan yang dipetakan, tetapi saya belum melihat apa pun selain 'seandainya jaringan turun, drive tidak akan tersedia'. Tapi ini adalah batasan penyimpanan apa pun yang diakses jaringan.

Saya juga telah diberitahu bahwa drive jaringan yang dipetakan menyurvei jaringan ketika sumber daya jaringan tidak tersedia, namun saya belum menemukan informasi lebih lanjut tentang ini. Apakah drive jaringan menyurvei jaringan lebih dari perpustakaan Windows Explorer / favorit? Bukankah ini masih menjadi masalah dengan mekanisme akses jaringan lain (yaitu, dipetakan Favorit) setiap kali Windows mencoba untuk menghitung sistem file (misalnya, ketika dialog pemilih file / folder dibuka)?

Saya membayangkan alasan terkuat untuk tidak memetakan drive jaringan adalah bahwa admin tidak ingin berurusan dengan sakit kepala mempertahankan indeks jumlah huruf drive yang terbatas selain jalur jaringan. Untuk satu, mungkin ada terlalu banyak share jaringan yang biasa digunakan untuk menetapkan huruf drive untuk semuanya, dan dalam organisasi besar, tidak semua orang akan memiliki akses ke semua share yang sama. Nama berbagi juga lebih deskriptif dan berpotensi kurang ambigu daripada huruf drive (lebih banyak tentang ambiguitas nanti).

Kedua, Anda dapat mengalami tabrakan huruf drive. Jika PC seseorang memiliki pembaca kartu memori, itu mungkin melahap empat atau lebih huruf drive. A dan B biasanya dicadangkan untuk floppy drive abad lalu, dan C dan D biasanya dicadangkan untuk hard drive dan drive optik, sehingga pembaca kartu akan menggunakan E, F, G, dan H. Jika salah satu drive jaringan Anda biasanya dipetakan ke H: melalui skrip log masuk, orang miskin ini tidak akan dapat menggunakan drive H: pembaca kartu atau tidak akan dapat memasang drive jaringan.

Kecuali jika seseorang di dalam organisasi bertanggung jawab untuk mengalokasikan huruf drive untuk tujuan tertentu, drive jaringan juga dapat menyebabkan banyak kebingungan. Misalnya, Anda memetakan drive S: ke share yang memiliki program pengaturan untuk semua perangkat lunak berlisensi situs Anda, dan orang lain memetakan S: ke drive bersama di mana mereka menjatuhkan semua jenis dokumen bersama. Ketika Anda mencoba menjelaskan cara menginstal beberapa perangkat lunak, Anda memberi tahu mereka untuk membuka drive S: dan menemukan program pengaturan untuk Microsoft Office, tetapi yang dapat mereka temukan hanyalah folder bernama office , yang berisi banyak file lain-lain yang dijatuhkan seseorang di sana untuk transfer file sementara. Mungkin Anda memerlukan waktu 5 atau 10 menit untuk menyelesaikan kebingungan.

Ada juga beberapa masalah kinerja potensial jika server turun atau jika mesin dikeluarkan dari jaringan. Misalnya, jika Anda memetakan drive jaringan pada mesin, kemudian lepaskan mesin dari jaringan (mungkin itu laptop), mesin mungkin tampak menggantung saat masuk sementara Windows mencoba sia-sia untuk memasang drive jaringan yang hilang.

Di sisi lain, pada versi Windows yang lebih lama, saya perhatikan bahwa transfer file ke atau dari drive jaringan yang dipetakan seringkali berjalan jauh lebih cepat daripada jika Anda meramban ke folder jaringan dan melakukan transfer file yang sama - dalam hal ini, sebagian besar orang lebih suka memetakan drive jaringan.

Jawaban sederhananya adalah itu bukan hal yang buruk. Drive jaringan sangat aman untuk dipetakan sebagai drive.

Takhayul ini berasal dari fakta bahwa Anda seharusnya tidak memetakan drive asing (yaitu Internet) sebagai lokal karena file yang dibuka dari drive yang dipetakan dibuka menggunakan zona "lokal", yang umumnya memberi mereka perlindungan lebih sedikit - dan jika file tersebut benar-benar datang dari Internet ini adalah pengurangan keamanan.

Jika, seperti yang saya duga terjadi, Anda benar-benar pemetaan int ra drive jaringan net, kemudian membuka folder sebagai drive dipetakan adalah persis aman seperti mengakses mereka melalui nama jalan jaringan mereka. Satu-satunya perbedaan adalah memetakannya lebih nyaman.

Dalam pengalaman saya, sebagian besar berpusat di sekitar perangkat lunak yang ditulis dengan buruk.

Jika orang A bekerja pada kumpulan file yang dipetakan ke G:, dan kemudian orang B mencoba untuk membuka set file yang sama dengan jalur yang sama dipetakan H:, semuanya gagal.

Jika Anda menggunakan jalur UNC, maka dengan asumsi bahwa orang A dan komputer orang B dapat melihat titik berbagi, semuanya akan berfungsi dengan baik.

Tentu, solusi ideal adalah menggunakan perangkat lunak yang tidak menyimpan hubungan file menggunakan jalur absolut, tetapi itu bukan sesuatu yang selalu dapat Anda kendalikan.

Banyak perangkat lunak di pasar CAD / CAM ditulis dengan buruk, dan hampir tidak berfungsi sama sekali. Karena pasar agak kecil, ada sedikit tekanan kompetitif. Saya tahu setidaknya satu perangkat lunak yang memiliki masalah dengan jalur absolut untuk 5 rilis utama terakhir , dan mereka masih tetap tidak beres, meskipun melaporkan masalah kepada perusahaan.

Kami memiliki masalah serius dengan drive jaringan tempat saya bekerja karena kadang-kadang Windows tidak terhubung dengannya, dan sepertinya tidak secara otomatis menghubungkan drive jaringan ketika suatu program mencoba mengaksesnya.

Setidaknya setengah lusin kali seorang pengguna dari akuntansi menelepon karena dia mendapatkan kesalahan yang sama. Itu karena dia membuka program X, yang menggunakan file yang dipetakan pada drive jaringan Y:, dan itu tidak terhubung karena alasan yang tidak terduga.

Saya ragu bahwa orang-orang TI khawatir tentang satu pengguna memetakan drive jaringan, bukan mereka khawatir tentang seratus pengguna atau seribu. Misalnya, jika sekelompok host memulai pengindeksan pencarian drive atau drive jaringan pada saat yang sama, bagaimana hal itu akan memengaruhi semua orang yang mencoba menggunakan jaringan? Ketika drive jaringan secara tak terhindarkan diambil offline, apakah itu akan mengunci ratusan mesin sampai OS menyerah dan menjatuhkan pemetaan drive? Akankah PC kemari dan Anda akan mem-boot lebih lambat atau gagal mem-boot semuanya jika koneksi ke drive yang dipetakan tidak dapat dibangun kembali?

Satu masalah dengan sintaks \ server \ dir adalah bahwa windows perintah tidak dapat melakukan cd kepada mereka. Jika Anda memiliki hak admin dan tidak ingin menggunakan huruf kandar, Anda dapat menggunakan perintah mklink untuk memasang kandar ke direktori alih-alih huruf kandar. Direktori Home seharusnya tidak ada.

mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ user1"

Folder ini bisa digunakan oleh semuanya.

Pemasangan ke drive leter bisa jadi buruk karena ada kemungkinan untuk mengubah ke titik pemasangan lain. Kemudian Anda membaca dan menulis sesuatu yang tidak Anda harapkan. Jika executable dari titik mount berubah, mereka dapat mengandung virus.

Solusi saya memerlukan hak admin, jadi jika Anda tidak menjalankan dengan hak admin, itu lebih aman karena program lain tidak dapat mengubahnya pada Anda tanpa hak admin.

Inilah satu alasan bagus:

Windows (setidaknya XP) tidak mendukung jalur file dengan lebih dari 256 karakter. Pemetaan memungkinkan seseorang untuk menambahkan file di mana orang lain tidak mungkin, dengan mempersingkat jalur. Kemudian Anda memiliki program yang menavigasi semua file dan folder, dan tidak mengetahui pemetaan. Tanpa pemetaan, file yang ada memiliki panjang jalur di atas 256. Program macet.

Sejumlah perangkat lunak, termasuk berbagai versi Microsoft Visual Studio dan Bounceback CMS, hanya akan berfungsi dengan huruf drive dan tidak dengan jalur absolut. Dengan adanya pembatasan ini maka untuk menggunakan perangkat lunak semacam itu mengharuskan Anda menentukan huruf drive - Anda tidak punya pilihan. Tetapi Windows tidak membuat ini sangat mudah karena tampaknya meminta ID pengguna dan kata sandi, tetapi hanya satu ID pengguna dan kata sandi yang diperbolehkan di Windows untuk semua koneksi ke satu perangkat jaringan (misalnya beberapa disk dan printer).

Hanya berbicara dengan beberapa dari ratusan konsultan IT yang sekarang harus berurusan dengan wabah Zero-day "CryptoLocker" baru-baru ini dan Anda akan segera menyadari bahwa drive yang dipetakan pada komputer lokal yang terinfeksi dapat menyebabkan kerusakan besar pada data. di server, melalui drive yang dipetakan.

Secara khusus:

“CryptoLocker juga akan mengakses drive jaringan yang dipetakan dimana pengguna saat ini memiliki akses tulis dan mengenkripsi mereka. Itu tidak akan menyerang saham server yang sederhana, hanya drive yang dipetakan. ”

Dengan demikian, jelas ada masalah keamanan dengan menggunakan drive yang dipetakan di zaman malware yang selalu ada dan baru ditemukan ini yang sering memukul pengguna.

Kami telah menghapus semua drive yang dipetakan di LAN kami dan menggunakan "jaringan berbagi" sebagai gantinya.

Beberapa alasan untuk tidak menggunakan drive yang dipetakan:

1) Mereka mengambil sumber daya pada mesin lokal dengan drive yang dipetakan dan sumber daya jaringan. Aplikasi lokal dapat menjadi lamban karena komputer lokal Anda harus membaca konten drive yang dipetakan saat aplikasi diluncurkan atau ketika sistem di-boot. Cobalah. Petakan banyak drive dan jalankan Excel. Hapus peta drive dan coba lagi.

2) Memindahkan aplikasi Anda ke lingkungan baru akan membosankan. Jika terjadi bencana pulih, pindah ke mesin yang lebih kuat, atau jika pengembang lain mengambil alih aplikasi Anda. Jika lingkungan baru tidak memungkinkan drive yang dipetakan atau huruf drive dipetakan secara berbeda maka seseorang menghabiskan waktu menulis ulang kode. Waktu yang disimpan di ujung depan akan lebih dari kehilangan untuk memperbaikinya.

Saya tahu ini adalah utas lama, tetapi saya tidak akan mengatakan bahwa mereka aman. Kami menghapus drive yang dipetakan karena risiko keamanan. Banyak virus mencoba menyebar di seluruh drive. Namun mereka tidak, menyebar melintasi pintasan yang menunjuk ke saham DFS. Sesuatu yang perlu diingat ...

Salah satu alasan untuk membatasi pemetaan drive adalah virus e-mail (file zip atau exe dibuka oleh pengguna yang "padat") seperti Cryptolocker yang akan mengabjadkan semua file pada drive lokal dan yang dipetakan dan mengenkripsi mereka. Ini (khususnya) tidak membeda-bedakan menurut drive. Kami tertabrak, dan dapat memulihkan menggunakan cadangan server, tetapi tentu saja file lokal "bersulang".

Virus dan malware tertentu yang menyebar luas akan mengeksploitasi drive yang dipetakan. Itu alasan yang sama bagusnya dengan tidak menggunakannya.

Drive yang dipetakan lebih cepat jika Anda memanipulasi file dalam jumlah besar. Windows mengotentikasi akses Anda sekali dengan drive yang dipetakan, dan kemudian memungkinkan interaksi file berlangsung. Jalur UNC diautentikasi oleh Windows untuk setiap file yang diakses. Jadi proses otentikasi akan terjadi ribuan kali jika Anda memanipulasi ribuan file di bawah jalur UNC. Drive yang Dipetakan - Otentikasi sekali UNC - Otentikasi setiap kali file diakses.

Ini dapat memiliki implikasi dengan sesuatu yang sederhana seperti menyalin file. Drive yang dipetakan akan selalu lebih cepat; terasa dengan sejumlah besar file.

Saya tidak suka menggunakan drive yang dipetakan karena saya jarang menggunakan berbagai sumber daya jaringan dan saya tidak pernah dapat menemukan alamat lengkap untuk digunakan orang lain. Menggunakan jalan pintas juga memungkinkan saya untuk naik ke direktori dengan mudah. Jika satu-satunya alasan untuk memetakan drive adalah batas 256 karakter, itu adalah alasan maaf untuk kehilangan semua detail lokasi file.

Drive yang dipetakan berbahaya! Dalam beberapa tahun terakhir dengan lonjakan ransomware, saya telah menghapus drive yang dipetakan sedapat mungkin. Ransomware menargetkan semua SURAT DRIVE bukan hanya data lokal. Jadi, sementara Anda aman selama Anda menyimpan cadangan yang berlebihan, masih sulit untuk berurusan dengan pelanggaran data seperti itu.

Jika Anda berada di lingkungan bisnis (target utama ransomware), dan jika Anda bisa, singkirkan drive yang dipetakan !!

Virus ransomware tertentu, seperti keluarga CryptoWall , mencari drive yang dipetakan dan menginfeksi drive tersebut. Namun, jika jaringan berbagi menggunakan UNC dan bukan huruf drive, maka virus ini tidak menginfeksi berbagi.

Sehubungan dengan pertimbangan crypto / ransomware, Locky adalah salah satu contoh ransomware yang dapat menyebar melalui jalur UNC serta huruf drive yang dipetakan. Jika kekhawatiran Anda: drive jaringan yang dipetakan vs jalur UNC ditentukan oleh potensi serangan ransomware, pahami bahwa itu hanya melindungi terhadap sebagian.

Ada beberapa cara untuk mendeteksi / mencegah serangan ransomware - dan umumnya disarankan untuk menggunakan beberapa metode perlindungan: melindungi jaringan, melindungi titik akhir, dan mempertahankan rezim cadangan yang kuat. Saya pribadi menggunakan Sophos InterceptX sebagai solusi anti-ransomware di titik akhir, firewall Cisco ASA (dengan IPS), ShadowProtect untuk cadangan dan menggunakan drive jaringan yang dipetakan di mana masuk akal secara administratif untuk melakukannya.

Penafian: Saya Arsitek Bersertifikat Sophos. Meskipun saya tidak bekerja untuk Sophos, saya pikir teknologinya rapi. Saya juga bekerja untuk MSP, dan itulah teknologi yang kami putuskan setelah memeriksa berbagai opsi yang tersedia di Australia.

Diedit seperti yang diminta untuk memberikan informasi lebih lanjut untuk paragraf kedua. Juga, saya berbicara bahasa Australia, bukan bahasa Inggris, tata bahasa sedikit berbeda dan beberapa kata dieja secara berbeda (itu Warna, bukan Warna, dan bahkan tidak membuat saya mulai menggunakan blewah).

Drive jaringan adalah cara yang baik untuk berbagi sumber daya, tetapi saya tidak setuju dengan kenyataan bahwa direktori home diletakkan pada drive jaringan yang dapat dibagi. Itu benar-benar bodoh. Sebagian besar aplikasi menggunakan direktori home Anda sebagai tempat untuk menyimpan pengaturan aplikasi spesifik untuk pengguna. Jika IT ingin satu lagi sakit kepala (seolah-olah mereka tidak memiliki cukup untuk berurusan dengan), maka memperbaiki dependensi aplikasi untuk pengguna dalam jaringan dapat menjadi sakit mereka dapat menambah masalah mereka. Masalah ini dapat meningkat di lingkungan di mana banyak aplikasi semacam itu digunakan dan dependensi serta persyaratannya berubah. Untuk satu hal pekerjaan dapat menjadi kaku bagi pengguna di jaringan dan perusahaan kehilangan uang dan waktu berdasarkan tingkat produktivitas yang rendah. Itu adalah sesuatu yang tidak bisa dipertaruhkan. Kedua, beberapa organisasi memetakan home drive pengguna di jaringan untuk memantau apa yang ' ada di sana. Pemerintah melakukan itu banyak sebagai bagian dari persyaratan mereka. Ini juga menambah masalah untuk bisa bekerja dari rumah. Jika konektivitas Anda melalui VP memiliki masalah dengan aplikasi Anda yang bekerja secara jarak jauh melalui sesi VPN, di mana Anda menjalankan aplikasi Anda yang memerlukan ketergantungan dari drive rumah yang dipetakan jaringan Anda dan pemetaan drive gagal, maka Anda disembunyikan.

Secara pribadi, saya pikir itu harus dilakukan hanya untuk alasan yang baik, tetapi tidak sampai ke titik di mana hal itu menghambat produktivitas dan mempengaruhi laba perusahaan.

Alasan nomor 1 yang tidak ingin Anda lakukan adalah ransomware tidak dapat mengakses jalur UNC, tetapi huruf kandar adalah permainan yang adil. Jika Anda ingin Anda berbagi jaringan cryptolocked maka tentu saja lanjutkan dengan pemetaan huruf drive.

Saya pribadi tidak melihat keuntungan dari huruf drive dan benar-benar menemukan jalur UNC lebih mudah karena saya tidak perlu khawatir tentang pemetaan huruf drive, terutama setelah mengubah kata sandi masuk. Anda dapat membuat pintasan yang berperilaku tidak berbeda dengan huruf kandar dan dapat menambahkan pintasan tersebut ke Windows Explorer.