¿Por qué es malo asignar unidades de red en Windows?

Ha habido una discusión animada dentro de nuestro departamento de TI sobre el mapeo de unidades de red. En particular, se ha dicho que asignar unidades de red es algo malo y que agregar rutas DFS o recursos compartidos de red a sus favoritos (Explorador de Windows / Bibliotecas) es una solución mucho mejor.

¿Por qué es este el caso?

Personalmente, encuentro la conveniencia de z:\folderser mejor que \\server\path\folder', particularmente con la línea cmd y las secuencias de comandos (¡por supuesto, no estoy hablando de enlaces codificados, naturalmente!).

He intentado buscar los pros y los contras de las unidades de red asignadas, pero no he visto nada más que 'si la red se cae, la unidad no estará disponible'. Pero esto es una limitación de cualquier almacenamiento accedido por la red.

También me han dicho que las unidades de red mapeadas sondean la red cuando el recurso de red no está disponible, sin embargo, no he encontrado más información al respecto. ¿Las unidades de red sondean la red más que una biblioteca / favorita de Windows Explorer? ¿No seguiría siendo un problema con otros mecanismos de acceso a la red (es decir, Favoritos asignados) cada vez que Windows intente enumerar el sistema de archivos (por ejemplo, cuando se abre un cuadro de diálogo de selección de archivo / carpeta)?

Me imagino que la razón más fuerte para no asignar unidades de red es que los administradores no quieren lidiar con los dolores de cabeza de mantener un índice de un número finito de letras de unidad además de las rutas de red. Por un lado, puede haber demasiados recursos compartidos de red de uso común para asignar letras de unidad a todos ellos, y en una organización grande, no todos tendrán acceso a los mismos recursos compartidos. Los nombres compartidos también son más descriptivos y potencialmente menos ambiguos que las letras de unidad (más sobre la ambigüedad más adelante).

En segundo lugar, puede encontrarse con colisiones de letras de unidad. Si la PC de alguien tiene un lector de tarjetas de memoria, eso podría engullir cuatro o más letras de unidad. A y B generalmente están reservados para las unidades de disquete del siglo pasado, y C y D generalmente están reservados para el disco duro y la unidad óptica, por lo que el lector de tarjetas usará E, F, G y H. Si una de sus unidades de red generalmente se asigna a H: a través de un script de inicio de sesión, esta persona pobre no podrá usar la unidad H: del lector de tarjetas o no podrá montar la unidad de red.

A menos que alguien dentro de la organización sea responsable de asignar letras de unidad para fines específicos, las unidades de red también podrían terminar causando mucha confusión. Por ejemplo, suponga que asigna la unidad S: al recurso compartido que tiene los programas de configuración para todo el software con licencia de su sitio, y otra persona asigna S: a la unidad compartida donde sueltan todo tipo de documentos compartidos. Cuando intenta explicar cómo instalar algún software, les dice que abran su unidad S: y busquen el programa de instalación para Microsoft Office, pero todo lo que pueden encontrar es una carpeta llamada office , que contiene un montón de archivos misceláneos que alguien dejó allí para una transferencia temporal de archivos. Puede llevarle 5 o 10 minutos resolver la confusión.

También hay algunos posibles problemas de rendimiento si un servidor deja de funcionar o si se quita una máquina de la red. Por ejemplo, si asigna unidades de red en una máquina y luego la elimina de la red (tal vez sea una computadora portátil), la máquina puede parecer que se bloquea al iniciar sesión mientras Windows intenta en vano montar las unidades de red que faltan.

Por otro lado, en versiones anteriores de Windows, he notado que las transferencias de archivos hacia o desde una unidad de red asignada a menudo van mucho más rápido que si navegaras a la carpeta de red y realizaras la misma transferencia de archivos, en cuyo caso, la mayoría la gente preferiría mapear unidades de red.

La respuesta simple es que no es algo malo. Las unidades de red son perfectamente seguras para mapear como unidades.

La superstición proviene del hecho de que no debe asignar unidades externas (es decir, Internet) como locales porque los archivos abiertos desde unidades asignadas se abren utilizando la zona "local", que generalmente les brinda menos protección, y si los archivos realmente están llegando desde Internet esto es una reducción en la seguridad.

Si, como sospecho es el caso, en realidad estás mapeo int ra unidades de red netos, a continuación, abrir las carpetas como unidades asignadas es exactamente tan seguro como el acceso a ellos a través de sus nombres de ruta de red. La única diferencia es que tenerlos asignados es más conveniente.

En mi experiencia, se centra principalmente en software mal escrito.

Si la persona A trabaja en un conjunto de archivos que están asignados G:, y luego la persona B intenta abrir el mismo conjunto de archivos con la misma ruta asignada H:, las cosas fallan.

Si usa rutas UNC, suponiendo que las computadoras de la persona A y de la persona B puedan ver el punto compartido, todo funcionará bien.

Claro, la solución ideal es usar un software que no almacene relaciones de archivos usando rutas absolutas, pero eso no es algo que siempre se pueda controlar.

Una gran cantidad de software en los mercados CAD / CAM está mal escrito y apenas funciona. Como el mercado es bastante pequeño, hay poca presión competitiva. Conozco al menos una pieza de software que ha tenido problemas con las rutas absolutas para los últimos 5 lanzamientos principales, y aún permanecen sin reparar, a pesar de informar los problemas a la empresa.

Hemos tenido serios problemas con las unidades de red donde trabajo porque a veces Windows no se conecta a ellas, y parece que no conecta automáticamente una unidad de red cuando un programa intenta acceder a ella.

Al menos media docena de veces ha llamado un usuario de contabilidad porque recibe el mismo error. Es porque abrió el programa X, que usa un archivo mapeado en la unidad de red Y :, y no está conectado por alguna razón insondable.

Dudo que los técnicos de TI estén preocupados por el hecho de que un usuario asigne una unidad de red, más bien les preocupan cien usuarios o mil. Por ejemplo, si un grupo de hosts inicia la indexación de búsqueda de una unidad o unidades en red al mismo tiempo, ¿cómo afectará eso a todos los demás que intenten utilizar la red? Cuando una unidad en red se desconecta inevitablemente, ¿bloqueará cientos de máquinas hasta que el sistema operativo se dé por vencido y descarte la asignación de unidades? ¿Las PC se moverán más lentamente o no arrancarán por completo si no se pueden restablecer las conexiones a las unidades asignadas?

Un problema con la sintaxis \ server \ dir es que las ventanas de comandos no pueden acceder a ellas. Si tiene privilegios de administrador y no desea usar una letra de unidad, puede usar el comando mklink para montar unidades en un directorio en lugar de una letra de unidad. El directorio Inicio no debería existir.

mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ user1"

Esta carpeta es utilizable por todo.

El montaje en un lector de disco puede ser malo porque es posible que cambie a otro punto de montaje. Entonces estás leyendo y escribiendo algo que no esperas. Si los ejecutables de un punto de montaje cambian, podrían contener virus.

Mi solución requiere privilegios de administrador, por lo que si no está ejecutando con derechos de administrador, es más seguro ya que otro programa no podría cambiarlo sin derechos de administrador.

Aquí hay una buena razón:

Windows (al menos XP) no admite rutas de archivos con más de 256 caracteres. El mapeo permite que alguien agregue un archivo donde otros no serían posibles, al acortar la ruta. Luego tiene un programa que navega por todos los archivos y carpetas, y no tiene conocimiento de la asignación. Sin la asignación, el archivo existente tiene una longitud de ruta superior a 256. El programa se bloquea.

Una serie de piezas de software, incluidas varias versiones de Microsoft Visual Studio y CMS Bounceback, solo funcionarán con letras de unidad y no con rutas absolutas. Dada esta restricción, el uso de cualquier software de este tipo requiere que defina letras de unidad; no tiene otra opción. Pero Windows no lo hace muy fácil, ya que parece pedir una ID de usuario y contraseña, pero solo se permite una ID de usuario y contraseña en Windows para todas las conexiones a cualquier dispositivo de red (por ejemplo, múltiples discos e impresoras).

Solo hable con algunos de los cientos de consultores de TI que ahora tienen que lidiar con el reciente brote de "CryptoLocker" de día cero y pronto se dará cuenta de que las unidades mapeadas en una computadora local que se infecta puede causar daños masivos a los datos. en el servidor, a través de la unidad asignada.

Específicamente:

“CryptoLocker también accederá a las unidades de red mapeadas a las que el usuario actual tiene acceso de escritura y las cifrará. No atacará los recursos compartidos simples del servidor, solo las unidades mapeadas ".

Por lo tanto, claramente existen preocupaciones de seguridad con el uso de unidades mapeadas en esta era de malware de día cero siempre presente y recientemente descubierto que golpea a los usuarios con frecuencia.

Hemos eliminado todas las unidades asignadas en nuestra LAN y en su lugar utilizamos "recursos compartidos de red".

Algunas razones para no usar unidades mapeadas:

1) Toman recursos tanto en la máquina local con la unidad asignada como en los recursos de red. Las aplicaciones locales pueden volverse lentas porque su computadora local tiene que leer el contenido de la unidad asignada cuando se inicia la aplicación o cuando se inicia el sistema. Pruébalo. Asigne un montón de unidades y ejecute Excel. Desasigne las unidades e inténtelo de nuevo.

2) Mover su aplicación a un nuevo entorno será tedioso. En el caso de una recuperación ante desastres, muévase a una máquina más potente o si otro desarrollador se hace cargo de su aplicación. Si el nuevo entorno no permite que las unidades mapeadas o las letras de unidad se mapeen de manera diferente, entonces alguien pasa tiempo reescribiendo el código. El tiempo ahorrado en el front end será más que perdido al arreglarlo.

Sé que es un hilo viejo, pero no diría que son perfectamente seguros. Eliminamos las unidades mapeadas debido a los riesgos de seguridad. Muchos virus intentan propagarse por las unidades. Sin embargo, no se extienden a través de atajos que apuntan a recursos compartidos DFS. Algo para tener en cuenta...

Una razón para limitar la asignación de unidades serían los virus de correo electrónico (archivos zip o exe abiertos por usuarios algo "densos") como Cryptolocker, que alfabetizará todos los archivos en unidades locales y mapeadas y los cifrará. (En particular) no discrimina según las unidades. Nos golpearon y pudimos recuperarnos usando copias de seguridad de los servidores, pero por supuesto los archivos locales fueron "tostados".

Ciertos virus y malware generalizados explotarán las unidades mapeadas. Esa es una razón tan buena como cualquier otra para no usarlos.

Las unidades asignadas son más rápidas si está manipulando grandes cantidades de archivos. Windows autentica su acceso una vez con una unidad asignada y luego permite que las interacciones del archivo tengan lugar. Windows autentica las rutas UNC para cada archivo al que se accede. Entonces, el proceso de autenticación sucedería miles de veces si estuviera manipulando miles de archivos bajo una ruta UNC. Unidad asignada: autenticar una vez UNC: autenticar cada vez que se accede a un archivo.

Esto puede tener implicaciones con algo tan simple como copiar archivos. Las unidades asignadas siempre serán más rápidas; notablemente con un gran número de archivos.

No me gusta usar unidades mapeadas porque uso una variedad de recursos de red con poca frecuencia y nunca puedo encontrar la dirección completa para que otros la usen. Usar accesos directos también me permite avanzar en el directorio con facilidad. Si la única razón para asignar unidades es el límite de 256 caracteres, esa es una excusa lamentable para perder todos los detalles de la ubicación del archivo.

Las unidades mapeadas son peligrosas! En los últimos años con el aumento del ransomware, he estado eliminando unidades mapeadas siempre que sea posible. El ransomware se dirige a todas las LETRAS DE CONDUCCIÓN, no solo a los datos locales. Por lo tanto, si bien está seguro siempre que mantenga copias de seguridad redundantes, sigue siendo un dolor de cabeza tener que lidiar con tal violación de datos.

Si está en un entorno empresarial (objetivo principal del ransomware), y si puede, ¡deshágase de las unidades mapeadas!

Ciertos virus de ransomware, como la familia CryptoWall , buscan cualquier unidad asignada e infectan esas unidades. Sin embargo, si el recurso compartido de red utiliza UNC y no una letra de unidad, estos virus no infectan el recurso compartido.

En relación con las consideraciones de cripto / ransomware, Locky es un ejemplo de ransomware que puede propagarse a través de rutas UNC, así como letras de unidad mapeadas. Si su preocupación con respecto a las unidades de red mapeadas frente a las rutas UNC está determinada por el potencial de ataques de ransomware, comprenda que solo protege contra algunos.

Hay varias formas de detectar / prevenir ataques de ransomware, y generalmente se recomienda utilizar múltiples métodos de protección: proteger la red, proteger el punto final y mantener un régimen de respaldo sólido. Yo personalmente uso Sophos InterceptX como una solución anti-ransomware en el punto final, un firewall Cisco ASA (con IPS), ShadowProtect para respaldo y uso unidades de red mapeadas donde tiene sentido administrativo hacerlo.

Descargo de responsabilidad: soy un arquitecto certificado de Sophos. Aunque no trabajo para Sophos, creo que su tecnología es ordenada. También trabajo para un MSP, y esa es la tecnología que decidimos después de revisar las diversas opciones disponibles en Australia.

Editado según lo solicitado para dar más información para el segundo párrafo. Además, hablo australiano, no inglés, la gramática es ligeramente diferente y algunas palabras se escriben de manera diferente (es color, no color, y ni siquiera me ayudan a comenzar con el melón).

La unidad de red es una buena forma de compartir recursos, pero no estoy de acuerdo con el hecho de que los directorios principales se coloquen en una unidad de red que se pueda compartir. Eso es descaradamente estúpido. La mayoría de las aplicaciones utilizan su directorio de inicio como lugar para almacenar configuraciones de aplicaciones específicas para los usuarios. Si TI quiere un dolor de cabeza más (como si no tuvieran suficiente con lo que lidiar), entonces arreglar las dependencias de las aplicaciones para los usuarios dentro de la red puede ser una molestia, pueden agregar su bolsa de problemas. Estos problemas se pueden montar en un entorno donde se utilizan muchas de esas aplicaciones y sus dependencias y requisitos cambian. Por un lado, el trabajo se puede dificultar para los usuarios de la red y la empresa pierde dinero y tiempo en función de los bajos niveles de productividad. Eso es algo que no se puede arriesgar. En segundo lugar, algunas organizaciones mapean la unidad de inicio del usuario en la red para monitorear qué ' S por allí. El gobierno hace mucho eso como parte de su requerimiento. También se suma al problema de poder trabajar desde casa. Si su conectividad a través de VP tiene problemas con su aplicación que funciona de forma remota a través de una sesión de VPN, donde ejecuta su aplicación que requiere una dependencia de su unidad doméstica asignada a la red y la asignación de la unidad falla, entonces se encuentra alojado.

Personalmente, creo que solo debe hacerse por buenas razones, pero no hasta el punto en que obstaculice la productividad y afecte los resultados de la empresa.

La razón número 1 por la que no querría hacer esto es que el ransomware no puede acceder a una ruta UNC, pero las letras de unidad son un juego justo. Si desea que su recurso compartido de red esté criptobloqueado, continúe con el mapeo de letras de unidad.

Personalmente, no veo la ventaja de las letras de unidad y realmente encuentro que las rutas UNC son más fáciles, ya que nunca tengo que preocuparme por asignar letras de unidad, especialmente después de cambiar las contraseñas de inicio de sesión. Puede crear accesos directos que no se comporten de manera diferente a las letras de unidad y puede agregar esos accesos directos al Explorador de Windows.