Warum ist es schlecht, Netzwerklaufwerke in Windows zuzuordnen?

In unserer IT-Abteilung gab es einige lebhafte Diskussionen über das Zuordnen von Netzwerklaufwerken. Insbesondere wurde gesagt, dass das Zuordnen von Netzwerklaufwerken eine schlechte Sache ist und dass das Hinzufügen von DFS- Pfaden oder Netzwerkfreigaben zu Ihren Favoriten (Windows Explorer / Libraries) eine weitaus bessere Lösung ist.

Warum ist das so?

Persönlich finde ich die Bequemlichkeit z:\folderbesser zu sein als \\server\path\folder', besonders mit cmd-Zeilen und Skripten (natürlich spreche ich nicht über fest codierte Links!).

Ich habe versucht, nach Vor- und Nachteilen zugeordneter Netzlaufwerke zu suchen, aber ich habe nichts anderes gesehen als "Sollte das Netz ausfallen, ist das Laufwerk nicht verfügbar". Dies ist jedoch eine Einschränkung für Speicher, auf den über das Netzwerk zugegriffen wird.

Mir wurde auch mitgeteilt, dass zugeordnete Netzwerklaufwerke das Netzwerk abfragen, wenn die Netzwerkressource nicht verfügbar ist, ich habe jedoch keine weiteren Informationen dazu gefunden. Abrufen Netzwerklaufwerke das Netzwerk nicht mehr als eine Windows Explorer-Bibliothek / ein Favorit? Wäre dies immer noch ein Problem mit anderen Netzwerkzugriffsmechanismen (dh zugeordneten Favoriten), wenn Windows versucht, das Dateisystem aufzulisten (z. B. wenn ein Dialogfeld zur Datei- / Ordnerauswahl geöffnet wird)?

Ich stelle mir vor, dass der Hauptgrund dafür, dass Netzlaufwerke nicht zugeordnet werden, darin besteht, dass die Administratoren sich nicht mit dem Kopfzerbrechen befassen möchten, zusätzlich zu den Netzwerkpfaden einen Index mit einer begrenzten Anzahl von Laufwerksbuchstaben zu führen. Zum einen gibt es möglicherweise zu viele häufig verwendete Netzwerkfreigaben, um allen Laufwerksbuchstaben zuzuweisen, und in einer großen Organisation hat nicht jeder Zugriff auf dieselben Freigaben. Freigabenamen sind ausserdem aussagekräftiger und möglicherweise weniger mehrdeutig als Laufwerksbuchstaben (mehr zur Mehrdeutigkeit später).

Zweitens können Sie auf Laufwerkbuchstabenkollisionen stoßen. Wenn der PC einer Person über einen Speicherkartenleser verfügt, werden dadurch möglicherweise vier oder mehr Laufwerksbuchstaben verschluckt. A und B sind normalerweise für die Diskettenlaufwerke des letzten Jahrhunderts reserviert, und C und D sind normalerweise für die Festplatte und das optische Laufwerk reserviert, sodass der Kartenleser E, F, G und H verwendet wird normalerweise H zugeordnet: Über ein Anmeldeskript kann diese arme Person entweder nicht das H: -Laufwerk des Kartenlesers verwenden oder das Netzlaufwerk nicht mounten.

Wenn nicht jemand in der Organisation dafür verantwortlich ist, Laufwerksbuchstaben für bestimmte Zwecke zuzuweisen, können die Netzlaufwerke auch eine Menge Verwirrung stiften. Angenommen, Sie ordnen Laufwerk S: der Freigabe zu, auf der sich die Setup-Programme für Ihre gesamte Site-lizenzierte Software befinden, und jemand anderes ordnet S: dem freigegebenen Laufwerk zu, auf dem alle Arten von freigegebenen Dokumenten abgelegt werden. Wenn Sie versuchen, die Installation von Software zu erklären, fordern Sie die Benutzer auf, das Laufwerk S: zu öffnen und das Setup-Programm für Microsoft Office zu suchen. Sie können jedoch nur einen Ordner mit dem Namen office finden , der eine Reihe verschiedener Dateien enthält, die dort abgelegt wurden für eine temporäre Dateiübertragung. Es kann 5 oder 10 Minuten dauern, bis die Verwirrung beseitigt ist.

Es gibt auch einige potenzielle Leistungsprobleme, wenn ein Server ausfällt oder ein Computer aus dem Netzwerk entfernt wird. Wenn Sie beispielsweise Netzwerklaufwerke auf einem Computer zuordnen und dann den Computer aus dem Netzwerk entfernen (möglicherweise handelt es sich um einen Laptop), scheint der Computer bei der Anmeldung hängen zu bleiben, während Windows vergeblich versucht, die fehlenden Netzwerklaufwerke bereitzustellen.

Andererseits ist mir auf älteren Windows-Versionen aufgefallen, dass die Dateiübertragung zu oder von einem zugeordneten Netzwerklaufwerk oft viel schneller verläuft, als wenn Sie zum Netzwerkordner navigiert und dieselbe Dateiübertragung durchgeführt haben - in den meisten Fällen Leute würden es vorziehen, Netzlaufwerke zuzuordnen.

Die einfache Antwort ist, dass es keine schlechte Sache ist. Netzwerklaufwerke können absolut sicher als Laufwerke zugeordnet werden.

Der Aberglaube kommt von der Tatsache, dass Sie fremde (dh Internet-) Laufwerke nicht als lokal zuordnen sollten, da Dateien, die von zugeordneten Laufwerken geöffnet wurden, über die "lokale" Zone geöffnet werden, was im Allgemeinen einen geringeren Schutz bietet - und ob die Dateien tatsächlich kommen Aus dem Internet bedeutet dies eine Verringerung der Sicherheit.

Wenn man , wie ich vermute , der Fall ist, sind Sie eigentlich int Abbildung ra net Netzlaufwerke, dann die Ordner als zugeordnete Laufwerke zu öffnen ist genau so sicher wie sie über ihre Netzwerk - Pfadnamen zugreifen. Der einzige Unterschied besteht darin, dass es bequemer ist, sie abzubilden.

Nach meiner Erfahrung handelt es sich hauptsächlich um schlecht geschriebene Software.

Wenn Person A an einer Reihe von Dateien arbeitet, die zugeordnet sind G:, und Person B dann versucht, denselben Satz von Dateien mit demselben zugeordneten Pfad zu öffnen, schlagen die H:Dinge fehl.

Wenn Sie UNC-Pfade verwenden und davon ausgehen, dass sowohl Computer von Person A als auch Computer von Person B die Freigabe sehen können, funktioniert alles einwandfrei.

Sicher, die ideale Lösung ist die Verwendung von Software, die keine Dateibeziehungen mit absoluten Pfaden speichert, aber das können Sie nicht immer steuern.

Eine Menge Software in den CAD / CAM-Märkten ist schlecht geschrieben und funktioniert überhaupt nicht. Da der Markt eher klein ist, ist der Wettbewerbsdruck gering. Ich kenne mindestens eine Software, die in den letzten 5 Hauptversionen Probleme mit absoluten Pfaden hatte , und die immer noch nicht behoben sind, obwohl die Probleme dem Unternehmen gemeldet wurden.

Wir hatten ernsthafte Probleme mit Netzwerklaufwerken, auf denen ich arbeite, da Windows manchmal keine Verbindung zu diesen Laufwerken herstellt und es nicht automatisch eine Verbindung zu einem Netzwerklaufwerk herstellt, wenn ein Programm versucht, darauf zuzugreifen.

Mindestens ein halbes Dutzend Mal hat ein Benutzer aus der Buchhaltung angerufen, weil er denselben Fehler erhält. Das liegt daran, dass sie das Programm X geöffnet hat, das eine Datei verwendet, die auf dem Netzlaufwerk Y: zugeordnet ist, und das aus einem unerfindlichen Grund nicht verbunden ist.

Ich bezweifle, dass die IT-Leute sich Sorgen um einen Benutzer machen, der ein Netzwerklaufwerk zuordnet, sondern um hundert oder tausend Benutzer. Wie wirkt sich dies beispielsweise auf alle anderen Benutzer aus, die versuchen, das Netzwerk zu nutzen, wenn eine Reihe von Hosts gleichzeitig die Suchindizierung für ein oder mehrere Laufwerke starten? Wenn ein vernetztes Laufwerk unvermeidlich offline geschaltet wird, werden dann Hunderte von Computern gesperrt, bis das Betriebssystem die Laufwerkszuordnung aufgibt und löscht? Fahren die PCs langsamer hoch oder fahren sie gar nicht hoch, wenn die Verbindungen zu zugeordneten Laufwerken nicht wiederhergestellt werden können?

Ein Problem mit der \ server \ dir-Syntax besteht darin, dass Befehlsfenster nicht darauf zugreifen können. Wenn Sie über Administratorrechte verfügen und keinen Laufwerksbuchstaben verwenden möchten, können Sie den Befehl mklink verwenden, um Laufwerke anstelle eines Laufwerksbuchstabens in ein Verzeichnis einzuhängen. Das Verzeichnis Home sollte nicht existieren.

mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ user1"

Dieser Ordner ist für alles verwendbar.

Das Mounten auf einem Laufwerk könnte schlecht sein, da es möglich ist, auf einen anderen Mount-Punkt zu wechseln. Dann liest und schreibt man etwas, was man nicht erwartet. Wenn sich ausführbare Dateien von einem Einhängepunkt ändern, können sie Viren enthalten.

Meine Lösung erfordert Administratorrechte. Wenn Sie also nicht mit Administratorrechten arbeiten, ist sie sicherer, da ein anderes Programm sie ohne Administratorrechte nicht ändern kann.

Hier ist ein guter Grund:

Windows (mindestens XP) unterstützt keine Dateipfade mit mehr als 256 Zeichen. Durch das Zuordnen kann jemand eine Datei hinzufügen, wo dies sonst nicht möglich wäre, indem der Pfad verkürzt wird. Dann haben Sie ein Programm, das durch alle Dateien und Ordner navigiert und die Zuordnung nicht kennt. Ohne die Zuordnung hat die vorhandene Datei eine Pfadlänge über 256. Das Programm stürzt ab.

Einige Softwareteile, einschließlich verschiedener Versionen von Microsoft Visual Studio und CMS Bounceback, funktionieren nur mit Laufwerksbuchstaben und nicht mit absoluten Pfaden. Angesichts dieser Einschränkung müssen Sie für die Verwendung einer solchen Software Laufwerksbuchstaben definieren - Sie haben keine andere Wahl. Windows macht dies jedoch nicht einfach, da anscheinend nach einer Benutzer-ID und einem Kennwort gefragt wird. In Windows ist jedoch nur eine Benutzer-ID und ein Kennwort für alle Verbindungen zu einem Netzwerkgerät zulässig (z. B. mehrere Datenträger und Drucker).

Wenn Sie mit einigen der Hunderten von IT-Beratern sprechen, die sich jetzt mit dem Zero-Day-Ausbruch von "CryptoLocker" auseinandersetzen müssen, werden Sie schnell feststellen, dass zugeordnete Laufwerke auf einem lokalen Computer, der infiziert wird, massive Schäden an Daten verursachen können auf dem Server über das zugeordnete Laufwerk.

Speziell:

„CryptoLocker greift auch auf zugeordnete Netzlaufwerke zu, auf die der aktuelle Benutzer Schreibzugriff hat, und verschlüsselt diese. Es werden keine einfachen Serverfreigaben angegriffen, sondern nur zugeordnete Laufwerke. “

Daher gibt es in Zeiten allgegenwärtiger und neu entdeckter Zero-Day-Malware, die die Benutzer häufig trifft, eindeutig Sicherheitsbedenken hinsichtlich der Verwendung zugeordneter Laufwerke.

Wir haben alle zugeordneten Laufwerke in unserem LAN entfernt und verwenden stattdessen "Netzwerkfreigaben".

Einige Gründe, zugeordnete Laufwerke nicht zu verwenden:

1) Sie beanspruchen Ressourcen sowohl auf dem lokalen Computer mit dem zugeordneten Laufwerk als auch auf den Netzwerkressourcen. Lokale Anwendungen können träge werden, da Ihr lokaler Computer den Inhalt des zugeordneten Laufwerks lesen muss, wenn die Anwendung gestartet oder das System gestartet wird. Versuch es. Ordnen Sie eine Reihe von Laufwerken zu und starten Sie Excel. Ordnen Sie die Laufwerke zu und versuchen Sie es erneut.

2) Das Verschieben Ihrer Anwendung in eine neue Umgebung ist mühsam. Im Falle einer Notfallwiederherstellung, einem Umzug auf einen leistungsstärkeren Computer oder wenn ein anderer Entwickler Ihre Anwendung übernimmt. Wenn die neue Umgebung keine zugeordneten Laufwerke zulässt oder die Laufwerksbuchstaben anders zugeordnet sind, verbringt jemand Zeit damit, den Code umzuschreiben. Die Zeit, die am Frontend gespart wird, geht mehr als verloren.

Ich weiß, es ist ein alter Thread, aber ich würde nicht sagen, dass sie absolut sicher sind. Wir haben zugeordnete Laufwerke aus Sicherheitsgründen entfernt. Viele Viren versuchen, sich über Laufwerke zu verbreiten. Sie verteilen sich jedoch nicht auf Verknüpfungen, die auf DFS-Freigaben verweisen. Etwas zu beachten ...

Ein Grund für die Einschränkung der Laufwerkszuordnung sind E-Mail-Viren (Zip- oder Exe-Dateien, die von etwas "dichten" Benutzern geöffnet wurden) wie Cryptolocker, die alle Dateien auf lokalen und zugeordneten Laufwerken alphabetisieren und verschlüsseln. Es wird (insbesondere) nicht nach Laufwerken unterschieden. Wir wurden getroffen und konnten uns mit Backups der Server erholen, aber natürlich waren die lokalen Dateien "Toast".

Bestimmte weit verbreitete Viren und Malware können zugeordnete Laufwerke ausnutzen. Das ist so gut wie jeder Grund, sie nicht zu benutzen.

Zugeordnete Laufwerke sind schneller, wenn Sie große Mengen von Dateien bearbeiten. Windows authentifiziert Ihren Zugriff einmalig mit einem zugeordneten Laufwerk und lässt dann die Dateiinteraktionen zu. UNC-Pfade werden von Windows für jede aufgerufene Datei authentifiziert. Der Authentifizierungsprozess würde also Tausende Male stattfinden, wenn Sie Tausende von Dateien unter einem UNC-Pfad bearbeiten würden. Zugeordnetes Laufwerk - Einmalige Authentifizierung UNC - Bei jedem Zugriff auf eine Datei wird eine Authentifizierung durchgeführt.

Dies kann Auswirkungen haben, die so einfach wie das Kopieren von Dateien sind. Zugeordnete Laufwerke sind immer schneller. Auffällig bei einer großen Anzahl von Dateien.

Ich verwende keine zugeordneten Laufwerke, da ich selten eine Vielzahl von Netzwerkressourcen verwende und nie die vollständige Adresse für andere Benutzer finden kann. Durch die Verwendung von Verknüpfungen kann ich auch mühelos in das Verzeichnis wechseln. Wenn der einzige Grund für die Zuordnung von Laufwerken die Beschränkung auf 256 Zeichen ist, ist dies eine Entschuldigung, um alle Details zum Dateispeicherort zu verlieren.

Zugeordnete Laufwerke sind gefährlich! In den letzten Jahren habe ich mit der Flut von Ransomware, wo immer möglich, zugeordnete Laufwerke entfernt. Ransomware zielt auf alle DRIVE LETTER ab, nicht nur auf lokale Daten. Während Sie also sicher sind, solange Sie redundante Backups aufbewahren, ist es immer noch schwierig, mit einem solchen Datenverstoß fertig zu werden.

Wenn Sie sich in einer Geschäftsumgebung befinden (primäres Ziel von Ransomware) und wenn Sie können, entfernen Sie zugeordnete Laufwerke !!

Bestimmte Ransomware-Viren, wie z. B. die CryptoWall- Familie, suchen nach zugeordneten Laufwerken und infizieren diese Laufwerke. Wenn die Netzwerkfreigabe jedoch UNC und keinen Laufwerksbuchstaben verwendet, infizieren diese Viren die Freigabe nicht.

In Bezug auf die Überlegungen zu Krypto- / Ransomware ist Locky ein Beispiel für Ransomware, die sich über UNC-Pfade sowie zugeordnete Laufwerksbuchstaben ausbreiten kann. Wenn Ihr Anliegen die Neuzuordnung von Netzwerklaufwerken zu UNC-Pfaden durch die Möglichkeit von Ransomware-Angriffen bestimmt, sollten Sie sich darüber im Klaren sein, dass diese nur vor einigen Angriffen schützen.

Es gibt verschiedene Möglichkeiten, Ransomware-Angriffe zu erkennen / zu verhindern. Generell wird die Verwendung mehrerer Schutzmethoden empfohlen: Schutz des Netzwerks, Schutz des Endpunkts und Beibehaltung eines robusten Sicherungsregimes. Ich persönlich verwende Sophos InterceptX als Anti-Ransomware-Lösung auf dem Endpoint, eine Cisco ASA (mit IPS) -Firewall, ShadowProtect für Backups und verwende zugeordnete Netzwerklaufwerke, wenn dies administrativ sinnvoll ist.

Haftungsausschluss: Ich bin ein Sophos Certified Architect. Obwohl ich nicht für Sophos arbeite, denke ich, dass ihre Technologie ordentlich ist. Ich arbeite auch für einen MSP, und das ist die Technologie, für die wir uns entschieden haben, nachdem wir die verschiedenen in Australien verfügbaren Optionen geprüft hatten.

Bearbeitet wie angefordert, um weitere Informationen für den zweiten Absatz zu geben. Außerdem spreche ich australisch, nicht englisch, die Grammatik ist etwas anders und einige Wörter werden anders geschrieben (es ist Farbe, nicht Farbe, und ich fange nicht mal mit der Kantalupe an).

Netzwerklaufwerk ist eine gute Möglichkeit, Ressourcen gemeinsam zu nutzen, aber ich bin nicht damit einverstanden, dass private Verzeichnisse auf einem gemeinsam genutzten Netzwerklaufwerk abgelegt werden. Das ist einfach unglaublich dumm. Die meisten Anwendungen verwenden Ihr Basisverzeichnis als Speicherort, um bestimmte Anwendungseinstellungen für Benutzer zu speichern. Wenn die IT-Abteilung noch mehr Kopfschmerzen haben möchte (als ob sie nicht genug zu bewältigen hätte), kann das Beheben von Anwendungsabhängigkeiten für Benutzer innerhalb des Netzwerks zu einem Problem werden, das sie möglicherweise in den Griff bekommen. Dieses Problem kann in einer Umgebung auftreten, in der viele solcher Anwendungen verwendet werden und deren Abhängigkeiten und Anforderungen sich ändern. Zum einen kann die Arbeit der Benutzer im Netzwerk unterbunden werden, und das Unternehmen verliert Geld und Zeit, wenn die Produktivität niedrig ist. Das kann man nicht riskieren. Zweitens ordnen einige Organisationen dem Benutzer das Heimlaufwerk im Netzwerk zu, um zu überwachen, was " ist da dran. Die Regierung tut dies oft als Teil ihrer Forderung. Dies erhöht auch das Problem, von zu Hause aus arbeiten zu können. Wenn Ihre Konnektivität über VP Probleme mit der Remote-Arbeit Ihrer Anwendung über eine VPN-Sitzung hat, in der Sie Ihre Anwendung ausführen, für die eine Abhängigkeit von Ihrem über das Netzwerk zugeordneten Home-Laufwerk erforderlich ist, und die Laufwerkszuordnung fehlschlägt, sind Sie erledigt.

Persönlich denke ich, dass dies nur aus guten Gründen geschehen sollte, aber nicht bis zu dem Punkt, an dem es die Produktivität beeinträchtigt und das Endergebnis des Unternehmens beeinträchtigt.

Die Nummer 1 Grund , warum Sie würde nicht wollen , dies zu tun , ist , dass Ransomware nicht einen UNC - Pfad zugreifen können, aber die Laufwerksbuchstaben sind fair game. Wenn Sie möchten, dass Ihre Netzwerkfreigabe verschlüsselt ist, fahren Sie auf jeden Fall mit der Zuordnung der Laufwerksbuchstaben fort.

Ich persönlich sehe den Vorteil von Laufwerksbuchstaben nicht und finde, dass die UNC-Pfade einfacher sind, da ich mir keine Gedanken über das Zuordnen von Laufwerksbuchstaben machen muss, insbesondere nach dem Ändern von Anmeldekennwörtern. Sie können Verknüpfungen erstellen, die sich nicht von den Laufwerksbuchstaben unterscheiden, und diese Verknüpfungen zu Windows Explorer hinzufügen.