Pourquoi est-il mauvais de mapper des lecteurs réseau sous Windows?
Notre service informatique a eu des discussions animées sur la cartographie des lecteurs réseau. En particulier, il a été dit que la cartographie des lecteurs réseau était une mauvaise chose et que l’ajout de DFS chemins/partages réseau à vos favoris (Explorateur Windows/Bibliothèques) constituait une bien meilleure solution.
Pourquoi est-ce le cas?
Personnellement, je trouve que la commodité de z:\folder est meilleure que \\server\path\folder ', en particulier avec la ligne cmd et les scripts (bien sûr, je ne parle pas de liens codés en dur, bien sûr!).
J'ai essayé de rechercher les avantages et les inconvénients des lecteurs réseau mappés, mais je n'ai rien vu d'autre que "si le réseau venait à ne plus fonctionner, le lecteur serait indisponible". Mais ceci est une limitation de tout stockage accédé au réseau.
On m'a également dit que les lecteurs réseau mappés interrogent le réseau lorsque la ressource réseau n'est pas disponible, mais je n'ai pas trouvé plus d'informations à ce sujet. Les lecteurs réseau interrogent-ils le réseau plus qu’une bibliothèque/un favori de l’explorateur Windows? Cela ne poserait-il toujours pas un problème avec d'autres mécanismes d'accès au réseau (c'est-à-dire des favoris mappés) chaque fois que Windows essaiera d'énumérer le système de fichiers (par exemple, lorsqu'un dialogue de sélecteur de fichier/dossier est ouvert)?
J'imagine que la principale raison de ne pas mapper les lecteurs réseau est que les administrateurs ne veulent pas gérer les maux de tête liés au maintien d'un index d'un nombre fini de lettres de lecteur en plus des chemins d'accès réseau. D'une part, il pourrait y avoir trop de partages réseau couramment utilisés pour leur attribuer des lettres de lecteur. Dans une grande entreprise, tout le monde n'aura pas accès aux mêmes partages. Les noms de partage sont également plus descriptifs et potentiellement moins ambigus que les lettres de lecteur (plus sur l'ambiguïté plus tard).
Deuxièmement, vous pouvez rencontrer des lettres de lecteur. Si le PC de quelqu'un est équipé d'un lecteur de carte mémoire, il pourrait engloutir quatre lettres de lecteur ou plus. A et B sont généralement réservés aux lecteurs de disquettes du siècle dernier, tandis que C et D sont généralement réservés au disque dur et au lecteur optique. Le lecteur de carte utilisera donc E, F, G et H. Si l’un de vos lecteurs réseau est généralement mappé sur H: via un script d'ouverture de session, cette personne pauvre ne pourra pas utiliser le lecteur H: du lecteur de carte ou ne pourra pas monter le lecteur réseau.
À moins que quelqu'un au sein de l'organisation soit responsable de l'attribution des lettres de lecteur à des fins spécifiques, les lecteurs réseau pourraient également créer beaucoup de confusion. Par exemple, supposons que vous mappiez le lecteur S: sur le partage contenant les programmes d'installation de tous vos logiciels sous licence de site, et que quelqu'un d'autre mappe S: sur le lecteur partagé où ils déposent toutes sortes de documents partagés. Lorsque vous essayez d’expliquer comment installer certains logiciels, vous leur demandez d’ouvrir leur lecteur S: et de rechercher le programme d’installation de Microsoft Office, mais ils ne peuvent trouver qu’un dossier nommé office , qui contient une multitude de logiciels divers. fichiers quelqu'un chuté là pour un transfert de fichier temporaire. Cela peut vous prendre 5 ou 10 minutes pour régler la confusion.
Il existe également des problèmes de performances potentiels si un serveur tombe en panne ou si une machine est retirée du réseau. Par exemple, si vous mappez des lecteurs réseau sur une machine, puis retirez la machine du réseau (il s'agit peut-être d'un ordinateur portable), la machine peut sembler se bloquer lors de la connexion alors que Windows tente en vain de monter les lecteurs réseau manquants.
D'autre part, sur les anciennes versions de Windows, j'ai remarqué que les transferts de fichiers vers ou depuis un lecteur réseau mappé vont souvent beaucoup plus vite que si vous accédez au dossier réseau et effectuez le même transfert de fichiers - auquel cas, la plupart les gens préféreraient cartographier les lecteurs réseau.
La réponse simple est que ce n'est pas une mauvaise chose. Les lecteurs réseau peuvent parfaitement être mappés en tant que lecteurs.
La superstition vient du fait que vous ne devriez pas mapper les lecteurs foreign (Internet) en tant que locaux, car les fichiers ouverts à partir de lecteurs mappés sont ouverts à l'aide de la zone "locale", ce qui les protège généralement moins - et si les fichiers proviennent réellement d'Internet, la sécurité est réduite.
Si, comme je le soupçonne, vous mappez des lecteurs de réseau int ra net, l’ouverture des dossiers en tant que lecteurs mappés est aussi sécurisée que leur accès par le biais de leurs noms de chemin d'accès réseau. La seule différence est que les avoir cartographiés est plus pratique.
D'après mon expérience, il s'agit principalement de logiciels mal écrits.
Si la personne A travaille sur une suite de fichiers mappés sur G: et que la personne B tente ensuite d'ouvrir le même ensemble de fichiers avec le même chemin mappé sur H:, les choses échouent.
Si vous utilisez des chemins UNC, en supposant que les ordinateurs de la personne A et de la personne B puissent voir le point de partage, tout fonctionnera correctement.
Bien sûr, la solution idéale consiste à utiliser un logiciel qui ne stocke pas les relations de fichiers en utilisant des chemins absolus, mais ce n’est pas quelque chose que vous pouvez toujours contrôler.
Beaucoup de logiciels sur les marchés de la CAO/FAO sont mal écrits et ne fonctionnent pratiquement pas. Le marché étant plutôt petit, la pression concurrentielle est faible. Je connais au moins un logiciel qui a eu des problèmes de chemins absolus pour les 5 dernièresversions majeures, et ils restent toujours non résolus, malgré le signalement des problèmes à la société.
Nous avons eu de graves problèmes avec les lecteurs réseau sur lesquels je travaille, car parfois Windows ne s'y connecte pas et il semble que not connecte automatiquement un lecteur réseau lorsqu'un programme tente d'y accéder.
Au moins une demi-douzaine de fois qu'un utilisateur de la comptabilité a appelé car il a la même erreur. C'est parce qu'elle a ouvert le programme X, qui utilise un fichier mappé sur le lecteur réseau Y:, et il n'est pas connecté pour une raison insondable.
Je doute que les informaticiens s'inquiètent du fait qu'un utilisateur mappe un lecteur réseau, mais plutôt de cent ou de mille utilisateurs. Par exemple, si un groupe d'hôtes lance en même temps l'indexation de la recherche d'un ou plusieurs lecteurs en réseau, cela affectera-t-il tous les autres utilisateurs du réseau? Lorsqu'un disque en réseau est inévitablement mis hors ligne, va-t-il verrouiller des centaines de machines jusqu'à ce que le système d'exploitation abandonne et abandonne le mappage de lecteur? Est-ce que les ordinateurs actuels et futurs démarrent plus lentement ou ne parviennent pas à démarrer si les connexions aux lecteurs mappés ne peuvent pas être rétablies?
Un problème avec la syntaxe\server\dir est que les fenêtres de commande ne peuvent pas être cd. Si vous disposez de privilèges d'administrateur et que vous ne souhaitez pas utiliser de lettre de lecteur, vous pouvez utiliser la commande mklink pour monter des lecteurs dans un répertoire au lieu d'une lettre de lecteur. Le répertoire Home ne doit pas exister.
mklink/d "c:\Drives\Home" "\ server\HomeFolder\user1"
Ce dossier est utilisable par tout.
Le montage sur un lecteur de disque peut être mauvais, car il est possible qu’il passe à un autre point de montage. Ensuite, vous lisez et écrivez quelque chose auquel vous ne vous attendez pas. Si les exécutables d’un point de montage changent, ils peuvent contenir des virus.
Ma solution nécessite des privilèges d’administrateur. Par conséquent, si vous n’exécutez pas de droits d’administrateur, le système est plus sécurisé, car un autre programme ne pourrait pas le modifier sans droits d’administrateur.
Un certain nombre de logiciels, y compris diverses versions de Microsoft Visual Studio et CMS Bounceback, ne fonctionneront qu'avec des lettres de lecteur et non avec des chemins d'accès absolus. Compte tenu de cette restriction, pour utiliser un tel logiciel, vous devez définir les lettres de lecteur - vous n’avez pas le choix. Mais cela ne simplifie pas vraiment les choses, car il semble demander un ID utilisateur et un mot de passe, mais un seul ID utilisateur et mot de passe est autorisé dans Windows pour toutes les connexions à un périphérique réseau (par exemple, plusieurs disques et imprimantes).
Voici une bonne raison:
Windows (au moins XP) ne prend pas en charge les chemins de fichiers contenant plus de 256 caractères. Le mappage permet à quelqu'un d'ajouter un fichier où aucun autre choix ne serait possible, en raccourcissant le chemin. Ensuite, vous avez un programme qui navigue dans tous les fichiers et dossiers sans connaître le mappage. Sans le mappage, le fichier existant a une longueur de chemin supérieure à 256. Le programme se bloque.
Parlez à quelques-uns des centaines de consultants en informatique qui doivent maintenant faire face à l'épidémie récente de "CryptoLocker" et vous vous rendrez vite compte que les lecteurs mappés sur un ordinateur local infecté peuvent causer des dommages considérables aux données. sur le serveur, via le lecteur mappé.
Plus précisément:
«CryptoLocker accédera également aux lecteurs réseau mappés auxquels l'utilisateur actuel a un accès en écriture et les chiffre. Il n'attaquera pas les simples partages de serveur, mais uniquement les lecteurs mappés. ”
Par conséquent, l'utilisation de disques mappés pose clairement des problèmes de sécurité en cette ère de malwares toujours nouveaux et récemment découverts, frappant fréquemment les utilisateurs.
Nous avons éliminé tous les lecteurs mappés de notre réseau local et utilisé des «partages réseau».
Quelques raisons de ne pas utiliser de lecteurs mappés:
1) Ils utilisent des ressources à la fois sur la machine locale avec le lecteur mappé et les ressources réseau. Les applications locales peuvent devenir lentes car votre ordinateur local doit lire le contenu du lecteur mappé lors du lancement de l'application ou du démarrage du système. Essaye le. Mappez plusieurs lecteurs et lancez Excel. Démappez les lecteurs et réessayez.
2) Déplacer votre application vers un nouvel environnement sera fastidieux. En cas de reprise après sinistre, passez à une machine plus puissante ou si un autre développeur prend en charge votre application. Si le nouvel environnement n'autorise pas les lecteurs mappés ou si les lettres de lecteur sont mappées différemment, quelqu'un passe du temps à réécrire le code. Le gain de temps sur le front-end sera plus que perdu.
Les virus de messagerie (fichiers Zip ou exes ouverts par des utilisateurs un peu "denses"), tels que Cryptolocker, sont une des raisons de la limitation du mappage des lecteurs, qui vont alphabétiser tous les fichiers des lecteurs locaux et mappés et les chiffrer. Il (en particulier) ne fait pas de discrimination en fonction des lecteurs. Nous avons été touchés et avons pu récupérer en utilisant des sauvegardes du ou des serveurs, mais bien sûr, les fichiers locaux étaient "grillés".
Les lecteurs mappés sont plus rapides si vous manipulez de grandes quantités de fichiers. Windows authentifie votre accès une fois avec un lecteur mappé, puis autorise les interactions de fichiers. Les chemins UNC sont authentifiés par Windows pour chaque fichier accédé. Ainsi, le processus d'authentification se produirait des milliers de fois si vous manipuliez des milliers de fichiers sous un chemin UNC. Lecteur mappé - Authentifiez une fois UNC - Authentifiez chaque fois qu'un fichier est accédé.
Cela peut avoir des implications avec quelque chose d'aussi simple que la copie de fichiers. Les lecteurs mappés seront toujours plus rapides. visiblement avec un grand nombre de fichiers.
Je sais que c'est un vieux fil, mais je ne dirais pas qu'ils sont parfaitement en sécurité. Nous avons retiré les lecteurs mappés en raison des risques de sécurité. De nombreux virus tentent de se propager sur plusieurs lecteurs. Cependant, ils ne sont pas répartis entre des raccourcis pointant vers des partages DFS. Quelque chose à garder à l'esprit...
Certains virus et logiciels malveillants répandus exploiteront les lecteurs mappés. C'est à peu près la même raison que de ne pas les utiliser.
En ce qui concerne les considérations de crypto/ransomware, Locky est un exemple de ransomware pouvant se propager via des chemins UNC ainsi que des lettres de lecteur mappées. Si votre préoccupation concernant les lecteurs réseau mappés par rapport aux chemins UNC est déterminée par le potentiel d'attaques par ransomware, sachez que cela ne protège que certains d'entre eux.
Il existe plusieurs façons de détecter/prévenir les attaques de ransomware - et il est généralement recommandé d'utiliser plusieurs méthodes de protection: protéger le réseau, protéger le point de terminaison et maintenir un régime de sauvegarde robuste. Personnellement, j'utilise Sophos InterceptX comme solution anti-ransomware sur le système d'extrémité, pare-feu Cisco ASA (avec IPS), ShadowProtect pour la sauvegarde et utilisation de lecteurs réseau mappés pour des raisons administratives.
Disclaimer: Je suis un architecte certifié Sophos. Bien que je ne travaille pas pour Sophos, je pense que leur technologie est soignée. Je travaille également pour un MSP, et c'est la technologie que nous avons choisie après avoir examiné les différentes options disponibles en Australie.
Edité comme demandé pour donner plus d’informations pour le deuxième paragraphe. De plus, je parle australien et non anglais, la grammaire est légèrement différente et certains mots sont épelés différemment (couleur, pas couleur, et ne me lance même pas en cantaloup).
Je n'aime pas utiliser les lecteurs mappés, car j'utilise rarement diverses ressources réseau et je ne trouve jamais l'adresse complète à utiliser par d'autres. L'utilisation de raccourcis me permet également de progresser facilement dans le répertoire. Si la seule raison de mapper les lecteurs est la limite de 256 caractères, il s'agit d'une excuse désolée pour perdre tous les détails de l'emplacement du fichier.
Les lecteurs mappés sont dangereux! Ces dernières années, avec le regain de ransomware, j'ai supprimé les lecteurs mappés dans la mesure du possible. Ransomware cible toutes les lettres de lecteurs, pas seulement les données locales. Par conséquent, même si vous êtes en sécurité tant que vous conservez des sauvegardes redondantes, le fait de devoir faire face à une telle violation de données constitue toujours un casse-tête.
Si vous êtes dans un environnement professionnel (cible principale de ransomware), et si vous le pouvez, supprimez les lecteurs mappés!
Certains virus ransomware, tels que la famille CryptoWall , recherchent tous les lecteurs mappés et les infectent. Si le partage réseau utilise cependant UNC et non une lettre de lecteur, ces virus n'infectent pas le partage.