Pourquoi est-il mauvais de mapper des lecteurs réseau sous Windows?

Au sein de notre service informatique, des discussions animées ont eu lieu sur la cartographie des lecteurs réseau. En particulier, il a été dit que la cartographie des lecteurs réseau était une mauvaise chose et que l’ajout de chemins DFS ou de partages réseau à vos favoris (Explorateur Windows / Bibliothèques) constituait une bien meilleure solution.

pourquoi est-ce le cas?

Personnellement, je trouve la commodité d' z:\folderêtre meilleur que \\server\path\folder', en particulier avec la ligne de commande et les scripts (bien sûr, je ne parle pas de liens codés en dur, bien sûr!).

J'ai essayé de rechercher les avantages et les inconvénients des lecteurs réseau mappés, mais je n'ai rien vu d'autre que "si le réseau venait à ne plus, le lecteur serait indisponible". Mais ceci est une limitation de tout stockage accédé au réseau.

On m'a également dit que les lecteurs réseau mappés interrogent le réseau lorsque la ressource réseau n'est pas disponible, mais je n'ai pas trouvé plus d'informations à ce sujet. Les lecteurs réseau interrogent-ils le réseau plus qu’une bibliothèque / un favori de l’explorateur Windows? Cela ne poserait-il toujours pas un problème avec d'autres mécanismes d'accès au réseau (c'est-à-dire des favoris mappés) chaque fois que Windows essaiera d'énumérer le système de fichiers (par exemple, lorsqu'un dialogue de sélecteur de fichier / dossier est ouvert)?

J'imagine que la principale raison de ne pas mapper les lecteurs réseau est que les administrateurs ne veulent pas gérer les maux de tête liés au maintien d'un index d'un nombre fini de lettres de lecteur en plus des chemins d'accès au réseau. D'une part, il se peut qu'il y ait trop de partages réseau couramment utilisés pour leur attribuer des lettres de lecteur. Dans une grande entreprise, tout le monde n'aura pas accès aux mêmes partages. Les noms de partage sont également plus descriptifs et potentiellement moins ambigus que les lettres de lecteur (plus sur l'ambiguïté plus tard).

Deuxièmement, vous pouvez rencontrer des lettres de lecteur. Si le PC de quelqu'un est équipé d'un lecteur de carte mémoire, il pourrait engloutir quatre lettres de lecteur ou plus. A et B sont généralement réservés aux lecteurs de disquettes du siècle dernier, tandis que C et D sont généralement réservés au disque dur et au lecteur optique. Le lecteur de carte utilisera donc E, F, G et H. Si l’un de vos lecteurs réseau est généralement associé à H: via un script d'ouverture de session, cette personne pauvre ne pourra pas utiliser le lecteur H: du lecteur de carte ou ne pourra pas monter le lecteur réseau.

À moins que quelqu'un au sein de l'organisation soit responsable de l'attribution des lettres de lecteur à des fins spécifiques, les lecteurs réseau peuvent également finir par créer beaucoup de confusion. Par exemple, supposons que vous mappiez le lecteur S: sur le partage contenant les programmes d'installation de tous vos logiciels sous licence de site, et que quelqu'un d'autre mappe S: sur le lecteur partagé où ils déposent toutes sortes de documents partagés. Lorsque vous essayez d'expliquer comment installer certains logiciels, vous leur dites d'ouvrir leur lecteur S: et de rechercher le programme d'installation de Microsoft Office, mais tout ce qu'ils peuvent trouver est un dossier nommé office , qui contient un tas de fichiers divers que quelqu'un y a déposé pour un transfert de fichier temporaire. Cela pourrait vous prendre 5 ou 10 minutes pour régler la confusion.

Il existe également des problèmes de performances potentiels si un serveur tombe en panne ou si une machine est retirée du réseau. Par exemple, si vous mappez des lecteurs réseau sur une machine, puis retirez la machine du réseau (il s'agit peut-être d'un ordinateur portable), la machine peut sembler se bloquer lors de la connexion alors que Windows tente en vain de monter les lecteurs réseau manquants.

D'autre part, sur les anciennes versions de Windows, j'ai remarqué que les transferts de fichiers vers ou depuis un lecteur réseau mappé vont souvent beaucoup plus vite que si vous accédez au dossier réseau et effectuez le même transfert de fichier - auquel cas, la plupart les gens préféreraient cartographier les lecteurs réseau.

La réponse simple est que ce n'est pas une mauvaise chose. Les lecteurs réseau peuvent parfaitement être mappés en tant que lecteurs.

La superstition vient du fait que vous ne devriez pas mapper des lecteurs étrangers (c.-à-d. Internet) en tant que locaux, car les fichiers ouverts à partir de lecteurs mappés sont ouverts à l'aide de la zone "locale", ce qui leur donne généralement moins de protection - et si les fichiers arrivent réellement depuis Internet, il s'agit d'une réduction de la sécurité.

Si, comme je le soupçonne est le cas, vous mapper réellement int ra lecteurs réseau net, puis en ouvrant les dossiers comme les lecteurs mappés est exactement aussi sûr que les accès via leurs noms de chemin du réseau. La seule différence est que les avoir cartographiés est plus pratique.

D'après mon expérience, il s'agit principalement de logiciels mal écrits.

Si la personne A travaille sur une suite de fichiers mappés vers G:, puis que la personne B tente d'ouvrir le même ensemble de fichiers avec le même chemin mappé H:, les choses échouent.

Si vous utilisez des chemins UNC, en supposant que les ordinateurs de la personne A et de la personne B puissent voir le point de partage, tout fonctionnera correctement.

Bien sûr, la solution idéale consiste à utiliser un logiciel qui ne stocke pas les relations de fichiers en utilisant des chemins absolus, mais ce n’est pas quelque chose que vous pouvez toujours contrôler.

Beaucoup de logiciels sur les marchés de la CAO / FAO sont mal écrits et ne fonctionnent pratiquement pas. Le marché étant plutôt petit, la pression concurrentielle est faible. Je connais au moins un logiciel qui a eu des problèmes avec les chemins absolus pour les 5 dernières versions majeures, et ils ne sont toujours pas corrigés, malgré le signalement des problèmes à la société.

Nous avons eu de graves problèmes avec les lecteurs réseau sur lesquels je travaille, car parfois Windows ne s'y connecte pas et il semble ne pas connecter automatiquement un lecteur réseau lorsqu'un programme tente d'y accéder.

Au moins une demi-douzaine de fois qu'un utilisateur de la comptabilité a appelé car il a la même erreur. C'est parce qu'elle a ouvert le programme X, qui utilise un fichier mappé sur le lecteur réseau Y:, et il n'est pas connecté pour une raison insondable.

Je doute que les informaticiens s'inquiètent du fait qu'un utilisateur mappe un lecteur réseau, mais plutôt de cent ou de mille utilisateurs. Par exemple, si un groupe d'hôtes lance en même temps l'indexation de la recherche d'un ou plusieurs lecteurs en réseau, cela affectera-t-il tous les autres utilisateurs du réseau? Lorsqu'un disque en réseau est inévitablement mis hors ligne, va-t-il verrouiller des centaines de machines jusqu'à ce que le système d'exploitation abandonne et abandonne le mappage de lecteur? Est-ce que les ordinateurs actuels et futurs démarrent plus lentement ou ne parviennent pas à démarrer si les connexions aux lecteurs mappés ne peuvent pas être rétablies?

Un problème avec la syntaxe \ server \ dir est que les fenêtres de commande ne peuvent pas être cd. Si vous disposez de privilèges d'administrateur et que vous ne souhaitez pas utiliser de lettre de lecteur, vous pouvez utiliser la commande mklink pour monter des lecteurs dans un répertoire au lieu d'une lettre de lecteur. Le répertoire Home ne doit pas exister.

mklink / d "c: \ Drives \ Home" "\ server \ HomeFolder \ user1"

Ce dossier est utilisable par tout.

Le montage sur un lecteur de disque peut être mauvais, car il est possible qu’il passe à un autre point de montage. Ensuite, vous lisez et écrivez quelque chose auquel vous ne vous attendez pas. Si les exécutables d’un point de montage changent, ils peuvent contenir des virus.

Ma solution nécessite des privilèges d’administrateur. Par conséquent, si vous n’exécutez pas de droits d’administrateur, le système est plus sécurisé, car un autre programme ne pourrait pas le modifier sans droits d’administrateur.

Voici une bonne raison:

Windows (au moins XP) ne prend pas en charge les chemins de fichiers contenant plus de 256 caractères. Le mappage permet à quelqu'un d'ajouter un fichier où aucun autre choix ne serait possible, en raccourcissant le chemin. Ensuite, vous avez un programme qui navigue dans tous les fichiers et dossiers sans connaître le mappage. Sans le mappage, le fichier existant a une longueur de chemin supérieure à 256. Le programme se bloque.

Un certain nombre de logiciels, y compris diverses versions de Microsoft Visual Studio et CMS Bounceback, ne fonctionneront qu'avec des lettres de lecteur et non avec des chemins d'accès absolus. Étant donné cette restriction, pour utiliser un tel logiciel, vous devez définir les lettres de lecteur - vous n’avez pas le choix. Mais cela ne simplifie pas vraiment les choses, car il semble demander un ID utilisateur et un mot de passe, mais Windows ne permet qu'un seul ID utilisateur et mot de passe pour toutes les connexions à un périphérique réseau (par exemple, plusieurs disques et imprimantes).

Parlez à quelques-uns des centaines de consultants en informatique qui doivent maintenant faire face à la récente épidémie de "CryptoLocker" de zéro jour et vous vous rendrez vite compte que les lecteurs mappés sur un ordinateur local infecté peuvent causer des dommages considérables aux données. sur le serveur, via le lecteur mappé.

Plus précisément:

«CryptoLocker accédera également aux lecteurs réseau mappés pour lesquels l'utilisateur actuel dispose d'un accès en écriture et les chiffrera. Il n'attaquera pas les simples partages de serveur, mais uniquement les lecteurs mappés. ”

Par conséquent, l'utilisation de disques mappés pose clairement des problèmes de sécurité en cette ère de malwares toujours nouveaux et récemment découverts qui frappent fréquemment les utilisateurs.

Nous avons éliminé tous les lecteurs mappés de notre réseau local et utilisé des «partages réseau».

Quelques raisons de ne pas utiliser de lecteurs mappés:

1) Ils utilisent des ressources à la fois sur la machine locale avec le lecteur mappé et les ressources réseau. Les applications locales peuvent devenir lentes car votre ordinateur local doit lire le contenu du lecteur mappé lors du lancement de l'application ou du démarrage du système. Essaye le. Mappez plusieurs lecteurs et lancez Excel. Démappez les lecteurs et réessayez.

2) Déplacer votre application vers un nouvel environnement sera fastidieux. En cas de reprise après sinistre, passez à une machine plus puissante ou si un autre développeur prend en charge votre application. Si le nouvel environnement n'autorise pas les lecteurs mappés ou si les lettres de lecteur sont mappées différemment, quelqu'un passe du temps à réécrire le code. Le gain de temps sur le front-end sera plus que perdu.

Je sais que c'est un vieux fil, mais je ne dirais pas qu'ils sont parfaitement en sécurité. Nous avons retiré les lecteurs mappés en raison des risques de sécurité. De nombreux virus tentent de se propager sur plusieurs lecteurs. Cependant, ils ne sont pas répartis entre des raccourcis pointant vers des partages DFS. Quelque chose à garder à l'esprit...

Les virus de messagerie (fichiers zip ou exes ouverts par des utilisateurs un peu "denses"), tels que Cryptolocker, pourraient notamment limiter le mappage des lecteurs, ce qui va alphabétiser tous les fichiers des lecteurs locaux et mappés et les chiffrer. Il (en particulier) ne fait pas de discrimination en fonction des lecteurs. Nous avons été touchés et avons pu récupérer en utilisant des sauvegardes du ou des serveurs, mais bien sûr, les fichiers locaux étaient "grillés".

Certains virus et logiciels malveillants répandus exploiteront les lecteurs mappés. C'est à peu près la même raison que de ne pas les utiliser.

Les lecteurs mappés sont plus rapides si vous manipulez de grandes quantités de fichiers. Windows authentifie votre accès une fois avec un lecteur mappé, puis autorise les interactions de fichiers. Les chemins UNC sont authentifiés par Windows pour chaque fichier accédé. Ainsi, le processus d'authentification aurait lieu des milliers de fois si vous manipuliez des milliers de fichiers sous un chemin UNC. Lecteur mappé - Authentifiez une fois UNC - Authentifiez chaque fois qu'un fichier est accédé.

Cela peut avoir des implications avec quelque chose d'aussi simple que la copie de fichiers. Les lecteurs mappés seront toujours plus rapides. visiblement avec un grand nombre de fichiers.

Je n'aime pas utiliser les lecteurs mappés, car j'utilise rarement diverses ressources réseau et je ne trouve jamais l'adresse complète à utiliser par d'autres. L'utilisation de raccourcis me permet également de progresser facilement dans le répertoire. Si la seule raison de mapper des lecteurs est la limite de 256 caractères, il s'agit d'une excuse désolée pour perdre tous les détails de l'emplacement du fichier.

Les lecteurs mappés sont dangereux! Ces dernières années, avec le regain de ransomware, j'ai supprimé les lecteurs mappés dans la mesure du possible. Ransomware cible toutes les LETTRES DE LECTEUR, pas seulement les données locales. Par conséquent, même si vous êtes en sécurité tant que vous conservez des sauvegardes redondantes, le fait de devoir faire face à une telle violation de données constitue toujours un casse-tête.

Si vous êtes dans un environnement professionnel (cible principale de ransomware), et si vous le pouvez, supprimez les lecteurs mappés!

Certains virus de ransomware, tels que la famille CryptoWall , recherchent tous les lecteurs mappés et les infectent. Si le partage réseau utilise toutefois UNC et non une lettre de lecteur, ces virus n'infectent pas le partage.

En ce qui concerne les considérations de crypto / ransomware, Locky est un exemple de ransomware pouvant se propager via des chemins UNC ainsi que des lettres de lecteur mappées. Si votre préoccupation concernant les lecteurs réseau mappés par rapport aux chemins UNC est déterminée par le potentiel d'attaques par ransomware, sachez que cela ne protège que certains d'entre eux.

Il existe plusieurs façons de détecter / prévenir les attaques de ransomware - et il est généralement recommandé d'utiliser plusieurs méthodes de protection: protéger le réseau, protéger le point de terminaison et maintenir un régime de sauvegarde robuste. Personnellement, j'utilise Sophos InterceptX comme solution anti-ransomware sur le système d'extrémité, pare-feu Cisco ASA (avec IPS), ShadowProtect pour la sauvegarde et utilisation de lecteurs réseau mappés pour des raisons administratives.

Disclaimer: Je suis un architecte certifié Sophos. Bien que je ne travaille pas pour Sophos, je pense que leur technologie est soignée. Je travaille également pour un MSP, et c'est la technologie que nous avons choisie après avoir examiné les différentes options disponibles en Australie.

Edité comme demandé pour donner plus d’informations pour le deuxième paragraphe. De plus, je parle australien et non anglais, la grammaire est légèrement différente et certains mots sont épelés différemment (couleur, pas couleur, et ne me démarrez même pas en cantaloup).

Le lecteur réseau est un bon moyen de partager des ressources, mais je ne suis pas d'accord avec le fait que les répertoires de départ soient placés sur un lecteur réseau partageable. C'est simplement stupide. La plupart des applications utilisent votre répertoire personnel comme emplacement pour stocker des paramètres d'application spécifiques pour les utilisateurs. Si les TI veulent encore un mal de tête (comme si elles n’en avaient pas assez à gérer), la réparation des dépendances des applications pour les utilisateurs du réseau peut être une douleur, elles peuvent ajouter leur sac de problèmes. Ces problèmes peuvent être résolus dans un environnement où de nombreuses applications sont utilisées et où leurs dépendances et leurs exigences changent. D'une part, le travail peut être difficile pour les utilisateurs du réseau et l'entreprise perd de l'argent et du temps en raison de faibles niveaux de productivité. C'est quelque chose qui ne peut pas être risqué. Deuxièmement, certaines organisations mappent le lecteur à la maison des utilisateurs sur le réseau pour surveiller s là-bas. Le gouvernement fait souvent cela dans le cadre de leurs exigences. Cela ajoute également au problème de la capacité de travailler à domicile. Si votre connectivité via VP présente des problèmes de fonctionnement à distance de votre application via une session VPN, dans laquelle vous exécutez votre application nécessitant une dépendance à partir de votre lecteur d'origine mappé sur le réseau et que le mappage de lecteur échoue, vous êtes alors bloqué.

Personnellement, je pense que cela ne devrait être fait que pour de bonnes raisons, mais pas au point de nuire à la productivité et d’affecter les résultats de la société.

La raison numéro 1 pour laquelle vous ne voudriez pas faire cela est que les ransomwares ne peuvent pas accéder à un chemin UNC, mais que les lettres de lecteur sont un jeu juste. Si vous souhaitez que votre partage réseau soit crypté, continuez avec le mappage de lettre de lecteur.

Personnellement, je ne vois pas l’avantage des lettres de lecteur et je trouve vraiment que les chemins UNC sont plus faciles, car je n’ai jamais à me soucier de la correspondance des lettres de lecteur, en particulier après la modification des mots de passe de connexion. Vous pouvez créer des raccourcis ne se comportant pas différemment des lettres de lecteur et les ajouter à l'Explorateur Windows.