¿Por qué es malo asignar unidades de red en Windows?

Me imagino que la razón más fuerte para no asignar unidades de red es que los administradores no quieren lidiar con los dolores de cabeza de mantener un índice de un número finito de letras de unidad además de las rutas de red. Por un lado, puede haber demasiados recursos compartidos de red de uso común para asignar letras de unidad a todos ellos, y en una organización grande, no todo el mundo tendrá acceso a todos los mismos recursos compartidos. Los nombres de los recursos compartidos también son más descriptivos y potencialmente menos ambiguos que las letras de unidad (más adelante se hablará de la ambigüedad).

En segundo lugar, puedes encontrarte con colisiones de letras de unidad. Si el PC de alguien tiene un lector de tarjetas de memoria, eso podría engullir cuatro o más letras de unidad. La A y la B suelen estar reservadas para las unidades de disquete del siglo pasado, y la C y la D suelen estar reservadas para el disco duro y la unidad óptica, por lo que el lector de tarjetas utilizará la E, la F, la G y la H. Si una de tus unidades de red suele estar asignada a la H: a través de un script de inicio de sesión, esta pobre persona no podrá utilizar la unidad H: del lector de tarjetas o no podrá montar la unidad de red.

A menos que alguien dentro de la organización sea responsable de asignar las letras de las unidades para fines específicos, las unidades de red también podrían terminar causando mucha confusión. Por ejemplo, supongamos que usted asigna la unidad S: al recurso compartido que tiene los programas de instalación de todo el software con licencia del sitio, y que otra persona asigna S: a la unidad compartida en la que suelta todo tipo de documentos compartidos. Cuando intentas explicarles cómo instalar algún software, les dices que abran su unidad S: y encuentren el programa de instalación de Microsoft Office, pero todo lo que pueden encontrar es una carpeta llamada office, que contiene un montón de archivos diversos que alguien dejó caer allí para una transferencia temporal de archivos. Puede que le lleve 5 o 10 minutos resolver la confusión.

También hay algunos problemas potenciales de rendimiento si un servidor se cae o si una máquina es sacada de la red. Por ejemplo, si mapeas las unidades de red en una máquina y luego la sacas de la red (quizás sea un portátil), puede parecer que la máquina se cuelga al iniciar la sesión mientras Windows intenta en vano montar las unidades de red que faltan.

Por otro lado, en las versiones más antiguas de Windows, he observado que las transferencias de archivos hacia o desde una unidad de red mapeada suelen ser mucho más rápidas que si se navega hasta la carpeta de red y se realiza la misma transferencia de archivos; en ese caso, la mayoría de la gente preferiría mapear las unidades de red.

La respuesta sencilla es que no es algo malo. Las unidades de red son perfectamente seguras para ser mapeadas como unidades.

La superstición viene del hecho de que no deberías mapear unidades extranjeras (es decir, de Internet) como locales porque los archivos abiertos desde las unidades mapeadas se abren usando la zona “local”, lo que generalmente les da menos protección - y si los archivos vienen realmente de Internet esto es una reducción de la seguridad.

Si, como sospecho que es el caso, realmente estás mapeando unidades de red int ra, entonces abrir las carpetas como unidades mapeadas es exactamente tan seguro como acceder a ellas a través de sus nombres de ruta de red. La única diferencia es que tenerlas mapeadas es más conveniente.

Según mi experiencia, la mayoría de las veces se trata de software mal escrito.

Si la persona A trabaja en un conjunto de archivos que están asignados a G:, y luego la persona B intenta abrir el mismo conjunto de archivos con la misma ruta asignada a H:, las cosas fallan.

Si utilizas rutas UNC, suponiendo que los ordenadores de la persona A y de la persona B puedan ver el punto compartido, todo funcionará bien.

• *

Seguro que la solución ideal es usar un software que no almacene las relaciones de los archivos usando rutas absolutas, pero eso no es algo que siempre puedas controlar.

Muchos programas del mercado CAD/CAM están mal escritos y apenas funcionan. Como el mercado es bastante pequeño, hay poca presión competitiva. Conozco al menos un software que ha tenido problemas con las trayectorias absolutas durante las últimas 5 versiones principales, y todavía no se han corregido, a pesar de haber informado de los problemas a la empresa.

Hemos tenido serios problemas con las unidades de red donde trabajo porque a veces Windows no se conecta a ellas, y parece que no conecta automáticamente una unidad de red cuando un programa intenta acceder a ella.

Al menos media docena de veces ha llamado una usuaria de contabilidad porque le da el mismo error. Es porque ha abierto el programa X, que está usando un archivo mapeado en la unidad de red Y:, y no está conectado por alguna razón insondable.

Dudo que a los informáticos les preocupe que un usuario mapee una unidad de red, más bien les preocupan cien o mil usuarios. Por ejemplo, si un grupo de hosts inicia la indexación de búsqueda de una o varias unidades de red al mismo tiempo, ¿cómo afectará eso a todos los demás que intenten utilizar la red? Cuando una unidad en red se desconecte inevitablemente, ¿se bloquearán cientos de máquinas hasta que el sistema operativo se rinda y deje de asignar la unidad? ¿Los PCs de aquí y de allá arrancarán más lentamente o dejarán de arrancar por completo si no se pueden restablecer las conexiones a las unidades mapeadas?

Un problema con la sintaxis \server\dir es que el comando windows no puede cd a ellos. Si tiene privilegios de administrador y no quiere usar una letra de unidad, puede usar el comando mklink para montar las unidades en un directorio en lugar de una letra de unidad. El directorio Home no debe existir.

mklink /d “c:\Drives\Home” “\server\HomeFolder\user1”

Esta carpeta es utilizable por todo.

Montar en un drive leter podría ser malo porque es posible que cambie a otro punto de montaje. Entonces estás leyendo y escribiendo en algo que no esperas. Si los ejecutables de un punto de montaje cambian, podrían contener virus.

Mi solución requiere privilegios de administrador, así que si no estás ejecutando con derechos de administrador, es más seguro ya que otro programa no podría cambiarlo en ti sin derechos de administrador.

Un número de piezas de software, incluyendo varias versiones de Microsoft Visual Studio y CMS Bounceback, sólo funcionan con letras de unidad y no con rutas absolutas. Teniendo en cuenta esta restricción, para utilizar cualquier software de este tipo es necesario definir las letras de unidad - no tienes otra opción. Pero Windows no hace esto muy fácil, ya que parece pedir un ID de usuario y una contraseña, pero sólo se permite un ID de usuario y una contraseña en Windows para todas las conexiones a cualquier dispositivo de red (por ejemplo, varios discos e impresoras).

He aquí una buena razón:

Windows (al menos XP) no admite rutas de archivos con más de 256 caracteres. El mapeo permite a alguien añadir un archivo donde de otra manera no sería posible, acortando la ruta. Entonces usted tiene un programa que navega a través de todos los archivos y carpetas, y no es consciente de la asignación. Sin el mapeo, el archivo existente tiene una longitud de ruta superior a 256. El programa se bloquea.

Basta con hablar con algunos de los cientos de consultores de TI que ahora tienen que lidiar con el reciente brote de día cero de “CryptoLocker” y pronto se dará cuenta de que las unidades mapeadas en un equipo local que se infecta puede causar daños masivos a los datos en el servidor, a través de la unidad mapeada.

Específicamente:

“CryptoLocker también accederá a las unidades de red mapeadas a las que el usuario actual tenga acceso de escritura y las cifrará. No atacará los simples recursos compartidos del servidor, sólo las unidades mapeadas”.

Por lo tanto, es evidente que el uso de unidades mapeadas plantea problemas de seguridad en esta época en la que el malware de día cero, siempre presente y recién descubierto, afecta a los usuarios con frecuencia.

Hemos eliminado todas las unidades mapeadas en nuestra LAN y utilizamos “recursos compartidos de red” en su lugar.

Algunas razones para no utilizar unidades mapeadas:

1) Ocupan recursos tanto en el equipo local con la unidad asignada como en los recursos de red. Las aplicaciones locales pueden ralentizarse porque el ordenador local tiene que leer el contenido de la unidad mapeada cuando se lanza la aplicación o cuando se inicia el sistema. Pruébalo. Asigne un grupo de unidades y ejecute Excel. Desmapeja las unidades y vuelve a intentarlo.

2) Trasladar tu aplicación a un nuevo entorno será tedioso. En el caso de una recuperación de desastres, el traslado a una máquina más potente, o si otro desarrollador se hace cargo de su aplicación. Si el nuevo entorno no permite mapear las unidades o las letras de las unidades están mapeadas de forma diferente, entonces alguien está gastando tiempo reescribiendo el código. El tiempo que se ahorra en el frente será más que el que se pierde arreglándolo.

Las unidades mapeadas son más rápidas si se manipulan grandes cantidades de archivos. Windows autentifica su acceso una vez con una unidad mapeada, y luego permite que se realicen las interacciones con los archivos. Las rutas UNC son autenticadas por Windows para cada archivo al que se accede. Por lo tanto, el proceso de autenticación ocurriría miles de veces si usted estuviera manipulando miles de archivos bajo una ruta UNC. Unidad mapeada - Autenticar una vez UNC - Autenticar cada vez que se accede a un archivo.

Esto puede tener implicaciones con algo tan simple como copiar archivos. Las unidades mapeadas siempre serán más rápidas; notablemente con un gran número de archivos.

Algunos virus y malware muy extendidos se aprovechan de las unidades mapeadas. Esa es una razón tan buena como cualquier otra para no usarlas.

Una razón para limitar el mapeo de unidades serían los virus de correo electrónico (archivos zip o exe abiertos por usuarios algo “densos”) como Cryptolocker, que alfabetizará todos los archivos de las unidades locales y mapeadas y los cifrará. No discrimina (en particular) según las unidades. Nos afectó, y pudimos recuperarnos utilizando copias de seguridad del servidor o servidores, pero por supuesto los archivos locales estaban “fritos”.

Sé que es un hilo antiguo, pero yo no diría que son perfectamente seguros. Eliminamos las unidades mapeadas debido a los riesgos de seguridad. Muchos virus intentan propagarse a través de las unidades. Sin embargo, no se propagan a través de los accesos directos que apuntan a los recursos compartidos de DFS. Algo a tener en cuenta…

En relación con las consideraciones sobre el cripto/ransomware, Locky es un ejemplo de ransomware que puede propagarse a través de rutas UNC así como de letras de unidades mapeadas. Si tu preocupación por las unidades de red mapeadas frente a las rutas UNC viene determinada por el potencial de los ataques de ransomware, entiende que sólo protege contra algunos.

Hay varias formas de detectar/prevenir los ataques de ransomware, y generalmente se recomienda utilizar varios métodos de protección: proteger la red, proteger el punto final y mantener un sólido régimen de copias de seguridad. Personalmente, utilizo Sophos InterceptX como solución antiransomware en el punto final, un cortafuegos Cisco ASA (con IPS), ShadowProtect para las copias de seguridad y uso de unidades de red mapeadas cuando tiene sentido administrativo hacerlo.

Descargo de responsabilidad: Soy Arquitecto Certificado de Sophos. Aunque no trabajo para Sophos, creo que su tecnología es excelente. También trabajo para un MSP, y esa es la tecnología por la que nos decidimos tras comprobar las distintas opciones disponibles en Australia.

Editado según lo solicitado para dar más información en el segundo párrafo. Además, hablo australiano, no inglés, la gramática es ligeramente diferente y algunas palabras se escriben de forma distinta (es Colour, no Color, y no me hagas hablar de cantaloupe).

No me gusta utilizar las unidades mapeadas porque utilizo una variedad de recursos de red con poca frecuencia y nunca puedo encontrar la dirección completa para que otros la utilicen. El uso de accesos directos también me permite avanzar en el directorio con facilidad. Si la única razón para mapear unidades es el límite de 256 caracteres, es una excusa lamentable para perder todo ese detalle de la ubicación de los archivos.

¡Las unidades mapeadas son peligrosas! En los últimos años, con el aumento del ransomware, he eliminado las unidades mapeadas siempre que ha sido posible. El ransomware se dirige a todas las unidades de disco, no sólo a los datos locales. Así que, aunque estás a salvo siempre que mantengas copias de seguridad redundantes, sigue siendo un dolor de cabeza tener que lidiar con una violación de datos de este tipo.

Si estás en un entorno empresarial (objetivo principal del ransomware), y si puedes, ¡¡deshazte de las unidades mapeadas!!

Algunos virus ransomware, como la familia CryptoWall , buscan cualquier unidad mapeada e infectan esas unidades. Sin embargo, si el recurso compartido de red utiliza UNC y no una letra de unidad, estos virus no infectan el recurso compartido.

La número 1_ razón por la que no querrías hacer esto es que el ransomware no puede acceder a una ruta UNC, pero las letras de unidad son un juego limpio. Si quiere que su red compartida esté bloqueada, entonces continúe con la asignación de letras de unidad.

Personalmente, no veo la ventaja de las letras de unidad y realmente encuentro que las rutas UNC son más fáciles ya que nunca tengo que preocuparme de asignar las letras de unidad, especialmente después de cambiar las contraseñas de inicio de sesión. Puedes crear accesos directos que no se comportan de forma diferente a las letras de unidad y puedes añadir esos accesos directos al Windows Explorer.

La unidad de red es una buena forma de compartir recursos, pero no estoy de acuerdo con que los directorios personales se pongan en una unidad de red compartible. Eso es simplemente una estupidez. La mayoría de las aplicaciones utilizan su directorio personal como lugar para almacenar la configuración de aplicaciones específicas para los usuarios. Si el departamento de TI quiere un dolor de cabeza más (como si no tuvieran bastante con lo que lidiar), entonces arreglar las dependencias de las aplicaciones para los usuarios dentro de la red puede ser un dolor que pueden añadir a su bolsa de problemas. Estos problemas pueden acumularse en un entorno en el que se utilizan muchas aplicaciones de este tipo y sus dependencias y requisitos cambian. Por un lado, el trabajo puede verse obstaculizado para los usuarios de la red y la empresa pierde dinero y tiempo debido a los bajos niveles de productividad. Eso es algo que no se puede arriesgar. En segundo lugar, algunas organizaciones mapean el disco duro doméstico de los usuarios en la red para controlar lo que hay allí. El gobierno lo hace mucho como parte de sus requisitos. También se añade el problema de poder trabajar desde casa. Si su conectividad a través de VP tiene problemas con su aplicación de trabajo a distancia a través de una sesión de VPN, donde se ejecuta la aplicación que requiere una dependencia de su red mapeado unidad de origen y la asignación de la unidad falla, entonces usted está hosed.

Personalmente, creo que sólo debería hacerse por buenas razones, pero no hasta el punto de que dificulte la productividad y afecte a los resultados de la empresa.