Windows에서 네트워크 드라이브를 매핑하는 것이 왜 나쁜가요?

IT 부서 내에서 네트워크 드라이브 매핑에 대한 토론이있었습니다. 특히, 네트워크 드라이브 매핑은 좋지 않으며 DFS 경로 또는 네트워크 공유를 (Windows 탐색기 / 라이브러리) 즐겨 찾기에 추가하는 것이 훨씬 더 나은 솔루션이라고합니다.

왜 이런 경우입니까?

개인적으로 나는 cmd 줄과 스크립팅에서 ' z:\folder보다 편리함 이 더 낫다는 \\server\path\folder것을 알았습니다 (물론 하드 코딩 된 링크에 대해서는 자연스럽게 이야기하지 않습니다!).

매핑 된 네트워크 드라이브의 장단점을 검색하려고 시도했지만 '네트워크가 다운되면 드라이브를 사용할 수 없습니다'이외의 다른 것을 보지 못했습니다. 그러나 이것은 네트워크 액세스 스토리지의 한계입니다.

또한 네트워크 리소스를 사용할 수 없을 때 매핑 된 네트워크 드라이브가 네트워크를 폴링한다고 들었지만 이에 대한 자세한 정보를 찾지 못했습니다. 네트워크 드라이브가 Windows 탐색기 라이브러리 / 즐겨 찾기 이상으로 네트워크를 폴링합니까? Windows가 파일 시스템을 열거하려고 할 때마다 (예 : 파일 / 폴더 선택기 대화 상자가 열릴 때) 다른 네트워크 액세스 메커니즘 (즉, 즐겨 찾기에 매핑 된)에서 여전히 문제가되지 않습니까?

네트워크 드라이브를 매핑하지 않는 가장 큰 이유는 관리자가 네트워크 경로 외에도 유한 한 수의 드라이브 문자 색인을 유지 관리하는 데 어려움을 겪고 싶지 않기 때문입니다. 우선, 드라이브 문자를 모두 할당하기에는 일반적으로 사용되는 네트워크 공유가 너무 많을 수도 있고 대규모 조직에서는 모든 사람이 동일한 공유에 액세스 할 수있는 것은 아닙니다. 공유 이름은 드라이브 문자보다 설명적이고 모호하지 않을 수도 있습니다 (나중에 모호함이 더 있음).

둘째, 드라이브 문자 충돌이 발생할 수 있습니다. 누군가의 PC에 메모리 카드 리더가 있으면 4 개 이상의 드라이브 문자가 나타날 수 있습니다. A 및 B는 일반적으로 지난 세기의 플로피 드라이브 용으로 예약되어 있으며 C 및 D는 일반적으로 하드 드라이브 및 광학 드라이브 용으로 예약되어 있으므로 카드 리더기는 E, F, G 및 H를 사용합니다. 네트워크 드라이브 중 하나 인 경우 일반적으로 로그온 스크립트를 통해 H :에 매핑됩니다.이 가난한 사람은 카드 판독기의 H : 드라이브를 사용할 수 없거나 네트워크 드라이브를 마운트 할 수 없습니다.

조직 내 누군가가 특정 목적을 위해 드라이브 문자를 할당 할 책임이 없다면 네트워크 드라이브도 혼동을 일으킬 수 있습니다. 예를 들어 S : 드라이브를 모든 사이트 라이센스 소프트웨어에 대한 설치 프로그램이있는 공유에 매핑하고 다른 누군가가 S :를 모든 종류의 공유 ​​문서를 삭제하는 공유 드라이브에 매핑한다고 가정합니다. 일부 소프트웨어를 설치하는 방법을 설명하려고 할 때 S : 드라이브를 열고 Microsoft Office 용 설치 프로그램을 찾도록 지시하지만 찾을 수있는 것은 office 라는 폴더뿐입니다 . 여기에는 누군가가 드롭 한 기타 파일이 들어 있습니다. 임시 파일 전송. 혼동을 정리하는 데 5 ~ 10 분이 소요될 수 있습니다.

서버가 다운되거나 머신이 네트워크에서 분리 된 경우 성능 문제가 발생할 수 있습니다. 예를 들어 컴퓨터에서 네트워크 드라이브를 매핑 한 다음 네트워크에서 컴퓨터를 제거하면 (노트북 일 수 있음) Windows가 누락 된 네트워크 드라이브를 마운트하려고 헛되이 로그온을 시도하는 동안 컴퓨터가 멈춘 것처럼 보일 수 있습니다.

반면에, 이전 버전의 Windows에서는 매핑 된 네트워크 드라이브로 또는 네트워크 드라이브에서 파일 전송이 네트워크 폴더를 탐색하고 동일한 파일 전송을 수행하는 것보다 훨씬 더 빠르다는 것을 알게되었습니다. 사람들은 네트워크 드라이브를 매핑하는 것을 선호합니다.

간단한 대답은 나쁜 것이 아니라는 것입니다. 네트워크 드라이브는 드라이브로 매핑하기에 완벽하게 안전합니다.

미신은 매핑 된 드라이브에서 열린 파일이 "로컬"영역을 사용하여 열리기 때문에 일반적으로 외부 (예 : 인터넷) 드라이브를 로컬 로 매핑해서는 안된다는 사실에서 비롯됩니다. 인터넷에서 이것은 보안의 감소입니다.

나는 경우가 생각대로하면 실제로 INT 매핑있어 라 다음 매핑 된 드라이브로 폴더를 열고, 인터넷 네트워크 드라이브 그들의 네트워크 경로 이름을 통해 그 접근과 정확히 같은 안전합니다. 유일한 차이점은 매핑하는 것이 더 편리하다는 것입니다.

내 경험상, 그것은 주로 잘못 작성된 소프트웨어를 중심으로합니다.

사람 A가에 매핑 된 파일 세트에서 작업 G:한 다음 사람 B가에 동일한 경로를 사용하여 동일한 파일 세트를 열려고하면 H:실패합니다.

UNC 경로를 사용하는 경우 개인 A와 개인 B의 컴퓨터가 모두 공유 지점을 볼 수 있다고 가정하면 모든 것이 제대로 작동합니다.

물론 이상적인 솔루션은 절대 경로를 사용하여 파일 관계를 저장하지 않는 소프트웨어를 사용하는 것이지만 항상 제어 할 수있는 것은 아닙니다.

CAD / CAM 시장의 많은 소프트웨어는 제대로 작성되지 않았으며 거의 ​​작동하지 않습니다. 시장이 다소 작기 때문에 경쟁 압력이 거의 없습니다. 지난 5 개의 주요 릴리스에 대한 절대 경로에 문제가있는 소프트웨어를 하나 이상 알고 있으며 회사에 문제를보고하더라도 여전히 수정되지 않은 상태로 남아 있습니다.

Windows가 때때로 연결되지 않아 네트워크 드라이브에 심각한 문제가 있었고 프로그램이 네트워크 드라이브에 액세스하려고 할 때 네트워크 드라이브가 자동으로 연결 되지 않는 것 같습니다 .

동일한 오류가 발생하여 계정 사용자의 최소 50 회 이상 호출했습니다. 네트워크 드라이브 Y :에 매핑 된 파일을 사용하는 프로그램 X를 열었 기 때문에 어떤 이유로 든 연결되지 않았습니다.

IT 직원이 한 명의 사용자가 네트워크 드라이브를 매핑하는 것에 대해 걱정하는 것이 아니라 백 사용자 또는 수천에 대해 걱정하는 것이 의심됩니다. 예를 들어, 다수의 호스트가 동시에 네트워크 드라이브 또는 드라이브의 검색 색인을 생성하는 경우, 네트워크를 사용하려는 다른 모든 사람에게 어떤 영향을 미칩니 까? 네트워크 드라이브가 필연적으로 오프라인 상태가되면 OS가 드라이브 매핑을 포기하고 삭제할 때까지 수백 대의 시스템을 잠 그게됩니까? 매핑 된 드라이브에 대한 연결을 다시 설정할 수없는 경우 PC가 이전보다 느리게 부팅되거나 완전히 부팅되지 않습니까?

\ server \ dir 구문의 한 가지 문제점은 명령 창이 CD로 CD를 만들 수 없다는 것입니다. 관리자 권한이 있고 드라이브 문자를 사용하지 않으려면 mklink 명령을 사용하여 드라이브 문자 대신 디렉토리에 드라이브를 마운트 할 수 있습니다. 홈 디렉토리가 존재하지 않아야합니다.

mklink / d "c : \ Drives \ Home" "\ server \ HomeFolder \ user1"

이 폴더는 모든 것이 사용할 수 있습니다.

드라이브 렛터에 마운트하면 다른 마운트 포인트로 변경 될 수 있기 때문에 나빠질 수 있습니다. 그런 다음 예상치 못한 내용을 읽고 쓰고 있습니다. 탑재 지점의 실행 파일이 변경되면 바이러스가 포함되었을 수 있습니다.

내 솔루션에는 관리자 권한이 필요하므로 관리자 권한으로 실행하지 않으면 다른 프로그램이 관리자 권한없이 사용자를 변경할 수 없으므로 더 안전합니다.

좋은 이유가 하나 있습니다 :

Windows (최소 XP)는 256자를 초과하는 파일 경로를 지원하지 않습니다. 매핑을 사용하면 경로를 단축하여 다른 방법으로는 불가능한 파일을 추가 할 수 있습니다. 그런 다음 모든 파일과 폴더를 탐색하고 매핑을 인식하지 못하는 프로그램이 있습니다. 매핑이 없으면 기존 파일의 경로 길이가 256보다 큽니다. 프로그램이 충돌합니다.

다양한 버전의 Microsoft Visual Studio 및 CMS Bounceback을 포함한 여러 소프트웨어는 드라이브 경로에서만 작동하며 절대 경로에서는 작동하지 않습니다. 이러한 제한 사항이 주어지면 그러한 소프트웨어를 사용하려면 드라이브 문자를 정의해야합니다. 선택의 여지가 없습니다. 그러나 Windows는 사용자 ID와 암호를 요구하는 것처럼 보이지만 Windows에서는 하나의 네트워크 장치 (예 : 여러 디스크 및 프린터)에 대한 모든 연결에 대해 하나의 사용자 ID와 암호 만 허용됩니다.

최근 "CryptoLocker"의 제로 데이 (Zero-day) 발생을 처리해야하는 수백 명의 IT 컨설턴트와 상담하면 감염된 로컬 컴퓨터의 매핑 된 드라이브가 데이터에 막대한 피해를 줄 수 있음을 곧 알게 될 것입니다 서버에서 매핑 된 드라이브를 통해

구체적으로 :

“CryptoLocker는 또한 현재 사용자가 쓰기 액세스 한 매핑 된 네트워크 드라이브에 액세스하여 암호화합니다. 단순한 서버 공유는 공격하지 않고 매핑 된 드라이브 만 공격합니다.”

따라서,이 시대에 새로 발견되고 새로 발견 된 제로 데이 맬웨어가 사용자를 자주 공격하는 시대에 매핑 된 드라이브를 사용하는 경우 보안에 대한 우려가 분명히 있습니다.

LAN에서 매핑 된 모든 드라이브를 제거하고 대신 "네트워크 공유"를 사용했습니다.

매핑 된 드라이브를 사용하지 않는 몇 가지 이유 :

1) 드라이브가 매핑 된 로컬 시스템과 네트워크 리소스 모두에서 리소스를 차지합니다. 응용 프로그램을 시작하거나 시스템을 부팅 할 때 로컬 컴퓨터가 매핑 된 드라이브의 내용을 읽어야하므로 로컬 응용 프로그램이 느려질 수 있습니다. 사용해보십시오. 여러 드라이브를 매핑하고 Excel을 시작하십시오. 드라이브를 맵핑 해제하고 다시 시도하십시오.

2) 응용 프로그램을 새로운 환경으로 옮기는 것은 지루할 것입니다. 재해 복구가 발생하거나보다 강력한 시스템으로 이동하거나 다른 개발자가 응용 프로그램을 인수하는 경우 새 환경에서 매핑 된 드라이브를 허용하지 않거나 드라이브 문자가 다르게 매핑되면 누군가 코드를 다시 작성하는 데 시간이 걸립니다. 프런트 엔드에 저장된 시간은 고정 시간보다 길어집니다.

나는 그것이 오래된 실이라는 것을 알고 있지만, 그것들이 완벽하게 안전하다고 말하지는 않을 것입니다. 보안 위험으로 인해 매핑 된 드라이브를 제거했습니다. 많은 바이러스가 여러 드라이브에 확산을 시도합니다. 그러나 DFS 공유를 가리키는 바로 가기에는 적용되지 않습니다. 명심해야 할 것 ...

드라이브 매핑을 제한하는 한 가지 이유는 로컬 및 매핑 된 드라이브의 모든 파일을 알파벳순으로 만들어 암호화하는 Cryptolocker와 같은 전자 메일 바이러스 (약간의 "밀한"사용자가 연 zip 또는 exe 파일)입니다. 드라이브에 따라 (특히) 차별하지 않습니다. 우리는 공격을 받았으며 서버의 백업을 사용하여 복구 할 수 있었지만 로컬 파일은 "토스트"되었습니다.

광범위한 바이러스 및 맬웨어가 매핑 된 드라이브를 악용합니다. 그것들을 사용하지 않는 것만 큼 좋은 이유입니다.

대량의 파일을 조작하는 경우 매핑 된 드라이브가 더 빠릅니다. Windows는 매핑 된 드라이브로 액세스를 한 번 인증 한 다음 파일 상호 작용이 발생하도록합니다. UNC 경로는 액세스 한 모든 파일에 대해 Windows에 의해 인증됩니다. 따라서 UNC 경로에서 수천 개의 파일을 조작하는 경우 인증 프로세스가 수천 번 발생합니다. 매핑 된 드라이브-한 번 인증 UNC-파일에 액세스 할 때마다 인증합니다.

이것은 파일을 복사하는 것만 큼 단순한 의미를 가질 수 있습니다. 매핑 된 드라이브는 항상 더 빠릅니다. 많은 파일에서 눈에 띄게.

다양한 네트워크 리소스를 자주 사용하지 않으며 다른 사람들이 사용할 수있는 완전한 주소를 찾을 수 없기 때문에 매핑 된 드라이브를 사용하고 싶지 않습니다. 바로 가기를 사용하면 디렉토리에서 쉽게 시작할 수 있습니다. 드라이브를 맵핑해야하는 유일한 이유가 256 자 제한 인 경우, 해당 파일 위치 세부 사항을 모두 잃어버린 것은 죄송합니다.

매핑 된 드라이브는 위험합니다! 지난 몇 년간 랜섬웨어가 급증하면서 가능한 한 매핑 된 드라이브를 제거했습니다. 랜섬웨어는 로컬 데이터뿐만 아니라 모든 드라이브 문자를 대상으로합니다. 따라서 중복 백업을 유지하는 한 안전하지만 여전히 그러한 데이터 유출 문제를 해결해야하는 어려움이 있습니다.

비즈니스 환경 (랜섬웨어의 주요 대상)에 있고 가능하다면 매핑 된 드라이브를 제거하십시오 !!

CryptoWall 제품군 과 같은 특정 랜섬웨어 바이러스는 매핑 된 드라이브를 찾아 해당 드라이브를 감염시킵니다. 그러나 네트워크 공유가 드라이브 문자가 아닌 UNC를 사용하는 경우 이러한 바이러스는 공유를 감염시키지 않습니다.

암호화 / 랜섬웨어 고려 사항과 관련하여 Locky는 UNC 경로와 매핑 된 드라이브 문자를 통해 확산 될 수있는 랜섬웨어의 한 예입니다. 랜섬웨어 공격의 가능성에 따라 매핑 된 네트워크 드라이브와 UNC 경로 간의 관계가 결정되는 경우 일부 네트워크 드라이브 만 보호한다는 점을 이해하십시오.

랜섬웨어 공격을 탐지 / 예방하는 방법에는 여러 가지가 있으며 일반적으로 네트워크 보호, 엔드 포인트 보호 및 강력한 백업 체제 유지와 같은 여러 가지 보호 방법을 사용하는 것이 좋습니다. 저는 개인적으로 엔드 포인트의 랜섬웨어 방지 솔루션, Cisco ASA (IPS 포함) 방화벽, 백업용 ShadowProtect를 Sophos InterceptX를 사용하고 관리가 필요한 매핑 된 네트워크 드라이브를 사용합니다.

면책 조항 : 저는 Sophos Certified Architect입니다. 소포스에서는 일하지 않지만 기술은 깔끔하다고 생각합니다. 나는 또한 MSP에서 일하고 있는데, 그것이 호주에서 이용할 수있는 다양한 옵션을 조사한 후에 결정한 기술입니다.

두 번째 단락에 대한 추가 정보를 제공하도록 요청 된대로 편집되었습니다. 또한 영어가 아닌 호주를 사용하며 문법이 약간 다르고 일부 단어의 철자가 다릅니다 (색상이 아닌 색상이며 멜론을 시작하지도 않습니다).

네트워크 드라이브는 리소스를 공유하는 좋은 방법이지만 홈 디렉토리가 공유 가능한 네트워크 드라이브에 있다는 사실에 동의하지 않습니다. 그건 멍청한 짓이야 대부분의 응용 프로그램은 사용자의 특정 응용 프로그램 설정을 저장하기 위해 홈 디렉토리를 사용합니다. IT 부서가 한 번 더 골치 아픈 문제를 원한다면 (만약 다루기가 충분하지 않은 것처럼) 네트워크 내 사용자의 응용 프로그램 종속성을 수정하면 문제가 발생할 수 있습니다. 이러한 문제는 이러한 응용 프로그램이 많이 사용되고 종속성 및 요구 사항이 변경되는 환경에서 발생할 수 있습니다. 우선 네트워크에있는 사용자가 업무를 줄일 수 있고 회사는 낮은 생산성 수준으로 인해 비용과 시간을 잃게됩니다. 그것은 위험 할 수없는 것입니다. 둘째, 일부 조직은 네트워크에서 사용자 홈 드라이브를 매핑하여 거기에. 정부는이를 ​​요구 사항의 일부로 많이 수행합니다. 또한 집에서 일할 수 있다는 문제가 추가됩니다. VP를 통한 연결에 VPN 세션을 통해 원격으로 작업하는 응용 프로그램에 문제가있는 경우 네트워크 매핑 된 홈 드라이브와의 종속성이 필요한 응용 프로그램을 실행하고 드라이브 매핑이 실패하면 문제가 발생합니다.

개인적으로, 나는 그것이 좋은 이유로 만 이루어져야한다고 생각하지만, 그것이 생산성을 방해하고 회사의 수익에 영향을 미치는 지점은 아닙니다.

숫자 1 이 작업을 수행 싶지 않을 이유는 랜섬은 UNC 경로에 액세스 할 수 있다는 것입니다,하지만 드라이브 문자는 공정한 게임이다. 네트워크 공유 암호화를 원한다면, 반드시 드라이브 문자 매핑을 계속하십시오.

개인적으로 드라이브 문자의 이점을 보지 못하고 특히 로그인 암호를 변경 한 후 드라이브 문자 매핑에 대해 걱정할 필요가 없으므로 UNC 경로가 더 쉽다는 것을 알았습니다. 드라이브 문자와 다르게 동작하는 바로 가기를 만들고 해당 바로 가기를 Windows 탐색기에 추가 할 수 있습니다.