Windowsでネットワークドライブをマッピングするのはなぜ悪いことなのでしょうか？

ネットワークドライブをマッピングしない最大の理由は、管理者がネットワークパスに加えて、限られた数のドライブ文字のインデックスを維持するという頭痛の種に対処したくないからではないかと想像します。例えば、一般的に使用されるネットワーク共有の数が多すぎて、すべての共有にドライブ文字を割り当てることができない場合があり、大規模な組織では、すべての人がすべての同じ共有にアクセスできるわけではありません。また、共有名はドライブ文字よりも記述性が高く、曖昧さが少ない可能性があります（曖昧さについては後ほど説明します）。

第二に、ドライブレターの衝突に遭遇する可能性があります。誰かのPCがメモリカードリーダーを持っている場合、それが4つ以上のドライブレターを食いつぶしてしまう可能性があります。A と B は通常、前世紀のフロッピードライブ用に予約されており、C と D は通常、ハードドライブと光学ドライブ用に予約されているため、カードリーダは E、F、G、H を使用します。ネットワークドライブの 1 つが通常、ログオンスクリプトを介して H: にマップされている場合、この可哀想な人はカードリーダの H: ドライブを使用できないか、ネットワークドライブをマウントできません。

組織内の誰かが特定の目的のためにドライブ文字を割り当てる責任者でない限り、ネットワークドライブもまた、多くの混乱の原因となる可能性があります。例えば、サイトライセンスされたすべてのソフトウェアのセットアッププログラムが入っている共有ドライブにドライブS:をマッピングし、他の誰かが共有ドライブにS:をマッピングして、あらゆる種類の共有ドキュメントをドロップしたとします。あるソフトウェアのインストール方法を説明しようとすると、S: ドライブを開いて Microsoft Office のセットアッププログラムを見つけるように伝えますが、見つかるのは office という名前のフォルダだけで、そこには一時的なファイル転送のために誰かが落とした雑多なファイルの束が入っています。混乱を整理するのに5分も10分もかかるかもしれません。

サーバーがダウンしたり、マシンがネットワークから取り外されたりした場合にも、パフォーマンスの問題が発生する可能性があります。例えば、あるマシンにネットワークドライブをマップした後、そのマシンをネットワークから外した場合(ラップトップかもしれません)、Windows がなくなったネットワークドライブをマウントしようとする間に、ログオン時にマシンがハングアップしてしまうことがあります。

一方、古いバージョンのWindowsでは、マップされたネットワークドライブへの、またはマップされたネットワークドライブからのファイル転送の方が、ネットワークフォルダを参照して同じファイル転送を行った場合よりもはるかに速く転送されることに気がつきました。

簡単に言うと、悪いことではないということです。ネットワークドライブはドライブとしてマッピングしても全く問題ありません。

この迷信は、foreign(つまりインターネット)ドライブをローカルドライブとしてマッピングすべきではないという事実から来ています。なぜなら、マッピングされたドライブから開かれたファイルは、一般的に保護が少ない “ローカル "ゾーンを使用して開かれるからです - そして、ファイルが実際にインターネットから来ている場合、これはセキュリティの低下です。

私が推測するように、実際に int ra net ネットワークドライブをマッピングしている場合、マッピングされたドライブとしてフォルダを開くことは、ネットワークパス名を使ってアクセスするのと全く同じ安全性を持っています。唯一の違いは、マップされている方が便利なことだけです。

私の経験では、この問題はほとんどの場合、書き方が下手なソフトウェアに集中しています。

人AがG:にマップされた一連のファイルで作業していて、人Bが同じパスをH:にマップした同じファイルを開こうとすると失敗します。

UNCパスを使用している場合、人Aと人Bのコンピュータが両方とも共有ポイントを見ることができると仮定すると、すべてが正常に動作します。

確かに、理想的な解決策は絶対パスを使用してファイル関係を保存しないソフトウェアを使用することですが、これは常に制御できるものではありません。

CAD/CAM市場にあるソフトウェアの多くは、書き方が下手で、ほとんど動作しません。市場がかなり小さいので、競争圧力はほとんどありません。私は、過去5回のメジャーリリースで絶対パスの問題を抱えていたソフトウェアを少なくとも1つ知っています。

Windowsがネットワークドライブに接続しないことがあり、プログラムがネットワークドライブにアクセスしようとすると自動的に接続されないようです。

少なくとも半ダースの回数、経理のユーザーから同じエラーが出たとの電話がありました。彼女がプログラム X を開いたのが原因で、そのプログラムはネットワークドライブ Y: にマップされたファイルを使用しているのですが、何か不可解な理由で接続されていません。

私は、IT担当者が1人のユーザーがネットワークドライブをマッピングすることを心配しているとは思えません。例えば、多数のホストが同時にネットワークドライブの検索インデックス作成を開始した場合、ネットワークを使用しようとしている他のすべての人にどのような影響があるでしょうか？ネットワーク接続されたドライブが必然的にオフラインになった場合、OSが諦めてドライブマッピングを削除するまで、何百台ものマシンがロックされてしまうのでしょうか？あちこちのPCが起動が遅くなったり、マップされたドライブへの接続を再確立できない場合、完全に起動に失敗したりするのでしょうか?

\serverdir 構文の一つの問題は、コマンドウィンドウがドライブに cd できないことです。もしあなたが管理者権限を持っていて、ドライブ文字を使いたくない場合は、 mklink コマンドを使って、ドライブ文字の代わりにディレクトリにドライブをマウントすることができます。Homeディレクトリは存在しないはずです。

mklink /d “c:\Drives\Home” “\serverHomeFolder\HomeFolderuser1”

このフォルダは、全てで使用可能である。

ドライブレターへのマウントは、別のマウントポイントに変更する可能性があるので、まずいかもしれない。そうすると、想定外のものを読み書きしていることになります。マウントポイントからの実行可能ファイルが変更された場合、ウイルスが含まれている可能性があります。

私のソリューションは管理者権限が必要なので、管理者権限で実行していない場合は、管理者権限がないと他のプログラムが変更できないので、より安全です。

Microsoft Visual StudioやCMS Bouncebackの様々なバージョンを含む多くのソフトウェアは、ドライブ文字のみで動作し、絶対パスでは動作しません。この制限を考えると、このようなソフトウェアを使用するには、ドライブレターを定義する必要があります。しかし、Windowsは、ユーザーIDとパスワードを要求するようだが、1つだけのユーザーIDとパスワードは、任意の1つのネットワークデバイス（例えば、複数のディスクやプリンタ）へのすべての接続のためにWindowsで許可されているように、これは非常に簡単にはなりません。

Windows(少なくともXP)は256文字以上のファイルパスをサポートしていません。マッピングは、パスを短くすることで、他の人が可能ではない場所にファイルを追加することを可能にします。その後、すべてのファイルやフォルダを介してナビゲートし、マッピングを認識していないプログラムを持っています。マッピングなしで、既存のファイルは256以上のパス長を持っています。プログラムがクラッシュしてしまいます。

最近発生した「CryptoLocker」のゼロデイ感染に対処しなければならない何百人ものITコンサルタントに話を聞くと、感染したローカルコンピュータ上のマップされたドライブが、マップされたドライブを介してサーバー上のデータに大規模なダメージを与えることがあることがすぐに分かるでしょう。

具体的には

“CryptoLockerは、現在のユーザーが書き込みアクセス権を持っているマップされたネットワークドライブにもアクセスし、それらを暗号化します。単純なサーバー共有は攻撃せず、マップされたドライブのみを攻撃します。”

このように、常に存在し、新たに発見されたゼロデイマルウェアが頻繁にユーザーを襲うこの時代に、マップされたドライブを使用することには明らかにセキュリティ上の懸念があります。

私たちはLAN上のすべてのマップされたドライブを排除し、代わりに「ネットワーク共有」を使用しています。

マップされたドライブを使用しない理由をいくつか紹介します。

1) マップされたドライブを使用しているローカル・マシンとネットワーク・リソースの両方でリソースを消費します。アプリケーションの起動時やシステムの起動時にローカルコンピュータがマップされたドライブの内容を読み込まなければならないため、ローカルアプリケーションの動作が遅くなることがあります。試してみてください。ドライブの束をマップして Excel を起動します。ドライブのマッピングを解除して、もう一度試してみてください。

2) アプリケーションを新しい環境に移動するのは面倒です。ディザスタリカバリの場合、より強力なマシンへの移行、または別の開発者がアプリケーションを引き継ぐ場合などです。新しい環境ではドライブのマッピングが許可されていなかったり、ドライブの文字が異なってマッピングされていたりすると、誰かがコードの書き換えに時間を費やしてしまうことになります。フロントエンドで節約された時間は、それを修正するために失われた時間以上のものになります。

大量のファイルを操作する場合は、マップされたドライブの方が高速です。Windows は、マップされたドライブで一度アクセスを認証してから、ファイルの相互作用が行われるようにします。UNC パスは、アクセスされるファイルごとに Windows によって認証されます。つまり、UNCパスの下で何千ものファイルを操作している場合、認証プロセスは何千回も行われることになります。マップされたドライブ - 一度認証する UNC - ファイルにアクセスするたびに認証する。

これは、ファイルのコピーのような単純なものに影響を与える可能性があります。マップされたドライブは常に高速になります。

特定の広まっているウイルスやマルウェアは、マップされたドライブを悪用します。それは、それらを使用しない理由と同じくらい適切な理由です。

ドライブマッピングを制限する理由の一つは、ローカルドライブとマッピングされたドライブ上のすべてのファイルをアルファベット順に並べて暗号化するCryptolockerのような電子メールウイルス(やや「濃い」ユーザーが開いたzipファイルやexeファイル)でしょう。それは（特に）ドライブに応じて識別しません。私たちは攻撃を受け、サーバのバックアップを使って復旧することができましたが、もちろんローカルファイルは “壊滅状態 "でした。

古いスレッドですが、完全に安全だとは言いません。私たちは、セキュリティ上のリスクがあるため、マップされたドライブを削除しました。多くのウイルスはドライブを介して拡散しようとします。しかし、DFSの共有を指すショートカットには感染しません。心に留めておいてください…

暗号化/ランサムウェアの考慮事項に関連して、Lockyは、マッピングされたドライブ文字と同様にUNCパスを介して拡散する可能性のあるランサムウェアの一例です。マップされたネットワークドライブとUNCパスを比較して、ランサムウェア攻撃の可能性を考慮しているのであれば、いくつかの攻撃からしか防御できないことを理解してください。

ランサムウェア攻撃の検出/防止にはいくつかの方法がありますが、一般的には、ネットワークの保護、エンドポイントの保護、強固なバックアップ体制の維持など、複数の保護方法を使用することをお勧めします。私は個人的には、エンドポイントのランサムウェア対策ソリューションとして Sophos InterceptX を使用し、Cisco ASA (IPS 付き) ファイアウォールを使用し、バックアップに ShadowProtect を使用し、管理上の理由があればマップされたネットワークドライブを使用しています。

免責事項: 私はソフォス認定アーキテクトです。私はソフォスの社員ではありませんが、ソフォスの技術は優れていると思います。また、私は MSP で働いているのですが、オーストラリアで利用できる様々なオプションを調べた結果、この技術に決めました。

2段落目の情報を増やすために、リクエストに応じて編集しました。また、私は英語ではなくオーストラリア語を話しており、文法が若干異なっており、いくつかの単語のスペルが異なっています(It’s Colour, not Color, and don’t even get me started on cantaloupe)。

私はマッピングされたドライブを使用するのが好きではありませんが、それは、私は様々なネットワークリソースを頻繁に使用することはなく、他の人が使用するための完全なアドレスを見つけることができないからです。ショートカットを使用することで、ディレクトリ内でのステップアップも容易になります。ドライブをマップする唯一の理由が256文字制限であるならば、それはすべてのファイルの場所の詳細を失う残念な言い訳です。

マップされたドライブは危険！？ここ数年のランサムウェアの急増に伴い、私は可能な限りマッピングされたドライブを削除してきました。ランサムウェアはローカルデータだけでなく、すべてのドライブレターをターゲットにしています。そのため、冗長なバックアップを取っておけば安全とはいえ、このようなデータ侵害に対処しなければならないのは、やはり頭の痛い問題です。

ビジネス環境(ランサムウェアの主なターゲット)にいる場合、可能であれば、マップされたドライブを処分しましょう!

CryptoWall](https://en.wikipedia.org/wiki/CryptoLocker#Clones)ファミリーのような特定のランサムウェアウイルスは、マップされたドライブを探し、それらのドライブに感染します。しかし、ネットワーク共有がドライブ文字ではなくUNCを使用している場合、これらのウイルスは共有に感染しません。

これをしたくない理由は、ランサムウェアはUNCパスにアクセスできませんが、ドライブレターは公平なゲームだからです。ネットワーク共有を暗号化ロックしたいのであれば、ドライブレターのマッピングを続けてください。

私は個人的にはドライブレターの利点は見当たらず、特にログインパスワードを変更した後にドライブレターのマッピングを心配する必要がないので、本当にUNCパスの方が簡単だと感じています。ドライブレターと何ら変わらない動作をするショートカットを作成することができ、それらのショートカットをWindows Explorerに追加することができます。

ネットワークドライブはリソースを共有するための良い方法ですが、ホームディレクトリを共有可能なネットワークドライブに置くことには同意できません。露骨に馬鹿げています。ほとんどのアプリケーションは、ユーザーのための特定のアプリケーション設定を保存する場所としてホームディレクトリを使用します。IT 部門がもう一つ頭痛の種になりそうな場合(彼らが対処するのに十分でないかのように)、ネットワーク内のユーザーのためにアプリケーションの依存関係を修正することは、彼らが問題の袋を追加することができます痛みである可能性があります。この問題は、そのようなアプリケーションが多数使用され、それらの依存関係や要件が変化する環境では増大する可能性があります。一つには、ネットワーク上のユーザーの作業が滞る可能性があり、会社は生産性の低さに基づいてお金と時間を失うことになります。これはリスクを冒すことはできません。第二に、ネットワーク上のユーザーのホームドライブをマップして、そこに何があるかを監視する組織もあります。政府は要件の一部として多くのことを行っています。これは、在宅勤務の問題にもつながります。VP 経由の接続性に問題があり、VPN セッションを介してリモートで作業するアプリケーションに問題がある場合、ネットワーク上にマッピングされたホームドライブの依存関係を必要とするアプリケーションを実行し、ドライブのマッピングに失敗した場合、あなたの仕事は終わりです。

個人的には、それは正当な理由がある場合にのみ行うべきだと思いますが、それが生産性を阻害し、会社の収益に影響を与えるようなポイントまでは行うべきではないと考えています。