Очистка файла подкачки pagefile.sys при выключении Windows
Возвращаясь к вопросу безопасности данных, находящихся в оперативной памяти, столкнулся с необходимостью организации автоматической очистки файла подкачки в Windows. При выключении компьютера, данные в его памяти (RAM) автоматически очищаются, однако по-умолчанию данные из файла подкачки pagefile.sys не удаляются. При работе системы часть конфиденциальных данных или пароли сторонних приложений из памяти могут попасть в файл подкачки pagefile.sys на жестком диске (например, при нехватке физической памяти или при вытеснении данных неактивных приложений). И хотя в процессе работы системы файл подкачки доступен монопольно только для самой Windows, в том случае если компьютер выключить, то потенциально злоумышленник при наличии доступа к диску может скопировать файл подкачки и извлечь из него конфиденциальные данные.
Таким образом, было бы логично очищать при выключении (или перезагрузке) Windows. По умолчанию эта функций отключена.
Включить функцию автоматической очистки файла подкачки при перезагрузке можно через групповую политику либо через реестр.
В первом случае, нужно открыть консоль редактора групповых политик (локальный gpedit.msc или доменный gpmc.msc) и перейти в раздел Computer Configuration->Windows Settings -> Security Settings -> Local Policies -> Security Options. В левой панели найдите политику Shutdown: Clear virtual memory pagefile и включите ее (Enabled).
Также можно включить очистку виртуальной памяти через реестр. Для этого откройте редактор regedit.exe и перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Создайте новый DWORD параметр с именем ClearPageFileAtShutdown и значением 1 (или если он уже существует, просто измените его значение).
Set-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management’ -Name ClearPageFileAtShutdown -Value 1
Чтобы изменения вступили в силу, нужно перезагрузить Windows.
Как включить функцию очистки файла подкачки при выключении или перезагрузке Windows
При завершении работы компьютера все содержащиеся в оперативной памяти данные удаляются. Если же в системе активен режим гибернации , данные из оперативной памяти сохраняются в файл hiberfil.sys на жёстком диске. Гибернация позволяет быстро вернуться к работе, к открытым приложениям, но в то же время её использование снижает уровень безопасности, поскольку вместе с прочими данными спящий режим предполагает сохранение конфиденциальной информации пользователя.
Но конфиденциальные данные могут сохраняться не только в файл гибернации. При нехватке оперативной памяти часть данных приложений, среди которых могут оказаться пароли, передаётся в файл подкачки, который при полном выключении компьютера по умолчанию не очищается. Следовательно, если злоумышленник получит доступ к компьютеру, он может скопировать файл подкачки и извлечь из него личные данные пользователя.
Чтобы свести эту вероятность к нулю, можно задействовать функцию автоматической очистки файла подкачки при перезагрузке. Сразу стоит отметить, что способ этот имеет серьёзный минус. Поскольку после включения функции очистки файл подкачки будет перезаписываться при каждой перезагрузке, это может существенно увеличить время старта системы. Чем больше файл подкачки, тем дольше станет грузиться Windows. В отдельных случаях время старта может достигать 30 минут.
Использование этой функции исключает гибернацию, во-первых, по соображениям той же безопасности, во-вторых, по той причине, что файл hiberfil.sys также будет автоматически очищаться. Кроме того, функцию перезаписи файла подкачки не рекомендуется использовать на компьютерах с дисками SSD , перезапись ячеек которых напротив желательно свести к минимуму. Те же, кто всё же решится использовать эту функцию на своём ПК, могут активировать её двумя способами — через реестр и через редактор локальных групповых политик.
Вот первый способ. Запустите командой regedit редактор реестра, разверните ветку:
Найдите справа DWORD-параметр ClearPageFileAtShutdown и измените его значение с 0 на 1.
Если параметр отсутствует, его нужно будет создать вручную. Новые настройки вступят в силу при следующей перезагрузке компьютера.
Командой gpedit.msc откройте редактор локальных групповых политик и перейдите по цепочке Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности.
Найдите справа политику «Завершение работы: очистка файла подкачки» и включите её.
Как включить очистку файла подкачки виртуальной памяти в Windows
Операционные системы Windows используют файл подкачки (pagefile.sys — является скрытым и находится в корне системного раздела) для сохранения в нем информации, не умещающейся в оперативной памяти. Это своего рода виртуальная оперативная память, помогающая Windows работать с приложениями. Хотя сам по себе файл подкачки хорошо защищен, в случае получения доступа к диску из-под другой операционной системы, данные из него могут быть извлечены. Поэтому зачастую администраторы локальных сетей в целях безопасности включают автоматическую очистку файла подкачки при выключении компьютера. Кроме того, включить очистку файла подкачки лучше и тогда, когда на одном ПК расположено несколько операционных систем.
Включить очистку файла подкачки виртуальной памяти можно разными способами. Первый способ заключается в использовании редактора локальной групповой политики. Для вызова редактора используйте команду Выполнить в меню Пуск. Введите gpedit.msc, это откроет редактор локальной групповой политики.
Откройте в редакторе раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности и найдите в списке политику Завершение работы: очистка файла подкачки виртуальной памяти. По умолчанию эта политика отключена.
Откройте политику и выберите вариант Включен.
Но это если очистку файла подкачки надо включить на одном компьютере за которым вы непосредственно сидите или подключены через удаленный рабочий стол. Редактор локальной групповой политики не подразумевает подключение к другому ПК.
Но политику можно включить и через реестр. А вот редактор реестра подключение к другим ПК позволяет. Если, конечно, на них включена служба удаленного реестра.
Для входа в редактор реестра Windows используйте ту же команду Выполнить, где вбейте regedit.
Искомый параметр лежит по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management и называется ClearPageFileAtShutdown.
Двойным щелчком откройте свойства параметра (или правой кнопкой мыши → Изменить) и измените значение на единицу.
Если такого параметра нет, его нужно создать самостоятельно. Для этого щелкаем правой кнопкой мыши по разделу Memory Management и выбираем вариант Создать → Параметр DWORD (32 бита).
Дайте ему имя ClearPageFileAtShutdown и присвойте значение 1.
Если же Вы хотите включить очистку файла подкачки через реестр на другой машине, то в редакторе реестра откройте меню Файл и выберите пункт Подключить сетевой реестр.
В открывшемся окне введите имя ПК, реестр которого хотите добавить к себе в редактор. Еще раз напомню, что это получится сделать только если на удаленном ПК включена служба удаленного реестра.
Изменения вступят в силу после перезагрузки.
Третий способ включения очистки файла подкачки виртуальной памяти — через командную строку. И он самый перспективный, ведь позволяет написать bat-файл, который затем можно будет распространить на компьютеры в сети. Просто откройте Блокнот или другой текстовый редактор и введите в нем (либо же вбейте в командную строку, если речь об одном компьютере):
и сохраните его как файл с расширением bat. Кавычки возле пути реестра в данном случае нужны, чтобы командная строка восприняла пробелы в пути.
Получившийся файл можно распространить на компьютеры в локальной сети посредством, например, PsExec или Kaspersky Security Center.