关机: 清除虚拟内存页面文件
08/01/2017
本文内容
适用范围
Windows 10
介绍关闭:清除虚拟内存 页面 文件安全策略设置的最佳方案、位置、值、策略管理和安全注意事项。
参考
此策略设置确定是否在设备关闭时清除虚拟内存分页文件。 虚拟内存支持使用系统分页文件,在内存页未使用时将内存页交换为磁盘。 在运行的设备中,此分页文件由操作系统以独占方式打开,并且受到良好保护。 但是,配置为允许其他操作系统启动的设备应验证系统分页文件在设备关闭时已清除。 此确认可确保进程内存中可能包含在分页文件中敏感信息对在关闭后直接访问分页文件的未经授权的用户不可用。
保存在真实内存中的重要信息可能会定期写入分页文件。 这有助于设备处理多任务功能。 对已关闭的服务器具有物理访问权限的恶意用户可以查看分页文件的内容。 攻击者可以将系统卷移动到其他计算机,然后分析分页文件的内容。 这是一个耗时的过程,但它可以将从 RAM 缓存的数据公开到分页文件。 对服务器具有物理访问权限的恶意用户只需拔下服务器电源,就可以绕过此对策。
可能值
启用
系统正常关闭时将清除系统分页文件。 此外,此策略设置会强制计算机在禁用休眠 (hiberfil.sys) 清除休眠文件。
禁用
未定义
最佳做法
将此策略设置为 已启用。 这会导致 Windows 在系统关闭时清除分页文件。 根据分页文件的大小,此过程可能需要几分钟时间,系统才能完全关闭。 在具有大型分页文件的服务器上,关闭服务器时出现此延迟尤其明显。 对于内存为 2 GB (GB) 2 GB 分页文件的服务器,此设置可能会向关闭进程添加 30 分钟以上的时间。 对于一些组织,此停机时间违反其内部服务级别协议。 在环境中实施此对策时要谨慎。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
禁用
DC 有效默认设置
禁用
成员服务器有效默认设置
禁用
客户端计算机有效默认设置
禁用
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,更改将在不重新启动计算机的情况下生效。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
保存在真实内存中的重要信息可能会定期写入分页文件,以帮助 Windows 处理多任务函数。 对已关闭的服务器具有物理访问权限的攻击者可以查看分页文件的内容。 攻击者可能会将系统卷移动到其他设备,然后分析分页文件的内容。 虽然此过程非常耗时,但它可能会将随机访问内存缓存的数据 (内存) 到分页文件。
警告: 对设备具有物理访问权限的攻击者可以通过从计算机电源拔下计算机来绕过此对策。
对策
启用 "关机: 清除虚拟内存页面文件" 设置。 此配置会导致操作系统在设备关闭时清除分页文件。 完成此过程需要的时间量取决于页面文件的大小。 由于此过程会多次覆盖页面文件所使用的存储区域,因此可能需要几分钟时间,设备才能完全关闭。
潜在影响
关闭和重新启动设备需要更长时间,尤其是在具有大型分页文件的设备上。 对于内存为 2 GB (GB) 2 GB 分页文件的设备,此策略设置可能会将关闭过程增加 30 分钟以上。 对于一些组织,此停机时间违反其内部服务级别协议。 因此,在环境中实施此对策之前,请谨慎。
相关主题
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
