Dienstag, 7. Juni 2011

Admin Wissen - Pagefile.sys enthält Passwörter und Hashes

Hallo :-)
Mir ist noch ein interessanter IT-Security Aspekt eingefallen, der in so manchen Netzwerk und Unternehmen bestimmt nicht umgesetzt wird. Und zwar ist einigen bekannt bekannt das Windows die Pagefile.sys als Auslagerungspartition benutzt (Unix "Swap") wird. Standardmäßig befindet sich die Systemdatei unter C:\pagefile.sys abgelegt im Normalfall wird die größe automatisch verwaltet sprich Windows kümmert sich um die Größe.  Diese wird beim normalen Herrunterfahren standardmäßig nicht nicht gelöscht!










Die Pagefile.sys kann während Windows läuft nicht gelesen werden von normalen nicht Systemprozessen  , früher konnten selbst einige Antivirenprogramme darauf nicht zugreifen.


Schutzmaßnahme - Pagefile.sys abschalten / deaktivieren - Windows Boardmittel 
Die Pagefile.sys kann sensetive Daten enthalten z.B. Passwörter oder Passwort Hashes. Unter Windows 7 lässt aus diesem Grund auch sich die Pagefile.sys abschalten. WIN + Pause -> Erweiterte Systemeinstellungen -> In der Groupbox Leistung -> Einstellungen -> TAB: Erweitert -> Virtueller Arbeitsspeicher dort auf Ändern und dem nächsten Fenster sind wir in den Einstellungen von der Pagefile.sys automatische Verwaltung abschalten und  und festlegen das es keine mehr geben soll, die Sicherheitswarnung bestätigen und die Pagefile.sys gehört der Geschichte an.


Die Pagefile.sys beim Herunterfahren löschen
Registry KEY HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management dort den Schlüssel ClearPageFileAtShutdown verändern auf 1 und schon wird die Pagefile beim Herunterfahren gelöscht! Das ist eigentlich auch ein Tuneing Tipp, weil die Pagefile.sys eine große zusammenhängende Datei darstellt und somit von haus aus defragmentiert ist.


ACHTUNG: Das Löschen der Pagefile.sys beim Herunterfahren beeinträchtigt die Dauer des Shutdowns enorm.

Kommentare:

  1. jetzt hab ich die hiberfil.sys vergessen zu erwähnen, also die Datei für den Ruhezustand, abschaltbar über Admin CMD powercfg -H off

    AntwortenLöschen
  2. Nachtrag: Man kann sich vorstellen das diese Methode von dem BKA benutzt wird um z.B. Spuren über das Verhalten etc auszuwerten oder halt wie immer im Fernsehen gezeigt wird ;-)

    AntwortenLöschen

Related Posts Plugin for WordPress, Blogger...