Как включить очистку файла подкачки при завершении работы Windows

В данной статье показаны действия, с помощью которых можно включить очистку файла подкачки виртуальной памяти при завершении работы Windows.

Виртуальная память использует файл подкачки системы (pagefile.sys) для выгрузки страниц из оперативной памяти на диск, когда они не используются.

Во время работы системы файл подкачки открыт операционной системой в монопольном режиме и хорошо защищен. Однако если система настроена так, что допускает загрузку других операционных систем, необходимо убедиться, что при завершении работы системы выполняется очистка ее файла подкачки. Это гарантирует, что уязвимые сведения из памяти процессов, которые могли попасть в файл подкачки, не станут доступны пользователям, получившим прямой несанкционированный доступ к этому файлу.

Если эта политика включена, то при корректном завершении работы системы выполняется очистка файла подкачки системы (pagefile.sys), а также выполняется обнуление файла режима гибернации (hiberfil.sys)

Как включить очистку файла подкачки используя локальную политику безопасности (secpol.msc)

Чтобы включить очистку файла подкачки при завершении работы системы, откройте оснастку локальной политики безопасности, для этого нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите (скопируйте и вставьте) secpol.msc и нажмите клавишу Enter ↵.

В окне «Локальная политика безопасности» разверните следующие элементы списка:

Локальные политики ➯ Параметры безопасности

Далее, в правой части окна дважды щелкните левой кнопкой мыши по политике с названием Завершение работы: очистка файла подкачки виртуальной памяти

В окне «Свойства: Завершение работы: очистка файла подкачки виртуальной памяти» установите переключатель в положение Включен и нажмите кнопку OK.

Чтобы изменения вступили в силу, перезагрузите компьютер.

Как включить очистку файла подкачки используя файл реестра (reg-файл)

Данный способ подходит для всех редакций операционной системы Windows, и позволяет включить или отключить очистку файла подкачки при завершении работы системы с помощью внесения изменений в системный реестр Windows

Прежде чем вносить какие-либо изменения в реестр, настоятельно рекомендуется создать точку восстановления системы

Все изменения производимые в редакторе реестра отображены ниже в листингах файлов реестра.
Чтобы включить очистку файла подкачки при завершении работы системы, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00.

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management].

Чтобы отключить очистку файла подкачки при завершении работы системы, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00.

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management].

После применения файлов реестра, чтобы изменения вступили в силу, перезагрузите компьютер.

Используя рассмотренные выше действия, можно включить (отключить) очистку файла подкачки виртуальной памяти при завершении работы Windows.

ИМХО для систем с большим файлом подкачки, в несколько Гб, на SSD наверно не стоит очищать каждый раз при завершении работы, если не требуется высокий уровень безопасности, ибо это приводит к излишним перезаписи и износу ячеек flash-памяти SSD.
Правильный вариант для разрешения постоянной очистки файла подкачки, если это возможно сделать, — это увеличение количества оперативной памяти системы и уменьшение размера файла подкачки до разрешённого фиксированного минимума и желательно на другом носителе. Для Windows 10 минимальный размер файла подкачки 16Мб.
Отключать совсем файл подкачки нельзя!

Завершение работы: очистка файла подкачки виртуальной памяти Shutdown: Clear virtual memory pagefile

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра Shutdown: Очистка параметра политики безопасности на странице очистки виртуальной памяти. Describes the best practices, location, values, policy management and security considerations for the Shutdown: Clear virtual memory pagefile security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, очищается ли файл подкатки виртуальной памяти после отключения устройства. This policy setting determines whether the virtual memory paging file is cleared when the device is shut down. Поддержка виртуальной памяти использует системный файл подкачки для замены страниц памяти на диск, когда они не используются. Virtual memory support uses a system paging file to swap pages of memory to disk when they are not used. На запущенном устройстве этот файл подкатки открывается исключительно операционной системой и хорошо защищен. On a running device, this paging file is opened exclusively by the operating system, and it is well protected. Однако устройства, настроенные для запуска других операционных систем, должны убедиться, что системный файл подкачих очищается по мере отключения устройства. However, devices that are configured to allow other operating systems to start should verify that the system paging file is cleared as the device shuts down. Это подтверждение гарантирует, что конфиденциальную информацию из памяти процесса, которая может быть помещена в файл подкачих, недоступна неавторизованному пользователю, который управляет непосредственным доступом к файлу подкачих после завершения работы. This confirmation ensures that sensitive information from process memory that might be placed in the paging file is not available to an unauthorized user who manages to directly access the paging file after shutdown.

Важные сведения, хранимые в реальной памяти, могут периодически быть записаны в файл подкачих. Important information that is kept in real memory might be written periodically to the paging file. Это помогает устройствам обрабатывать многозадачные функции. This helps devices handle multitasking functions. Злоумышленник, у которого есть физический доступ к отключенным серверам, может просматривать содержимое файла подкатки. A malicious user who has physical access to a server that has been shut down can view the contents of the paging file. Злоумышленник может переместить системный том на другой компьютер, а затем проанализировать содержимое файла подкаки. The attacker can move the system volume into a different computer and then analyze the contents of the paging file. Этот процесс отнимает много времени, но может привести к передаче данных, кэшемых из ОЗУ, в файл подкачки. This is a time-consuming process, but it can expose data that is cached from RAM to the paging file. Злоумышленник, который имеет физический доступ к серверу, может обойти эту меры противодействия, просто отключив сервер от источника питания. A malicious user who has physical access to the server can bypass this countermeasure by simply unplugging the server from its power source.

Возможные значения Possible values

Системный файл подкатки очищается при нормальном отключе системы. The system paging file is cleared when the system shuts down normally. Кроме того, этот параметр политики заставляет компьютер очистить файл гибернации (hiberfil.sys) при отключении гибернации на переносимом устройстве. Also, this policy setting forces the computer to clear the hibernation file (hiberfil.sys) when hibernation is disabled on a portable device.

Не определено Not defined

Рекомендации Best practices

• Установите для этой политики «Включено». Set this policy to Enabled. Это приводит к очистке файла подкатки в Windows после отключения системы. This causes Windows to clear the paging file when the system is shut down. В зависимости от размера файла подкатки этот процесс может занять несколько минут, прежде чем система полностью будет отключена. Depending on the size of the paging file, this process might take several minutes before the system completely shuts down. Эта задержка при закрытии сервера особенно заметна на серверах с большими файлами подкатки. This delay in shutting down the server is especially noticeable on servers with large paging files. Для сервера с 2 гигабайтами (ГБ) ОЗУ и 2-ГБ файла разбиение на 2 ГБ этот параметр может добавить в процесс завершения работы более 30 минут. For a server with 2 gigabytes (GB) of RAM and a 2-GB paging file, this setting can add more than 30 minutes to the shutdown process. В некоторых организациях это время простоя нарушает их внутренние соглашения об уровне обслуживания. For some organizations, this downtime violates their internal service level agreements. При реализации этого противодействия в среде следует соблюдать осторожность. Use caution when implementing this countermeasure in your environment.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска компьютера, если они сохраняются локально или распространяются с помощью групповой политики. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Важные сведения, хранимые в реальной памяти, могут периодически быть записаны в файл подкатки, чтобы windows обрабатывала многозадачность функций. Important information that is kept in real memory may be written periodically to the paging file to help Windows handle multitasking functions. Злоумышленник, у которого есть физический доступ к серверу, который был отключен, может просмотреть содержимое файла подкатки. An attacker who has physical access to a server that has been shut down could view the contents of the paging file. Злоумышленник может переместить системный том на другое устройство, а затем проанализировать содержимое файла подкаки. The attacker could move the system volume into a different device and then analyze the contents of the paging file. Хотя этот процесс отнимает много времени, он может показать данные, кэшизированные из памяти случайного доступа (ОЗУ) в файл подкачки. Although this process is time consuming, it could expose data that is cached from random access memory (RAM) to the paging file.

Внимание! Злоумышленник, который имеет физический доступ к устройству, может обойти эту меры противодействия, отключив компьютер от источника питания. Caution: An attacker who has physical access to the device could bypass this countermeasure by unplugging the computer from its power source.

Противодействие Countermeasure

Включит параметр «Завершение работы: очистка файла виртуальной памяти страницы». Enable the Shutdown: Clear virtual memory page file setting. При такой конфигурации операционная система очищает файл подкатки при отключаемом устройстве. This configuration causes the operating system to clear the paging file when the device is shut down. Время, необходимое для выполнения этого процесса, зависит от размера файла страницы. The amount of time that is required to complete this process depends on the size of the page file. Поскольку процесс переоценит место хранения, используемую файлом страницы несколько раз, может быть несколько минут до полного отключения устройства. Because the process overwrites the storage area that is used by the page file several times, it could be several minutes before the device completely shuts down.

Возможное влияние Potential impact

Завершение работы и перезапуск устройства занимает больше времени, особенно на устройствах с большими файлами подкатки. It takes longer to shut down and restart the device, especially on devices with large paging files. Для устройства с 2 гигабайтами (ГБ) ОЗУ и файлом подкатки размером 2 ГБ этот параметр политики может увеличить процесс завершения работы более чем на 30 минут. For a device with 2 gigabytes (GB) of RAM and a 2-GB paging file, this policy setting could increase the shutdown process by more than 30 minutes. В некоторых организациях это время простоя нарушает их внутренние соглашения об уровне обслуживания. For some organizations this downtime violates their internal service level agreements. Поэтому следует соблюдать осторожность перед реализацией этой меры противодействия в среде. Therefore, use caution before you implement this countermeasure in your environment.