Du bist hier::--Spionen keine Chance geben

Spionen keine Chance geben

[imgr=speicherabbild-abstellen-unter-windows.jpg]speicherabbild-abstellen-unter-windows-80.jpg?nocache=1369305140028[/imgr]Hacker können mit bestimmten Programmen eine Systemdatei auslesen, die es in sich hat. Diese Datei speichert jedes Mal beim herunterfahren alle Daten des Arbeitsspeichers in sich. Wie dies verhindert werden kann und man sich so vor einen Datendiebstahl schützen kann, wird im Folgenden erklärt. 

Forensische Tools

Diese sogenannten forensischen Tools lesen die sogenannte „pagefile.sys“ Datei aus. Jedes Mal wenn Windows herunterfährt, speichert es den kompletten Datenbestand des RAMs in dieser Datei ab. Mitunter können sich dort heikle und schützenswerte Dokumente oder andere Dateien befinden. Dies macht Windows natürlich aus einem guten Grund. Die gespeicherten Dateien sind ein Speicherabbild, womit beim Absturz das System wiederhergestellt werden kann. Dieser Komfort und Schutz in einem für den Benutzer kann aber auch wie oben beschrieben ein erhebliches Sicherheitsrisiko darstellen, besonders dann, wenn man mit sensiblen Daten arbeitet.

Speicherabbild abschalten

Über die Registry kann aber abgestellt werden, das Windows sich so verhält. Es kann also eingestellt werden, dass ein solches Speicherabbild beim herunterfahren des Rechners erst gar nicht erstellt wird.

Als erstes muss der Registrierungseditor  geöffnet werden. Hierzu ruft man einfach über die Tastenkombination „Windows-Taste“ + „R-Taste“ das Ausführen-Fenster auf. In dieses kleine Fenster gibt man dann folgenden Befehl ein und bestätigt diesen mit „Ok“:

regedit

Im nun sichtbaren neuen Fenster (Registrierungseditor) muss zu folgendem Schlüssel navigiert werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagment

Hier muss dann auf den Eintrag „ClearPageFileAtShutdown“ ein Doppelklick gemacht werden.

Es erscheint nun ein kleines Fenster mit dem Wert „0“. Dieser Wert muss auf „1“ geändert werden. Nach einem Neustart des Rechners ist die Einstellung übernommen und es wird zukünftig kein Speicherabbild mehr abgelegt.

speicherabbild-abstellen-unter-windows-470.jpg?nocache=1369305176564

Von |2018-07-25T13:42:53+00:00Mai 23rd, 2013|Kategorien: Security/Viren|3 Kommentare

Über den Autor:

3 Comments

  1. Massaraksch 24. Mai 2013 um 15:00 Uhr

    Dieser Tipp sollte dringend überarbeitet werden, da er einige gravierende Fehler aufweist.

    Ruhezustandsdatei (hiberfil.sys) und Auslagerungsdatei (pagefile.sys -> ClearPageFileAtShutdown) werden munter durcheinandergeworfen und die Zusammenhänge falsch erklärt.

    mfg, Massaraksch

  2. halfstone 25. Mai 2013 um 17:32 Uhr

    Hi Massaraksch,

    das hast du natürlich Recht, wir werden das überarbeiten, danke für den Hinweis.

    Gruß Fabian

  3. Friedel 28. Mai 2013 um 20:19 Uhr

    Hallo.

    Ein Hinweis auf das Betriebssystem wäre imho auch ganz nützlich. Selbst wenn dass bei den verschiedenen Windowsversionen gleich ist, was für Microsoft eher untypisch wäre, verunsichert es den interessierten User wahrscheinlich, wenn er nicht erkennen kann, ob das für sein OS geeignet ist.

Hinterlassen Sie einen Kommentar