[imgr=speicherabbild-abstellen-unter-windows.jpg]speicherabbild-abstellen-unter-windows-80.jpg?nocache=1369305140028[/imgr]Hacker können mit bestimmten Programmen eine Systemdatei auslesen, die es in sich hat. Diese Datei speichert jedes Mal beim herunterfahren alle Daten des Arbeitsspeichers in sich. Wie dies verhindert werden kann und man sich so vor einen Datendiebstahl schützen kann, wird im Folgenden erklärt.
Forensische Tools
Diese sogenannten forensischen Tools lesen die sogenannte „pagefile.sys“ Datei aus. Jedes Mal wenn Windows herunterfährt, speichert es den kompletten Datenbestand des RAMs in dieser Datei ab. Mitunter können sich dort heikle und schützenswerte Dokumente oder andere Dateien befinden. Dies macht Windows natürlich aus einem guten Grund. Die gespeicherten Dateien sind ein Speicherabbild, womit beim Absturz das System wiederhergestellt werden kann. Dieser Komfort und Schutz in einem für den Benutzer kann aber auch wie oben beschrieben ein erhebliches Sicherheitsrisiko darstellen, besonders dann, wenn man mit sensiblen Daten arbeitet.
Speicherabbild abschalten
Über die Registry kann aber abgestellt werden, das Windows sich so verhält. Es kann also eingestellt werden, dass ein solches Speicherabbild beim herunterfahren des Rechners erst gar nicht erstellt wird.
Als erstes muss der Registrierungseditor geöffnet werden. Hierzu ruft man einfach über die Tastenkombination „Windows-Taste“ + „R-Taste“ das Ausführen-Fenster auf. In dieses kleine Fenster gibt man dann folgenden Befehl ein und bestätigt diesen mit „Ok“:
regedit
Im nun sichtbaren neuen Fenster (Registrierungseditor) muss zu folgendem Schlüssel navigiert werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagment
Hier muss dann auf den Eintrag „ClearPageFileAtShutdown“ ein Doppelklick gemacht werden.
Es erscheint nun ein kleines Fenster mit dem Wert „0“. Dieser Wert muss auf „1“ geändert werden. Nach einem Neustart des Rechners ist die Einstellung übernommen und es wird zukünftig kein Speicherabbild mehr abgelegt.
Dieser Tipp sollte dringend überarbeitet werden, da er einige gravierende Fehler aufweist.
Ruhezustandsdatei (hiberfil.sys) und Auslagerungsdatei (pagefile.sys -> ClearPageFileAtShutdown) werden munter durcheinandergeworfen und die Zusammenhänge falsch erklärt.
mfg, Massaraksch
Hi Massaraksch,
das hast du natürlich Recht, wir werden das überarbeiten, danke für den Hinweis.
Gruß Fabian
Hallo.
Ein Hinweis auf das Betriebssystem wäre imho auch ganz nützlich. Selbst wenn dass bei den verschiedenen Windowsversionen gleich ist, was für Microsoft eher untypisch wäre, verunsichert es den interessierten User wahrscheinlich, wenn er nicht erkennen kann, ob das für sein OS geeignet ist.