กลับไปที่การรักษาความปลอดภัยของข้อมูลที่จัดเก็บไว้ใน RAM ฉันต้องเผชิญกับความจำเป็นในการกำหนดค่าการล้างไฟล์สลับ (pagefile) ใน Windows โดยอัตโนมัติ เมื่อคุณปิดคอมพิวเตอร์ ข้อมูลในหน่วยความจำ (RAM) จะถูกล้างโดยอัตโนมัติ อย่างไรก็ตาม ข้อมูลที่จัดเก็บไว้ในไฟล์เพจจิ้ง (pagefile.sys) จะไม่ถูกล้างโดยค่าเริ่มต้น เมื่อระบบทำงาน ข้อมูลลับหรือรหัสผ่านของแอปพลิเคชันบุคคลที่สามจาก RAM สามารถไปที่ pagefile.sys บนฮาร์ดดิสก์ได้ (เช่น เมื่อไม่มีหน่วยความจำกายภาพหรือเมื่อดัมพ์ข้อมูลจากแอปที่ไม่ได้ใช้งาน) ใน Windows ที่ทำงานอยู่ ไฟล์เพจจะพร้อมใช้งานสำหรับ Windows เท่านั้น แต่ถ้าคอมพิวเตอร์ปิดอยู่ ผู้โจมตีที่สามารถเข้าถึงดิสก์ทางกายภาพได้สามารถคัดลอกไฟล์เพจจิ้งและดึงข้อมูลที่เป็นความลับออกมาได้
ดังนั้นจึงควรล้างไฟล์เพจเมื่อปิดเครื่อง Windows (หรือรีสตาร์ท) โดยค่าเริ่มต้น คุณลักษณะนี้จะถูกปิดใช้งาน
คุณสามารถเปิดใช้งานคุณสมบัติการล้างไฟล์เพจอัตโนมัติเมื่อปิดเครื่อง / รีบูตโดยใช้นโยบายกลุ่มหรือผ่านทางรีจิสทรี
ในกรณีแรก ให้เปิดตัวแก้ไขนโยบายกลุ่ม (ตัวแก้ไขนโยบายกลุ่ม gpedit.msc หรือโดเมน gpmc.msc ) และไปที่ส่วน การกำหนดค่าคอมพิวเตอร์->การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายในพื้นที่ -> ตัวเลือกความปลอดภัย . ในแผงด้านขวา ค้นหานโยบาย การปิดระบบ:ล้างไฟล์เพจหน่วยความจำเสมือน และเปิดใช้งาน (เปิดใช้งาน )
คุณยังสามารถเปิดใช้งานการล้างหน่วยความจำเสมือนผ่านรีจิสทรีได้ ในการดำเนินการ ให้เรียกใช้ regedit.exe และไปที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management . สร้าง DWORD . ใหม่ พารามิเตอร์ชื่อ ClearPageFileAtShutdown และค่า 1 (ถ้ามีก็เปลี่ยนค่า)
หรือคุณสามารถแก้ไขรีจิสตรีคีย์โดยใช้คำสั่ง PowerShell ต่อไปนี้:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management' -ชื่อ ClearPageFileAtShutdown -Value 1
รีสตาร์ท Windows เพื่อใช้การเปลี่ยนแปลงเหล่านี้
เมื่อปิดระบบครั้งถัดไป ระบบจะล้าง pagefile.sys โดยเขียนทับด้วยศูนย์ เวลาปิด (หรือรีสตาร์ท) อาจเพิ่มขึ้นอย่างมาก ขึ้นอยู่กับขนาดของไฟล์เพจจิ้ง - 10-30 นาที นอกจากนี้ เมื่อเปิดใช้งานนโยบายนี้ hiberfil.sys จะถูกล้างออกด้วย (หากปิดใช้งานโหมดสลีป) ตอนนี้แทบจะเป็นไปไม่ได้เลยที่จะกู้คืนข้อมูลจากไฟล์เพจ
