适用范围

介绍 关闭：清除虚拟内存页文件 安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。

此策略设置确定在设备关闭时是否清除虚拟内存分页文件。 虚拟内存支持在不使用内存页时使用系统分页文件将内存页交换到磁盘。 在正在运行的设备上，此分页文件由操作系统独占打开，并且受到很好的保护。 但是，配置为允许其他操作系统启动的设备应验证系统分页文件是否已在设备关闭时清除。 此确认可确保可能放置在分页文件中的进程内存中的敏感信息对在关闭后直接访问分页文件的未授权用户不可用。

保留在实际内存中的重要信息可能会定期写入分页文件。 此定期写入操作可帮助设备处理多任务函数。 对已关闭的服务器具有物理访问权限的恶意用户可以查看分页文件的内容。 攻击者可以将系统卷移动到其他计算机，然后分析分页文件的内容。 此过程非常耗时，但它可能会公开从 RAM 缓存到分页文件的数据。 有权物理访问服务器的恶意用户可以通过从其电源中拔出服务器来绕过此对策。

已启用

系统正常关闭时，系统会清除系统分页文件。 此外，此策略设置强制计算机在便携式设备上禁用休眠时清除休眠文件 (hiberfil.sys) 。

禁用

未定义

计算机配置\Windows 设置\安全设置\本地策略\安全选项

下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。

本部分介绍了可用于帮助管理此策略的功能和工具。

无。 此策略的更改在本地保存或通过组策略分发时，无需重启计算机即可生效。

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

保留在实际内存中的重要信息可能会定期写入分页文件，以帮助 Windows 处理多任务函数。 对已关闭的服务器具有物理访问权限的攻击者可以查看分页文件的内容。 攻击者可以将系统卷移动到其他设备，然后分析分页文件的内容。 尽管此过程非常耗时，但它可能会公开从随机访问内存 (RAM) 缓存到分页文件的数据。

谨慎： 有权物理访问设备的攻击者可以通过从其电源中拔出计算机来绕过此对策。

启用 “关闭：清除虚拟内存页文件 ”设置。 此配置会导致操作系统在设备关闭时清除分页文件。 完成此过程所需的时间取决于页面文件的大小。 由于该过程会多次覆盖页面文件使用的存储区域，因此设备可能需要几分钟时间才能完全关闭。

关闭和重启设备需要更长的时间，尤其是在具有大型分页文件的设备上。 对于具有 2 GB (GB) RAM 和 2 GB 分页文件的设备，此策略设置可能会使关闭过程增加 30 分钟以上。 对于某些组织，这种停机时间违反了其内部服务级别协议。 因此，在环境中实施此对策之前，请谨慎行事。