TEMP, Pagefile, Hiberfil

In diesem Teil möchte ich eingehen auf die Temporären Dateien, die Pagefile.sys sowie die Hiberfil.sys - Es geht also schon ins Eingemachte, aber keine Angst,
ich versuche es so abzuarbeiten das jeder der Lesen kann verstehen sollte worauf es ankommt.

Temporäre Dateien
Jeder hat schon mal von diesen gehört, spätestens beim Stressen einer Suchmaschine wenn es Probleme gibt. Einige setzen sicherlich auch (obwohl es Blödsinn ist)
Tools ein um diese zu löschen, dabei reicht ein klitzekleiner Dreizeiler um das zu erledigen. Aber ich fange mal vorn an, was sind denn eigentlich
Temporäre Dateien, woher kommen diese, was bewirken sie und wie kann ich mit ihnen umgehen?

·         Temporäre Dateien werden von vielen Programmen oder vom Betriebssystem selbst erstellt.

·         Alle temporären Daten werden nur vorübergehend benötigt. Spätestens wenn das Programm geschlossen wird oder das Betriebssystem heruntergefahren wurde, 
werden diese Dateien nicht mehr gebraucht und sollten automatisch gelöscht werden (und genau das klappt sehr oft nur mangelhaft).

·         Viele temporäre Dateien werden nach Beendigung des Programms nicht wieder entfernt. Diese häufen sich über die Zeit an und belegen unnötig Speicherplatz.

Nun kann man sicherlich ein Programm Herunterladen und Installieren, aber ich denke ich hatte schon erwähnt das ich kein Freund dieser Methode bin und
Programme bevorzuge die nicht Installiert werden müssen. Zumal ich bei vielen Programmen auch nicht weiß wo das Programm sonst noch herumfuchtelt.

Temporäre Dateien unterscheiden sich zudem auch noch in Dateien die Global angelegt werden, und Dateien die Benutzerbezogen angelegt werden.
Wie gehen nun irgendwelche Programme damit um? Ich bin da lieber skeptisch und lösche per Batchdatei. Selbstverständlich werden Dateien die gerade in Gebrauch
sind und verwendet werden nicht gelöscht. Die Batchdatei deltmp.bat (download mit der rechten Maustaste)  könnt ihr mit dem Editor öffnen und anschauen was
drin steht. Es ist nun wirklich kein Geheimnis und ich habe reichlich Kommentiert. Einfach einen doppelkick darauf und der Temporäre Mist wird ins Nirwana geschossen.

Wenn außer Dir niemand an Deinem Rechner Arbeitet und keine weiteren Benutzer auf dem Rechner existieren könnt ihr die Temporären Dateien auch Zentralisiert
an einem Ort versammeln um z.B. eure SSD Platte zu schonen und den Mist auf einer normalen Festplatte oder sogar in einer RAM-Disk (das folgt in einem weiteren
Teil) abzuspeichern. Dazu einfach Windows+Pause drücken, auf der linken Seite in die Erweiterten Systemeinstellungen wechseln und die gewünschten Pfade dort
eintragen. Ob es bei einer SSD Sinn ergibt oder nicht ist eine Streitfrage die hier nicht geklärt werden soll, spätestens bei normalen Festplatten ist es ein
Geschwindigkeitsvorteil wenn dieses auf einer anderen Festplatte (nicht Partition) gelegt wird. Es Arbeiten die Schreib/Leseköpfe der Festplatten gleichzeitig und nicht
von einer Platte. Logisch das es schneller geht wenn der Kopf nicht auf einer Platte hin- und her flippen muss. Es erleichtert aber auch die Übersicht für alle die
wissen möchten was auf dem Rechner geschrieben wird.

           





hiberfil.sys
hiberfile.sys -> kompletter RAM-Inhalt im Ruhezustand, welcher beim hochfahren wieder zurück in den RAM geladen wird.
Viel gibt es dazu nicht zu sagen, also erkläre ich erst einmal was die hiberfil.sys überhaupt macht. Es geht um den Ruhezustand des Rechners der zu Gunsten des
Stromverbrauchs auch genutzt werden kann, aber wie bei allem bei dem man sagt kann man machen...
Dir hiberfil.sys nimmt während des laufenden Betriebs von Windows fast die Größe des eingebauten Arbeitsspeichers an. Bei 8GB eingebauten Speicher ist diese
Datei ~6GB groß, egal ob das System gerade erst gestartet wurde oder schon lange läuft.
Gerade Nutzer einer SSD Platte sollten hier Aufmerksam werden denn die Schreibzyklen einer SSD Platte sind nicht unbegrenzt.
Einen guten Artikel dazu findet ihr hier, ich bin um ehrlich zu sein zu Faul das hier auszuführen, ich muss das Rad auch nicht neu Erfinden.
Wenn die Funktion abgeschaltet werden soll, hilft folgende Lösung:
Konsole mit der rechten Maustaste als Administrator starten,
powercfg /h off
oder auch
powercfg /hibernate off
eintippen, Enter drücken , fertig. Dadurch wird der Modus deaktiviert und die hiberfil.sys gelöscht. Mit “on” statt “off” könnt ihr ihn natürlich wieder aktivieren.

Konsole öffnen Windows 7



Konsole öffnen Windows 8(.1) u. Windows 10




Konsole als Administrator




Pagefile.sys
Heutige Betriebssysteme unterstützen virtuelle Speicher. Damit Benutzern (virtuell) mehr Hauptspeicher zur Verfügung steht, als in dem Computer eingebaut ist,
wird jeweils der gerade nicht verwendete Teil des Arbeitsspeichers auf Festplatte ausgelagert (Swap-Bereich).

In diesen Auslagerungsdateien finden sich auch Teile der Informationen wieder, die die Benutzer während ihrer Arbeit verwendet haben. Dazu können auch
sensible Daten wie Passwörter oder kryptographische Schlüssel gehören. Die Dateien werden nicht gelöscht, wenn sich der Benutzer abmeldet bzw. das System
ausgeschaltet wird. Daher könnten Auslagerungsdateien von einem Angreifer genutzt werden, um vertrauliche Daten auszulesen.

Um das Auslesen von Auslagerungsdateien zu verhindern, sollte der Auslagerungsbereich entweder temporär bzw. dauerhaft deaktiviert oder vor jedem
Ausschalten sicher gelöscht werden.

Aktuelle Windows-Betriebssysteme können so konfiguriert werden, dass beim Booten oder Herunterfahren des Rechners die Auslagerungsdatei überschrieben wird.
Die Auslagerungsdatei (Windows Paging File, pagefile.sys) wird ebenso wie die Datei für den Ruhezustand (Hibernation File, hiberfil.sys) beim Herunterfahren des
Systems mit Nullen überschrieben, wenn "Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen" gesetzt ist. Das Überschreiben der Auslagerungsdatei
kann allerdings je nach Größe längere Zeit in Anspruch nehmen. Dennoch sollte diese Option bei Clients, insbesondere bei Laptops, gesetzt werden. Bei Servern mit sehr
großen Auslagerungsdateien sollte bei normalem Schutzbedarf abgewogen werden, ob dies dort erforderlich ist. Bei höherem Schutzbedarf sollte die Auslagerungsdatei auf
jedem Fall automatisch gelöscht werden. Ab Windows Vista gibt es die Möglichkeit, dass die Auslagerungsdatei bei einem Systemstart per EFS verschlüsselt wird. Das ist
deutlich effizienter und in allen Fällen empfehlenswert, in denen die Auslagerungsdatei nicht bereits durch eine vollständige Festplattenverschlüsselung wie
BitLocker Drive Encryption verschlüsselt wird.

Bei höherem Schutzbedarf sollten weitere Maßnahmen gegen das Auslesen von Auslagerungsdateien ergriffen werden. Dazu können z. B. Werkzeuge, die den
Auslagerungsbereich vor jedem Ausschalten sicher löschen, eingesetzt werden. Um die Problematik als solche aber zu vermeiden, können auch kryptographische
Dateisysteme eingesetzt werden, mit denen der gesamte Inhalt der Festplatte verschlüsselt wird. Somit ist auch kein Zugriff auf die Auslagerungsdatei mehr möglich.

Das Abschalten oder Löschen des Auslagerungsbereichs ist für ad hoc-Lösungen brauchbar, aber keine dauerhafte Alternative. Die vollständige Verschlüsselung der
Festplatten ist bei höherem Schutzbedarf die bessere Lösung.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04325.html

Das völlige abschalten der pagefile.sys kann ich nicht Empfehlen, ist aber durchaus machbar. Wie genau werde ich hier nicht erläutern, besser ist es den
Virtuellen Arbeitsspeicher beim Herunterfahren mit 0 zu Überschreiben, bzw. die Auslagerungsdatei auf eine andere Festplatte zu legen um die SSD zu schonen.
Nützlicher Nebeneffekt ist die Geschwindigkeit bei zwei Festplatten (nicht Partitionen), habe ich oben aber schon erklärt. Später komme ich noch zum Thema
RAM-Disk und da wird es erst richtig Interessant. Da ist dann auch der nötige kleine Registryeingriff überflüssig, aber da sind wir noch nicht.
Um die Pagefile.sys also beim Herunterfahren mit 0 zu überschreiben benötigt ihr die Registry.

Dazu öffnet ihr also die Registry (siehe Bilder) und hangelt euch dort durch bis
Registry KEY HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management
dort den Schlüssel ClearPageFileAtShutdown verändern auf 1 und schon wird die Pagefile beim Herunterfahren überschrieben!

Regedit Windows 7


Regedit Windows 8(.1) u. Windows 10

Keine Grafik für Windows 10, funktioniert aber genau so.

Regedit HKEY_LOCAL_MACHINE - System - CurrentControlSet - Control - Session Manager - Memory Management


ACHTUNG: Das Überschreiben der Pagefile.sys beim Herunterfahren beeinträchtigt die Dauer des Shutdowns und ist bei ausreichend großer RAM-Disk nicht nötig!!!

Das Auslagern der Pagefile.sys auf eine andere Festplatte (oder Partition was keinen Geschwindigkeitsvorteil bringt) ist aber auch möglich und sollte (meiner nicht
Relevanten Meinung nach) auch gemacht werden. Dazu sind wieder die Erweiterten Systemeinstellungen nötig. Wenn ihr euch die Bilder anschaut sollte das
selbsterklärend sein.



 

   
Nach dem Neustart des Rechners ist die Auslagerungsdatei auf  einer anderen Festplatte (oder Partition) und das Ziel ist erreicht.

Nachtrag: Man kann sich vorstellen das diese Methode von dem BKA benutzt wird um z.B. Spuren über das Verhalten etc. auszuwerten wie immer im Fernsehen gezeigt wird ;-)



Teil 1: Betriebssystem säubern
Teil 2: TEMP, Pagefile.sys, Hiberfil.sys
Teil 3: RAM Disk
Teil 4: SSD Datenträger