Shutdown: cancella il file di paging della memoria virtuale

3

Leggevo sulla politica locale di Windows di " Chiudi: cancella il file di paging della memoria virtuale ". Ho bisogno di chiarimenti su questa breve descrizione della politica:

  1. Cosa significa per sistema operativo che consente l'avvio all'altro.
  2. Perché il sistema operativo deve assicurarsi che il file di paging del sistema sia cancellato quando è spento.
  3. Come può un utente non autorizzato ottenere l'accesso diretto al file di paging.
posta Ali Ahmad 30.05.2013 - 13:57
fonte

2 risposte

2

"I sistemi che sono configurati per consentire l'avvio ad altri sistemi operativi" comprendono due situazioni:

  • Un computer con avvio doppio tra due sistemi operativi (ad esempio Windows 2003 e Windows 8 o Windows 2003 e Linux) in cui i due sistemi operativi dispongono di diversi database utente e, in particolare, diversi gruppi di persone dispongono di accesso amministrativo. Un amministratore su OS 1 può leggere lo scambio dal SO 2. Ciò ha un impatto limitato in quanto l'amministratore di OS 1 può anche leggere i dati dal SO 2, ma significa che i dati a cui si accede da OS 2 e mai salvati esplicitamente in il disco è a rischio.
  • Un computer (in genere un laptop) che viene rubato da un utente malintenzionato mentre è spento o un computer il cui disco rigido viene rubato da un utente malintenzionato. L'utente malintenzionato ha accesso al supporto di archiviazione libero, quindi può leggere tutti i dati sul disco.

Se si pulisce l'area di scambio all'arresto, tutti i dati che non sono stati salvati esplicitamente su disco verranno cancellati correttamente dopo un arresto pulito. I dati possono finire sul disco implicitamente a causa dello swapping. Si noti che, in pratica, i dati possono finire sul disco per altri motivi a causa della progettazione dell'applicazione, ad es. file temporanei, spool di stampa e posta, cache del browser, ...

Cancellare lo swap su clean shutdown ha un impatto limitato, perché in alcuni scenari (ad esempio, un utente malintenzionato ruba un laptop in esecuzione) non è possibile fare affidamento su un arresto pulito. Alcune distribuzioni Linux crittografano l'area di swap con una chiave casuale che cambia ad ogni avvio (non ho idea se Windows possa farlo). Questo non protegge dagli attacchi di avvio a caldo in cui l'utente malintenzionato può scaricare il contenuto della RAM, né da dati sensibili lasciati nei file.

    
risposta data 30.05.2013 - 14:11
fonte
0

Un vettore di attacco è quello di avviare da un altro sistema operativo tramite una pen drive (l'accesso fisico al disco sarebbe un altro). Il sistema operativo Windows tratta la sezione del file di paging del disco rigido come se fosse una memoria RAM dymanic che viene persa allo spegnimento. Di conseguenza, fino a quando questa funzione, le informazioni importanti dall'ultima sessione in esecuzione potrebbero non essere protette sul disco rigido in quell'area se il sistema è stato avviato da una pen drive.

    
risposta data 30.05.2013 - 14:13
fonte

Leggi altre domande sui tag