Apagar: Borrar el archivo de paginación de la memoria virtual

3

Estaba leyendo sobre la política local de Windows de " Apagar: Borrar el archivo de memoria virtual ". Necesito una aclaración sobre esta breve descripción de la política:

  1. ¿Qué quiere decir con sistema operativo que permite arrancar a otro?
  2. Por qué el sistema operativo tiene que asegurarse de que el archivo de paginación del sistema se borra cuando se apaga.
  3. ¿Cómo puede un usuario no autorizado obtener acceso directo al archivo de paginación?
pregunta Ali Ahmad 30.05.2013 - 13:57
fuente

2 respuestas

2

"Los sistemas que están configurados para permitir el arranque en otros sistemas operativos" abarcan dos situaciones:

  • Una computadora con arranque dual entre dos sistemas operativos (por ejemplo, Windows 2003 y Windows 8, o Windows 2003 y Linux) donde los dos sistemas operativos tienen diferentes bases de datos de usuarios, y en particular, diferentes grupos de personas tienen acceso administrativo. Un administrador en OS 1 puede leer el intercambio desde OS 2. Esto tiene un impacto limitado ya que el administrador en OS 1 también puede leer los datos de OS 2, pero significa que los datos a los que se accedió desde OS 2 y nunca se guardaron explícitamente el disco está en riesgo.
  • Una computadora (generalmente una computadora portátil) que es robada por un atacante mientras está apagada, o una computadora cuyo disco duro es robado por un atacante. El atacante tiene acceso al medio de almacenamiento sin restricciones, por lo que puede leer todos los datos del disco.

Al limpiar el área de intercambio al apagar, se garantiza que los datos que no se guardaron explícitamente en el disco se borrarán correctamente después de un cierre limpio. Los datos pueden terminar en el disco de forma implícita debido al intercambio. Tenga en cuenta que, en la práctica, los datos pueden terminar en el disco por otros motivos debido al diseño de la aplicación, por ejemplo, Archivos temporales, cola de impresión y correo electrónico, caché del navegador, ...

Eliminar el intercambio en un apagado limpio tiene un impacto limitado, ya que en algunos escenarios (por ejemplo, un atacante que roba una computadora portátil en funcionamiento) no puede confiar en un cierre limpio. Algunas distribuciones de Linux cifran el área de intercambio con una clave aleatoria que cambia en cada inicio (no tengo idea si Windows puede hacer esto). Esto no protege contra ataques de arranque en caliente, donde el atacante puede volcar el contenido de la RAM, ni contra datos confidenciales dejados en archivos.

    
respondido por el Gilles 30.05.2013 - 14:11
fuente
0

Un vector de ataque es arrancar desde otro sistema operativo a través de una unidad de disco USB (el acceso físico a la unidad sería otro). El sistema operativo Windows trata la sección del archivo de paginación del disco duro como si fuera una memoria RAM dinámica que se pierde al apagarse. En consecuencia, hasta esta función, la información valiosa de la última sesión en ejecución podría estar desprotegida en el disco duro en esa área si el sistema se inició desde una unidad de disco USB.

    
respondido por el zedman9991 30.05.2013 - 14:13
fuente

Lea otras preguntas en las etiquetas