Zum Inhalt springen
Pagefile.sys Parser
← Zurück zum Blog

Sollten Sie pagefile.sys löschen oder deaktivieren?

20.5.2026 · 4 Min. Lesezeit

Wenn Sie hier sind, weil pagefile.sys 16 GB Ihrer SSD frisst — erstens, das ist normal. Es skaliert mit dem RAM. Die spannende Frage ist nicht „kann ich es löschen?" (ja, können Sie) — sondern „sollte ich?". Die ehrliche Antwort lautet: „meistens nein, manchmal ja, und es kommt darauf an, ob Sie jemals ein Speicherproblem, einen Crash oder — für diese Seite relevant — einen Sicherheitsvorfall analysieren wollen."

Wofür pagefile.sys da ist

  1. Speicherüberlauf. Wenn das physische RAM erschöpft ist, lagert der Memory Manager / Speichermanager kalten Speicher auf Disk aus. Ohne Page-Datei hat der Kernel keinen Platz für den Überlauf — Anwendungen sterben mit Out-of-Memory-Fehlern.
  2. Crash-Dumps. Wenn Windows blue-screent, kann der Dump-Writer (crashdmp.sys) keinen neuen Disk-Speicher allokieren — er schreibt den Crash-Dump in die Page-Datei auf dem Boot-Volume und benennt ihn beim nächsten Boot in MEMORY.DMP um. Kein Pagefile = kein Crash-Dump.
  3. Verwaltung der Modified-Page-List. Auch bei reichlich RAM nutzt Windows das Pagefile, um selten genutzte modifizierte Seiten opportunistisch herauszuschreiben, sodass der freigewordene RAM als I/O-Cache verwendet werden kann.
  4. Forensische / IR-Beweise. Wie diese Seite dokumentiert, ist das Pagefile eines der wertvollsten Artefakte auf Disk während eines Vorfalls — ein Mitschnitt dessen, was im RAM war und sonst nicht überdauert hätte.

Wie groß muss es sein?

Microsofts eigene Empfehlung:

Maximalgröße auf das Dreifache des installierten RAMs oder 4 GB setzen, je nachdem, was größer ist.

Für typischen Desktop-/Laptop-Einsatz belassen Sie es auf „Größe wird vom System verwaltet". Windows lässt es dynamisch wachsen.

Für Server hängt die Antwort davon ab, ob Sie Kernel-Crash-Dumps wollen:

  • Keine Crash-Dumps: 1 GB oder weniger reicht; Windows braucht weiterhin etwas Pagefile für die Modified-Page-List.
  • Small kernel dump: 256 KB.
  • Kernel dump: ungefähr die genutzte Kernel-Mode-Speichergröße (~10–800 MB typisch).
  • Complete dump: RAM-Größe + 1 MB.
  • Automatic memory dump (Standard ab Windows 8): Windows wählt eine Größe basierend auf der beobachteten Crash-Historie.

Warum man es deaktivieren könnte

Es gibt legitime Gründe:

  • Winzige SSDs in alten Laptops. Bei 16 GB RAM und einer 64-GB-SSD ist das 24-GB-Pagefile schmerzhaft.
  • Read-only-, Kiosk-, Appliance-Systeme. Sind der Speicherbedarf und seine Grenzen bekannt, kann man ohne Paging laufen.
  • Hochsicherheitssysteme. Genau das, was das Pagefile forensisch wertvoll macht — dass es Klartext-Kopien von In-Memory-Secrets enthält — macht es zu einer Leak-Surface. Ein verlorener oder gestohlener Laptop, dessen Disk entschlüsselt ist, gibt sein Pagefile jedem preis, der die rohen Sektoren liest. (Gegenmaßnahme: siehe nächster Abschnitt.)
  • Testumgebungen, in denen man deterministisches Speicherverhalten möchte.

Besser als Deaktivieren: Verschlüsseln

Windows hat eine Einstellung, die das Pagefile mit einem boot-spezifischen, ephemeren Schlüssel verschlüsselt:

fsutil behavior set EncryptPagingFile 1

Nach einem Reboot ist der Inhalt von pagefile.sys mit einem Schlüssel verschlüsselt, der beim Shutdown zerstört wird. Für die forensische Analyse: Die Datei ist nach einem sauberen Shutdown nicht mehr rekonstruierbar (genau so gewollt — das ist der Sinn). Bei einer Live- oder Crash-Acquisition lässt sie sich noch auswerten, weil der Schlüssel im RAM liegt.

Für sicherheitssensible Systeme ist EncryptPagingFile = 1 plus BitLocker-Volumenverschlüsselung die richtige Kombination: BitLocker schützt das Ruhezustands-At-Rest; die Pagefile-Verschlüsselung deckt den Fall ab, dass der Host läuft, aber irgendwie die physische Kontrolle verliert. Siehe den Beitrag zur pagefile.sys-Verschlüsselung für das vollständige Setup.

So deaktiviert / verkleinert / verschiebt man es tatsächlich

Über die UI:

System → Erweiterte Systemeinstellungen → Leistung → Einstellungen → Erweitert → Virtueller Arbeitsspeicher → Ändern

Über PowerShell (einmalig, erfordert Reboot):

# Windows aus „Größe automatisch verwalten" nehmen
$cs = Get-WmiObject Win32_ComputerSystem -EnableAllPrivileges
$cs.AutomaticManagedPagefile = $false
$cs.Put()

# Explizite Größe auf C: setzen
$pf = Get-WmiObject Win32_PageFileSetting -Filter "Name='C:\\pagefile.sys'"
$pf.InitialSize = 4096    # MB
$pf.MaximumSize = 8192    # MB
$pf.Put()

# Oder Pagefile komplett entfernen:
$pf.Delete()

Dann neu starten. Die Datei wird beim nächsten Boot entfernt (oder neu dimensioniert).

Die IR-/Forensik-Sicht

Ein deaktiviertes Pagefile macht einen Host weniger aussagekräftig während einer Incident Response. Sie verlieren:

  • Ausgelagerte Befehlszeilen, Payloads, dekodierte Strings.
  • Gecarvte Dateifragmente (PE, Registry, Browser-DBs).
  • Klartext-Anmeldedaten, die aus LSASS ausgelagert wurden.
  • Crash-Dumps in MEMORY.DMP.

Wenn Sie eine Flotte für die Bereitschaft zur Incident Response härten, ist die richtige Entscheidung, pagefile.sys zu behalten, mit EncryptPagingFile zu verschlüsseln und mit BitLocker zu kombinieren — nicht es zu deaktivieren.

Wenn Sie eine Flotte gegen das Auftreten von Incidents härten (weniger Daten auf Disk für einen Dieb) und Sie die operativen Kosten akzeptieren, ist Deaktivieren vertretbar — schalten Sie dann aber auch Crash-Dumps explizit ab, sonst haben Sie ein verwirrendes Fehlerbild.

Häufige Mythen

„pagefile.sys verursacht SSD-Verschleiß."

Auf modernen SSDs vernachlässigbar. Pagefile-Schreibvorgänge sind im Vergleich zu allgemeinen Dateisystem-Writes auf einem typischen Desktop winzig. Die TBW-Spec (Terabytes Written) einer Consumer-NVMe-SSD liegt bei mehreren Hundert TB; das werden Sie durch ein eingeschaltetes Pagefile nicht überschreiten.

„Ich habe 64 GB RAM, ich brauche kein Pagefile."

Sie wollen trotzdem eines — zumindest ein kleines — für Crash-Dumps und die Modified-Page-List-Verwaltung. Setzen Sie es explizit auf 1–4 GB.

„Pagefile auf ein anderes Laufwerk verschieben macht Windows schneller."

Nur dann, wenn Sie zwei physisch getrennte Disks haben und Ihr Workload tatsächlich paged. Das Pagefile von einer Partition auf eine andere desselben physischen Laufwerks zu verschieben bringt nichts. Moderne Systeme mit ausreichend RAM paged ohnehin selten.

Verwandt