Si llegas aquí porque pagefile.sys se está comiendo 16 GB de tu SSD —
primero, esto es normal. Escala con la RAM. La pregunta interesante
no es "¿puedo borrarlo?" (sí, puedes) — es "¿debería?". La respuesta
honesta es "normalmente no, pero a veces sí, y depende de si alguna vez
quieres analizar un problema de memoria, un crash o — relevante para
este sitio — un incidente de seguridad."
Para qué sirve pagefile.sys
- Desbordamiento de memoria. Cuando la RAM física se agota, el Memory Manager / gestor de memoria pagina la memoria fría a disco. Sin page file, el kernel no tiene donde poner el desbordamiento — las apps empiezan a morir con errores out-of-memory.
- Crash dumps. Cuando Windows da un pantallazo azul, el dump writer
(
crashdmp.sys) no puede asignar espacio nuevo en disco — escribe el dump al page file en el volumen de arranque, y luego lo renombra aMEMORY.DMPen el siguiente arranque. Sin pagefile = sin crash dump. - Gestión de la lista de páginas modificadas. Incluso cuando tienes RAM de sobra, Windows usa el pagefile para escribir oportunistamente páginas modificadas poco usadas y así poder dedicar la RAM liberada al cache de I/O.
- Evidencia forense / IR. Como documenta este sitio, el pagefile es uno de los artefactos más valiosos en disco durante un incidente — un registro de lo que estuvo en RAM y que de otro modo no persistiría.
¿Cuán grande tiene que ser?
Configura el tamaño máximo a tres veces la RAM instalada o 4 GB, lo que sea mayor.
Para uso típico de escritorio / portátil, déjalo en "System managed size". Windows lo hará crecer dinámicamente.
Para servidores, la respuesta depende de si quieres crash dumps del kernel:
- Sin crash dumps: 1 GB o menos está bien; Windows aún necesita algo de pagefile para la lista de páginas modificadas.
- Small kernel dump: 256 KB.
- Kernel dump: aproximadamente el tamaño de la memoria modo kernel en uso (típicamente ~10–800 MB).
- Complete dump: tamaño de la RAM + 1 MB.
- Automatic memory dump (por defecto en Windows 8+): Windows elige un tamaño basado en el historial de crashes observados.
Por qué podrías desactivarlo
Hay razones legítimas:
- SSDs diminutos en portátiles antiguos. Si tienes 16 GB de RAM y un SSD de 64 GB, el pagefile de 24 GB es doloroso.
- Sistemas de solo lectura / kiosko / appliance. Si las necesidades de memoria del workload son conocidas y acotadas, puedes correr sin paginación.
- Sistemas de alta seguridad. La misma propiedad que hace el pagefile forensemente útil — que guarda copias en claro de secretos en memoria — lo convierte en una superficie de fuga. Un portátil perdido o robado con el disco descifrado entrega su pagefile a cualquiera que lea los sectores en bruto. (Mitigación: ver la siguiente sección.)
- Entornos de test, donde quieres comportamiento de memoria determinista.
Mejor que desactivarlo: cifrarlo
Windows tiene un ajuste que cifra el pagefile con una clave efímera por arranque:
fsutil behavior set EncryptPagingFile 1
Tras reiniciar, el contenido de pagefile.sys queda cifrado con una
clave que se destruye al apagar. Para análisis forense: el archivo es
irrecuperable tras un apagado limpio (a propósito — ese es justo el
objetivo). Para una adquisición en caliente o de crash, aún puedes
explotarlo porque la clave está en RAM.
Para sistemas sensibles a la seguridad, EncryptPagingFile = 1 más
cifrado de disco completo con BitLocker es la combinación
adecuada: BitLocker se encarga del en-reposo; el cifrado del pagefile
se encarga del caso en que el host está corriendo pero pierde de algún
modo la custodia física. Ver el post sobre el cifrado de
pagefile.sys para el setup completo.
Cómo desactivarlo / redimensionarlo / moverlo de verdad
Por la UI:
Sistema → Configuración avanzada del sistema → Rendimiento → Configuración → Opciones avanzadas → Memoria virtual → Cambiar
Por PowerShell (de un solo paso, requiere reinicio):
# Saca a Windows del modo "System managed"
$cs = Get-WmiObject Win32_ComputerSystem -EnableAllPrivileges
$cs.AutomaticManagedPagefile = $false
$cs.Put()
# Tamaño explícito en C:
$pf = Get-WmiObject Win32_PageFileSetting -Filter "Name='C:\\pagefile.sys'"
$pf.InitialSize = 4096 # MB
$pf.MaximumSize = 8192 # MB
$pf.Put()
# O quitar el pagefile por completo:
$pf.Delete()
Luego reinicia. El archivo se elimina (o se redimensiona) en el siguiente arranque.
La visión IR / forense
Desactivar el pagefile hace que un host sea menos informativo durante la respuesta a incidentes. Pierdes:
- Líneas de comandos, payloads y cadenas decodificadas paginadas.
- Fragmentos de archivos carveados (PE, registro, BDs de navegador).
- Credenciales en claro paginadas desde LSASS.
- Crash dumps en
MEMORY.DMP.
Si estás bastionando una flota para preparación de respuesta a
incidentes, la decisión correcta es dejar pagefile.sys, cifrarlo con
EncryptPagingFile y combinarlo con BitLocker — no desactivarlo.
Si estás bastionando una flota contra la ocurrencia de incidentes (menos datos en disco para que se lleve un ladrón), y aceptas el coste operativo, desactivarlo es defendible — pero entonces desactiva también los crash dumps explícitamente, o tendrás un modo de fallo confuso.
Mitos comunes
"pagefile.sys provoca desgaste del SSD."
Despreciable en SSDs modernos. Las escrituras del pagefile son pequeñas comparadas con las escrituras generales del sistema de archivos en un escritorio típico. El rating TBW (terabytes escritos) de un NVMe SSD de consumo es de cientos de TB; no lo vas a sobrepasar dejando el pagefile activo.
"Tengo 64 GB de RAM, no necesito pagefile."
Igual lo quieres — al menos uno pequeño — para crash dumps y la gestión de la lista de páginas modificadas. Ponlo explícitamente a 1–4 GB.
"Mover el pagefile a otro disco hace Windows más rápido."
Cierto solo si tienes dos discos físicamente separados y tu carga de trabajo realmente está paginando. Mover el pagefile de una partición a otra del mismo disco físico no hace nada útil. Los sistemas modernos con RAM suficiente raramente paginan.
Relacionado
- ¿Qué es pagefile.sys? — los fundamentos.
- pagefile.sys vs hiberfil.sys vs swapfile.sys — los otros archivos de paginación.
- Cifrando pagefile.sys — el ajuste
EncryptPagingFile.