Aller au contenu
Pagefile.sys Parser
← Retour au blog

Faut-il supprimer ou désactiver pagefile.sys ?

20/05/2026 · 5 min de lecture

Si vous êtes ici parce que pagefile.sys engloutit 16 Go de votre SSD — d'abord, c'est normal. Sa taille évolue avec la RAM. La vraie question n'est pas « est-ce que je peux le supprimer ? » (oui, vous le pouvez) — c'est « est-ce que je devrais ? ». La réponse honnête est « généralement non, parfois oui, et ça dépend de si vous voulez un jour analyser un problème mémoire, un crash ou — pertinent pour ce site — un incident de sécurité ».

À quoi sert pagefile.sys

  1. Débordement mémoire. Quand la RAM physique est épuisée, le gestionnaire de mémoire pagine la mémoire froide sur disque. Sans fichier d'échange, le noyau n'a nulle part où mettre le débordement — les apps commencent à mourir avec des erreurs out-of-memory.
  2. Dumps de crash. Quand Windows tombe en BSOD, l'écrivain de dump (crashdmp.sys) ne peut pas allouer de nouvel espace disque — il écrit le dump dans le pagefile du volume de démarrage, puis le renomme MEMORY.DMP au démarrage suivant. Pas de pagefile = pas de dump de crash.
  3. Gestion de la modified-page list. Même avec beaucoup de RAM, Windows utilise le pagefile pour écrire de manière opportuniste les pages modifiées peu utilisées, afin que la RAM libérée puisse servir au cache d'E/S.
  4. Preuves forensiques / IR. Comme ce site le documente, le pagefile est l'un des artefacts les plus précieux sur disque lors d'un incident — une trace de ce qui était en RAM et qui ne persisterait pas autrement.

Quelle taille lui faut-il ?

L'orientation officielle de Microsoft :

Définir la taille maximale à trois fois la RAM installée ou 4 Go, selon la valeur la plus grande.

Pour un usage desktop / laptop typique, laissez sur « Taille gérée par le système ». Windows l'agrandira dynamiquement.

Pour les serveurs, la réponse dépend de la volonté d'avoir des dumps de crash noyau :

  • Pas de dumps de crash : 1 Go ou moins suffit ; Windows a toujours besoin d'un peu de pagefile pour la modified-page list.
  • Small kernel dump : 256 Ko.
  • Kernel dump : à peu près la taille de la mémoire noyau utilisée (~10–800 Mo typiquement).
  • Complete dump : taille de la RAM + 1 Mo.
  • Automatic memory dump (défaut sur Windows 8+) : Windows choisit une taille basée sur l'historique de crashs observé.

Pourquoi vous pourriez le désactiver

Il y a des raisons légitimes :

  • SSD minuscules sur de vieux laptops. Si vous avez 16 Go de RAM et un SSD de 64 Go, le pagefile de 24 Go fait mal.
  • Systèmes en lecture seule / kiosque / appliance. Si les besoins mémoire de la charge sont connus et bornés, vous pouvez tourner sans pagination.
  • Systèmes à haute sécurité. La propriété même qui rend le pagefile forensiquement utile — qu'il contient des copies en clair de secrets en mémoire — en fait une surface de fuite. Un laptop perdu ou volé avec son disque déchiffré offre son pagefile à quiconque lit les secteurs bruts. (Atténuation : voir la section suivante.)
  • Environnements de test, où vous voulez un comportement mémoire déterministe.

Mieux que désactiver : chiffrer

Windows possède un réglage qui chiffre le pagefile avec une clé éphémère par démarrage :

fsutil behavior set EncryptPagingFile 1

Après redémarrage, le contenu de pagefile.sys est chiffré avec une clé détruite à l'extinction. Pour l'analyse forensique : le fichier est irrécupérable après un arrêt propre (volontairement — c'est tout l'intérêt). Pour une acquisition à chaud ou via crash, vous pouvez encore l'exploiter parce que la clé est en RAM.

Pour les systèmes sensibles, EncryptPagingFile = 1 + chiffrement intégral du disque BitLocker est la bonne combinaison : BitLocker gère l'at-rest ; le chiffrement du pagefile gère le cas où l'hôte tourne mais perd soudain sa garde physique. Voir le billet chiffrer pagefile.sys pour la configuration complète.

Comment effectivement désactiver / redimensionner / déplacer

Via l'interface :

Système → Paramètres système avancés → Performances → Paramètres → Avancé → Mémoire virtuelle → Modifier

Via PowerShell (one-shot, requiert un redémarrage) :

# Sortir Windows du mode "System managed"
$cs = Get-WmiObject Win32_ComputerSystem -EnableAllPrivileges
$cs.AutomaticManagedPagefile = $false
$cs.Put()

# Définir une taille explicite sur C:
$pf = Get-WmiObject Win32_PageFileSetting -Filter "Name='C:\\pagefile.sys'"
$pf.InitialSize = 4096    # MB
$pf.MaximumSize = 8192    # MB
$pf.Put()

# Ou supprimer totalement le pagefile :
$pf.Delete()

Puis redémarrer. Le fichier est supprimé (ou redimensionné) au prochain démarrage.

Le point de vue IR / forensique

Désactiver le pagefile rend un hôte moins informatif lors d'une réponse à incident. Vous perdez :

  • Les lignes de commande paginées, les payloads, les chaînes décodées.
  • Les fragments de fichiers carvés (PE, registre, DB navigateur).
  • Les identifiants en clair paginés depuis LSASS.
  • Les dumps de crash dans MEMORY.DMP.

Si vous durcissez un parc pour la préparation à la réponse à incident, la bonne décision est de garder pagefile.sys, le chiffrer avec EncryptPagingFile, et combiner avec BitLocker — pas de le désactiver.

Si vous durcissez un parc contre la survenue d'incidents (moins de données sur disque pour un voleur), et que vous acceptez le coût opérationnel, désactiver est défendable — mais coupez alors aussi les dumps de crash explicitement ou vous aurez un mode d'échec déroutant.

Mythes courants

« pagefile.sys use le SSD. »

Négligeable sur SSD modernes. Les écritures de pagefile sont infimes comparées aux écritures système de fichiers générales sur un desktop typique. La note TBW (terabytes written) d'un SSD NVMe grand public se compte en centaines de To ; vous ne la dépasserez pas en laissant le pagefile actif.

« J'ai 64 Go de RAM, je n'ai pas besoin de pagefile. »

Vous en voulez quand même un — au moins un petit — pour les dumps de crash et la gestion de la modified-page list. Réglez-le à 1–4 Go explicitement.

« Déplacer le pagefile sur un autre disque accélère Windows. »

Vrai uniquement si vous avez deux disques physiquement séparés et que votre charge pagine effectivement. Déplacer le pagefile d'une partition à une autre sur le même disque physique ne sert à rien d'utile. Les systèmes modernes avec assez de RAM paginent rarement de toute façon.

Liens connexes