Kann mir bitte mal einer erklären, warum unter Vista das Schreiben des Last Access Timestamps unter NTFS standardmäßig deaktiviert ist? Aber doch bitte nicht aus Performancegründen, oder?
Der Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate steht bei Vista standardmäßig auf „1“. Unter Windows 2000 und XP war dieser Key bisher defaultmäßig deaktiviert. Bei Vista werden in einer Standardinstallation die Last Access Timestamps leider nicht aktualisiert. Der Timestamp zeigt dann den Creation Timestamp.
Müssen wir uns also nun stärker mit TxF (Transactional File System) von Vista beschäftigen. Im Gegensatz zu den vorherigen Versionen ist dieses nun per default aktiviert. Aber dazu später mehr.
Die „ständige“ Aktualisierung der Last Access Time kann durchaus zu Performance-Problemen führen. Allerdings muss man dafür schon „einige“ Objekte in ein Verzeichnis legen. Ein Beispiel für ein derart unglückliches Layout ist in der MSKB, Artikel 150 355 beschrieben.
Ebenfalls aus Performance-Gründen beträgt die Granularität der Updates 1 Stunde. Oder wie Microsoft es formuliert:
Eine frei zugängliche Begründung von Microsoft für den Wechsel der Voreinstellung mit dem Erscheinen von Vista habe ich aber leider nicht zur Hand.
Das alte Verhalten mit der ein-Stunden-Differenz war für auch nie so richtig nachvollziehbar. Ebens wie anderes merkwürdige Verhalten. Mit einem Schlag werden hier wesentliche Spuren unmöglich gemacht. Sehr ärgerlich. Schattenkopie hin, Schattenkopie her 😉
Performance ist eine Frage der Prioritäten. Man kann eine Last Access Time schreiben oder Verzeichnisse in 3D auf dem Desktop durchblättern. Umsatzerlöse erhoffen sich die Entscheider eher von Effekten. Und diejenigen, welche auf andere Dinge wert legen, lesen solche Blogs. So oder ähnlich wird man in Redmont denken. Vielleicht hilft ein Aufschrei per Email?
Als erstes werde ich vorschlagen, dass im neuen BSI IT-Grundschutzbaustein „Windows Vista“ empfohlen wird, den Registry Key auf „0“ zu setzen. Sollten wirklich Performanchegründe dagegen sprechen, muss eine entsprechende Risikoabwägung dokumentiert werden.
Im Firmenumfeld kann man ja per GPO den Key wieder setzen, aber mich sorgen eigentlich die vielen Vista-PC, die nicht in einem Firmenumfeld betrieben werden.
Microsoft wird jetzt auch sicherlich nicht ein Update herausbringen, dass den Defaultwert des Keys neu setzt, damit ein Ermittler besser arbeiten kann. Nie im Leben. Aus meiner Sicht ist der Zug abgefahren. Ärgerlich. Sehr ärgerlich.
Habe ich eigentlich schon ärgerlich gesagt? 😎
Es geht darum die I/Os bei SSDs zu reduzieren, viele Schreibzugriffe sorgen nämlich für eine kürzere Lebensdauer.