NTFS LastAccessUpdate unter Vista

iconKann mir bitte mal einer erklären, warum unter Vista das Schreiben des Last Access Timestamps unter NTFS standardmäßig deaktiviert ist? Aber doch bitte nicht aus Performancegründen, oder?

Der Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate steht bei Vista standardmäßig auf „1“. Unter Windows 2000 und XP war dieser Key bisher defaultmäßig deaktiviert. Bei Vista werden in einer Standardinstallation die Last Access Timestamps leider nicht aktualisiert. Der Timestamp zeigt dann den Creation Timestamp.

Müssen wir uns also nun stärker mit TxF (Transactional File System) von Vista beschäftigen. Im Gegensatz zu den vorherigen Versionen ist dieses nun per default aktiviert. Aber dazu später mehr.
Screenshot Vista-NTFS-Settings

7 thoughts on “NTFS LastAccessUpdate unter Vista”

  1. Die „ständige“ Aktualisierung der Last Access Time kann durchaus zu Performance-Problemen führen. Allerdings muss man dafür schon „einige“ Objekte in ein Verzeichnis legen. Ein Beispiel für ein derart unglückliches Layout ist in der MSKB, Artikel 150 355 beschrieben.

    Ebenfalls aus Performance-Gründen beträgt die Granularität der Updates 1 Stunde. Oder wie Microsoft es formuliert:

    The Last Access Time on disk is not always current because NTFS looks for a one-hour interval before forcing the Last Access Time updates to disk. NTFS also delays writing the Last Access Time to disk when users or programs perform read-only operations on a file or folder, such as listing the folder’s contents or reading (but not changing) a file in the folder. If the Last Access Time is kept current on disk for read operations, all read operations become write operations, which impacts NTFS performance.

    Eine frei zugängliche Begründung von Microsoft für den Wechsel der Voreinstellung mit dem Erscheinen von Vista habe ich aber leider nicht zur Hand.

  2. Das alte Verhalten mit der ein-Stunden-Differenz war für auch nie so richtig nachvollziehbar. Ebens wie anderes merkwürdige Verhalten. Mit einem Schlag werden hier wesentliche Spuren unmöglich gemacht. Sehr ärgerlich. Schattenkopie hin, Schattenkopie her 😉

  3. Performance ist eine Frage der Prioritäten. Man kann eine Last Access Time schreiben oder Verzeichnisse in 3D auf dem Desktop durchblättern. Umsatzerlöse erhoffen sich die Entscheider eher von Effekten. Und diejenigen, welche auf andere Dinge wert legen, lesen solche Blogs. So oder ähnlich wird man in Redmont denken. Vielleicht hilft ein Aufschrei per Email?

  4. Pingback: geschonneck.com
  5. Als erstes werde ich vorschlagen, dass im neuen BSI IT-Grundschutzbaustein „Windows Vista“ empfohlen wird, den Registry Key auf „0“ zu setzen. Sollten wirklich Performanchegründe dagegen sprechen, muss eine entsprechende Risikoabwägung dokumentiert werden.

    Im Firmenumfeld kann man ja per GPO den Key wieder setzen, aber mich sorgen eigentlich die vielen Vista-PC, die nicht in einem Firmenumfeld betrieben werden.

    Microsoft wird jetzt auch sicherlich nicht ein Update herausbringen, dass den Defaultwert des Keys neu setzt, damit ein Ermittler besser arbeiten kann. Nie im Leben. Aus meiner Sicht ist der Zug abgefahren. Ärgerlich. Sehr ärgerlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.