विंडोज विस्टा में सुरक्षा और सुरक्षा सुविधाएँ: Difference between revisions
No edit summary |
|||
(5 intermediate revisions by 4 users not shown) | |||
Line 1: | Line 1: | ||
{{short description|Overview article}} | {{short description|Overview article}} | ||
{{Windows Vista}} | {{Windows Vista}} | ||
विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं। | '''विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई''' हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं। | ||
2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र<ref name="sdl">{{cite web | 2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र<ref name="sdl">{{cite web | ||
Line 18: | Line 18: | ||
{{Main|उपयोगकर्ता खाता नियंत्रण}} | {{Main|उपयोगकर्ता खाता नियंत्रण}} | ||
उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश | उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लीकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है। | ||
यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले | यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लीकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लीकेशन में [[फोकस (कंप्यूटिंग)|किरण केन्द्र (कंप्यूटिंग)]] नहीं है, तो इसका टास्कबार आइकन दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लीकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है। | ||
चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली | चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लीकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लीकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा। | ||
इस धारणा के साथ लिखे गए | इस धारणा के साथ लिखे गए एप्लीकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से [[HKEY स्थानीय मशीन|एचकेई स्थानीय मशीन]]<ref name="Channel 9">{{cite web | ||
|url=http://channel9.msdn.com/ShowPost.aspx?PostID=288259 | |url=http://channel9.msdn.com/ShowPost.aspx?PostID=288259 | ||
|title=UAC - What. How. Why. | |title=UAC - What. How. Why. | ||
Line 30: | Line 30: | ||
|accessdate=2007-03-23 | |accessdate=2007-03-23 | ||
|format=video | |format=video | ||
|author=Charles}}</ref> यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई | |author=Charles}}</ref> यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लीकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा" | ||
== एन्क्रिप्शन == | == एन्क्रिप्शन == | ||
Line 39: | Line 39: | ||
|title=Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide| year=2005| accessdate=2006-04-13| publisher=Microsoft TechNet}}</ref> संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है। | |title=Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide| year=2005| accessdate=2006-04-13| publisher=Microsoft TechNet}}</ref> संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है। | ||
विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए | विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एप्लिकेशन प्रोग्राम इंटरफ़ेस, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है।<ref name="TPM">{{cite web |url=https://technet.microsoft.com/en-us/library/cc749022%28v=ws.10%29.aspx |title=Windows विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल प्रबंधन चरण-दर-चरण मार्गदर्शिका|work=[[Microsoft TechNet|TechNet]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref><ref name="Win32TPM">{{cite web |url=http://msdn.microsoft.com/en-us/library/windows/desktop/aa376484%28v=vs.85%29.aspx |title=Win32_Tpm class |work=[[MSDN]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref> टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लीकेशन बनाना चाहते हैं।<ref name="TBS">{{cite web |url=http://msdn.microsoft.com/en-us/library/windows/desktop/aa446796%28v=vs.85%29.aspx |title=टीपीएम बेस सर्विसेज|work=[[MSDN]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref> | ||
विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]] (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]]-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए [[स्मार्ट कार्ड]] की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है। | विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]] (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]]-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए [[स्मार्ट कार्ड]] की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है। | ||
एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए | एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चयन किए गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है। | ||
== विंडोज फ़ायरवॉल == | == विंडोज फ़ायरवॉल == | ||
{{Main| | {{Main|विंडोज फ़ायरवॉल}} | ||
विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है<ref name="cableguyfirewall">The [http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx January 2006 issue of The Cable Guy] covers the new features and interfaces in Windows Firewall in greater detail.</ref> | विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है<ref name="cableguyfirewall">The [http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx January 2006 issue of The Cable Guy] covers the new features and interfaces in Windows Firewall in greater detail.</ref> निगमित वातावरण में विंडोज फ़ायरवॉल के नम्यता के आसपास कई समस्याओ को दूर करने के लिए: | ||
* | * आईपीवी 6 संपर्क फ़िल्टरिंग | ||
* आउटबाउंड पैकेट फ़िल्टरिंग, [[स्पाइवेयर]] और [[कंप्यूटर वायरस]] के बारे में बढ़ती | * आउटबाउंड पैकेट फ़िल्टरिंग, [[स्पाइवेयर]] और [[कंप्यूटर वायरस]] के बारे में बढ़ती समस्याओ को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं। | ||
* उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी | * उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी एड्रैस और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं। | ||
* पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा | * पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चयन किए गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है। | ||
* [[IPsec]] पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, | * [[IPsec|इंटरनेट प्रोटोकॉल सुरक्षा]] पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, करबरोस (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर संपर्क की स्वीकृति या संपर्क नहीं करने की स्वीकृति देता है। किसी भी प्रकार के संपर्क के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर इंटरनेट प्रोटोकॉल सुरक्षा नीतियों के जटिल कॉन्फ़िगरेशन को नियंत्रण करने वाले विज़ार्ड का उपयोग करके एक संपर्क सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक इंटरनेट प्रोटोकॉल सुरक्षा द्वारा सुरक्षित है या नहीं है। | ||
* एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो | * एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो इंटरनेट प्रोटोकॉल सुरक्षा कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक अभिगम्य प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है। | ||
* जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की | * जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता रखता है। सर्वर और डोमेन वियोजन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन करता है। | ||
== विंडोज डिफेंडर == | == विंडोज डिफेंडर ( प्रतिरक्षक) == | ||
{{Main|Windows Defender}} | {{Main|Windows Defender}} | ||
विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट | विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट एंटी-स्पाईवेयर' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए प्रणाली की स्कैनिंग की सुविधा है, बल्कि विक्रय में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें वास्तविक समय सुरक्षा कारक भी सम्मिलित हैं जो स्पाइवेयर के कारण होने वाले परिवर्तनों के लिए विंडोज़ के कई सामान्य क्षेत्रों की संरक्षण करते हैं। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, स्वतः प्रारंभ एप्लीकेशन, सिस्टम कॉन्फ़िगरेशन संस्थापन और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं। | ||
विंडोज डिफ़ेंडर में स्थापित | विंडोज डिफ़ेंडर में स्थापित एक्टिवेक्स एप्लीकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें [[माइक्रोसॉफ्ट स्पाइनेट]] नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संचार करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लीकेशन स्वीकार्य हैं। | ||
== डिवाइस स्थापना नियंत्रण == | == डिवाइस स्थापना नियंत्रण == | ||
विंडोज विस्टा व्यवस्थापकों को [[समूह नीति]] के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, | विंडोज विस्टा व्यवस्थापकों को [[समूह नीति|समूह युक्ति]] के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, उपकरण की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की श्रेणी तक अभिगम्य को प्रतिबंधित किया जा सके।<ref name="GPGuide">{{cite web |url=http://msdn.microsoft.com/en-us/library/bb530324.aspx |title=समूह नीति का उपयोग करके डिवाइस स्थापना को नियंत्रित करने के लिए चरण-दर-चरण मार्गदर्शिका|publisher=[[Microsoft]]|website = [[MSDN]]}}</ref><ref name="GPMagazine">{{cite web |url=https://technet.microsoft.com/en-us/magazine/2007.06.grouppolicy.aspx |title=समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों का प्रबंधन|publisher=[[Microsoft]]|website = [[TechNet Magazine]]}}</ref> | ||
== | == पैरेंटल (अभिभावकीय) का नियंत्रण == | ||
[[Image:Windows Vista Parental Controls.PNG|thumb|right|248x248px|डेनिएल मानक उपयोगकर्ता खाते को प्रतिबंधित करने के लिए सुविधाओं को प्रदर्शित करने वाला विंडोज विस्टा का अभिभावकीय नियंत्रण]]विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की | [[Image:Windows Vista Parental Controls.PNG|thumb|right|248x248px|डेनिएल मानक उपयोगकर्ता खाते को प्रतिबंधित करने के लिए सुविधाओं को प्रदर्शित करने वाला विंडोज विस्टा का अभिभावकीय नियंत्रण]]विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की संरक्षण और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए पैरेंटल के नियंत्रण की एक श्रेणी सम्मिलित है जो विंडोज सर्वर डोमेन का भाग नहीं हैं; उपयोगकर्ता अकाउंट (खाता) नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए [[विनसॉक]] [[स्तरित सेवा प्रदाता]] फ़िल्टर के रूप में प्रयुक्त किया गया—जो वस्तु की श्रेणियों या विशिष्ट एड्रैस के आधार पर वेबसाइटों तक अभिगम्य को प्रतिबंधित करता है सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ; समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है; गेम प्रतिबंध, जो प्रशासकों को [[एंटरटेनमेंट सॉफ्टवेयर रेटिंग बोर्ड|मनोरंजन सॉफ़्टवेयर रेटिंग बोर्ड]] जैसे [[वीडियो गेम सामग्री रेटिंग प्रणाली|वीडियो गेम प्रकरण रेटिंग प्रणाली]] द्वारा परिभाषित नाम, वस्तु, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन सामान्य भाषा वाले ''E10+'' गेम अभी भी ब्लॉक किए जाएंगे यदि सामान्य भाषा स्वयं ब्लॉक की गई है; प्लिकेशन प्रतिबंध, जो विशिष्ट एप्लीकेशन के लिए एप्लीकेशन व्हाइटलिस्ट (श्वेतसूची) का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर दृष्टि रखता है और रिकॉर्ड करता है। | ||
विंडोज [[माता पिता द्वारा नियंत्रण]] में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] ( | विंडोज [[माता पिता द्वारा नियंत्रण|पैरेंटल द्वारा नियंत्रण]] में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए [[अप्लिकेशन प्रोग्रामिंग अंतरफलक|एप्लीकेशन प्रोग्रामिंग इंटरफेस]] (एप्लिकेशन प्रोग्राम इंटरफ़ेस) के साथ विकल्पों का एक प्रसारणीय सेट सम्मिलित है। | ||
== | == सुरक्षा कार्यात्मकता का समुपयोजन == | ||
विंडोज विस्टा | विंडोज विस्टा मेमोरी में यादृच्छिक एड्रैस पर प्रणाली फ़ाइलों को लोड करने के लिए [[एड्रेस स्पेस लेआउट रेंडमाइजेशन|एड्रेस स्थान लेआउट यादृच्छिकरण]] (एएसएलआर) का उपयोग करता है।<ref name="ASLRVista">{{cite web |url=http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx |title=विंडोज विस्टा में एड्रेस स्पेस लेआउट रेंडमाइजेशन|last=Howard |first=Michael |date=May 26, 2006 |publisher=[[Microsoft]] |work=[[Microsoft Developer Network|MSDN]] |archive-url=https://web.archive.org/web/20060529215417/http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx |archive-date=May 29, 2006 |access-date=March 20, 2023}}</ref> डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर अच्छे तरीके से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में आंशिक स्थापित करना होता है, जो एड्रेस स्थान लेआउट यादृच्छिकरण का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल ([[पोर्टेबल निष्पादन योग्य|निष्पादन योग्य]]) के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, स्टैक और हीप यादृच्छिक रूप से निर्धारित किया जाता है। रैंडम एड्रैस पर सिस्टम फ़ाइलों को लोड करने से, मेलिसियस कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह [[रिटर्न-टू-एलआईबीसी|एलआईबीसी]] पर वापस जाने पर [[ बफ़र अधिकता |बफर ओवरफ्लो]] आक्षेपों को रोककर अधिकांश दूरस्थ कार्यान्वयन आक्षेपों को रोकने में सहायता करता है। | ||
हैडर में आक्षेप प्रबंधन हैंडलर एड्रैस के अन्तः स्थापित करने का समर्थन करने के लिए [[पोर्टेबल निष्पादन योग्य]] प्रारूप को अपडेट किया गया है। जब भी कोई आक्षेप निर्दिष्ट किया जाता है, हैंडलर का एड्रैस निष्पादन योग्य हैडर में संग्रहीत एड्रैस से सत्यापित किया जाता है। यदि वे समान नहीं हैं, तो आक्षेप को नियंत्रित किया जाता है, अन्यथा यह प्रदर्शित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है। | |||
फंक्शन पॉइंटर्स को एक्सओआर-आईएनजी द्वारा एक यादृच्छिक संख्या के साथ भ्रमित किया जाता है, जिससे कि वास्तविक एड्रैस को पुनः प्राप्त करना कठिन हो जाता है। इसलिए एक पॉइंटर को मैन्युअल रूप से परिवर्तित करना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ एक्सओआर-एड हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए जाँच योग बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप विकृती का पता लगाने के लिए किया जाता है। जब भी हीप विकृती का पता चलता है, तो समुपयोजन के सफल समापन को रोकने के लिए एप्लीकेशन को नष्ट कर दिया जाता है। | |||
विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका | विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका समुपयोजन जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और गैर- बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मानकों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में समुपयोजन करने के लिए, उन स्थानों तक अभिगम्य प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम सामान्य हैं। | ||
=== | === एप्लीकेशन वियोजन === | ||
{{Main| | {{Main|अनिवार्य सत्यनिष्ठा नियंत्रण और उपयोगकर्ता इंटरफ़ेस विशेषाधिकार वियोजन}} | ||
=== डेटा | विंडोज विस्टा प्रक्रियाओं के लिए समाग्रता स्तर निर्धारित करने के लिए अनिवार्य समाग्रता नियंत्रण प्रस्तुत करता है। एक कम समाग्रता प्रक्रिया उच्च समाग्रता प्रक्रिया के संसाधनों तक अभिगम्य नहीं कर सकती है। इस सुविधा का उपयोग एप्लीकेशन वियोजन को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम समाग्रता स्तर में एप्लीकेशन, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी एप्लीकेशन सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च समाग्रता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड एप्लीकेशन विंडोज [[इंटरनेट एक्सप्लोरर 7]] या [[इंटरनेट एक्सप्लोरर 8]] जैसी कम समाग्रता प्रक्रियाओं पर हुक कर सकते हैं। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो नियंत्रण सत्यापन को निष्पादित नहीं कर सकती है, संदेश या पोस्टमेसेज को उच्च विशेषाधिकार एप्लीकेशन विंडो में नहीं प्रेषित कर सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है, उच्च विशेषाधिकार प्रक्रिया की संरक्षण के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए डीएलएल-इंजेक्शन नहीं कर सकता है। | ||
=== डेटा कार्यान्वयन प्रतिबंध === | |||
{{Main|Data Execution Prevention}} | {{Main|Data Execution Prevention}} | ||
विंडोज़ विस्टा आधुनिक प्रोसेसरों की [[एनएक्स बिट]] (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।<ref>{{Cite web |url=http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |title=Windows Vista में सुरक्षा प्रगति|access-date=2007-04-10 |archive-url=https://web.archive.org/web/20070411014034/http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |archive-date=2007-04-11 |url-status=dead }}</ref> | विंडोज़ विस्टा आधुनिक प्रोसेसरों की [[एनएक्स बिट]] (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।<ref>{{Cite web |url=http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |title=Windows Vista में सुरक्षा प्रगति|access-date=2007-04-10 |archive-url=https://web.archive.org/web/20070411014034/http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |archive-date=2007-04-11 |url-status=dead }}</ref> डेटा कार्यान्वयन प्रतिबंध को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 2 और विंडोज सर्वर 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। [[AMD|एएमडी]] के [[AMD64|एएमडी64]] प्रोसेसर में एनएक्स (ईवीपी) के रूप में और [[Intel|इंटेल]] के प्रोसेसर में एक्सडी (ईडीबी) के रूप में सम्मिलित यह सुविधा, मेमोरी के कुछ भागों को इसके अतिरिक्त डेटा युक्त के रूप में फ़्लैग (चिन्हित) कर सकती है। निष्पादन योग्य कोड का, जो ओवेरफ़्लो त्रुटियों को यादृच्छिक कोड कार्यान्वयन के परिणामस्वरूप प्रतिबंध करता है। | ||
यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे | यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे स्टैक और हीप) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह समुपयोजन कोड को डेटा के रूप में अन्तः क्षिप्त करने और फिर निष्पादित होने से रोकता है। | ||
यदि डीईपी सभी | यदि डीईपी सभी एप्लीकेशन के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के समुपयोजन के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लीकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी आक्षेप उत्पन्न करेंगे। इसलिए, डेटा कार्यान्वयन प्रतिबंध को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी एप्लीकेशन के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए सक्रिय किया जाता है। हालांकि, विंडोज विस्टा अतिरिक्त एनएक्स युक्ति नियंत्रण प्रस्तुत करता है जो सॉफ्टवेयर विकासक को सिस्टम-विस्तृत संगतता प्रयुक्त सेटिंग्स से स्वतंत्र अपने कोड के लिए एनएक्स हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है। विकासक अपने एप्लीकेशन को निर्मित होने पर एनएक्स-अनुवर्ती के रूप में चिह्नित कर सकते हैं, जो उस एप्लीकेशन के इंस्टॉल होने और संचालन पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारितंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता युक्ति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। एक्स86-64 एप्लीकेशन के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से डेटा कार्यान्वयन प्रतिबंध को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के एक्स86-64 संस्करणों में केवल प्रोसेसर-प्रबलित डेटा कार्यान्वयन प्रतिबंध का उपयोग किया जाता है। | ||
== डिजिटल अधिकार प्रबंधन == | == डिजिटल अधिकार प्रबंधन == | ||
{{Main| | {{Main|संरक्षित मीडिया पथ}} | ||
डिजिटल | |||
* प्यूमा: | डिजिटल वस्तु प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से संरक्षित करने में सहायता करने के लिए विंडोज विस्टा में नए [[डिजिटल अधिकार प्रबंधन]] और वस्तु-सुरक्षा सुविधाओं को प्रस्तुत किया गया है। | ||
* प्यूमा: संरक्षित उपयोगकर्ता मोड ऑडियो (प्यूमा) नया उपयोगकर्ता मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित वस्तु के प्रकाशक द्वारा स्वीकृत करने के लिए प्रतिबंधित करता है।<ref name="outputprotect">{{cite web | |||
|url=http://www.microsoft.com/whdc/device/stream/output_protect.mspx | |url=http://www.microsoft.com/whdc/device/stream/output_protect.mspx | ||
|title=Output Content Protection and Windows Vista | |title=Output Content Protection and Windows Vista | ||
Line 105: | Line 107: | ||
|archiveurl = https://web.archive.org/web/20050806003503/http://www.microsoft.com/whdc/device/stream/output_protect.mspx |archivedate = 6 August 2005 | |archiveurl = https://web.archive.org/web/20050806003503/http://www.microsoft.com/whdc/device/stream/output_protect.mspx |archivedate = 6 August 2005 | ||
}}</ref> | }}</ref> | ||
*[[पीवीपी-ओपीएम]] | *[[पीवीपी-ओपीएम|पीवीपी (]]संरक्षित वीडियो पथ) - आउटपुट सुरक्षा प्रबंधन (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की कॉपी करने को प्रतिबंधित करती है, या वीडियो उपकरणों पर उनके प्रदर्शन को प्रतिबंधित करती है जिसमें समकक्ष कॉपी सुरक्षा (सामान्य रूप से [[एचडीसीपी]]) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना वस्तु उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से अस्वीकृति करके पीसी को कॉपीराइट वस्तु सक्रिय करने से प्रतिबंधित कर सकता है।<ref name="outputprotect"/> | ||
*[[Windows Rights Management Services|विंडोज | *संरक्षित वीडियो पथ - उपयोगकर्ता-अभिगम्य योग्य बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, इसके अतिरिक्त कि यह [[पीसीआई एक्सप्रेस]] बस पर संरक्षित वस्तु के एन्क्रिप्शन को प्रयुक्त करता है। | ||
* विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,<ref>[http://www.microsoft.com/whdc/system/vista/process_Vista.mspx Protected Processes in Windows Vista]</ref> जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में | *[[Windows Rights Management Services|विंडोज अधिकार प्रबंधन]] सेवा (आरएमएस) समर्थन, एक ऐसी तकनीक जो निगमों को निगमित दस्तावेज़ों, ईमेल और इंट्रानेट पर डीआरएम-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक कि ऐसे लोगों द्वारा खोले जाने से भी संरक्षित किया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं। | ||
* विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,<ref>[http://www.microsoft.com/whdc/system/vista/process_Vista.mspx Protected Processes in Windows Vista]</ref> जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में कुशलता पूर्वक प्रयोग नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक अभिगम बढ़ा दी है। हालाँकि, वर्तमान में, केवल [[संरक्षित वीडियो पथ]] का उपयोग करने वाले एप्लीकेशन ही संरक्षित प्रक्रियाएँ बना सकते हैं। | |||
नई डिजिटल | नई डिजिटल अधिकार प्रबंधन सुविधाओं को सम्मिलित करना विंडोज विस्टा की विवेचना का एक स्रोत रहा है। | ||
== विंडोज सर्विस हार्डनिंग == | == विंडोज सर्विस हार्डनिंग == | ||
विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से | विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से सहमति की जाती है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से आक्षेप नहीं कर सकता है। यह विंडोज सेवाओं को फाइल प्रणाली, रजिस्ट्री या नेटवर्क पर संचालन करने से प्रतिबंधित करता है<ref>{{cite web | ||
|url=http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx#EEF | |url=http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx#EEF | ||
|title=Windows Vista Security and Data Protection Improvements – Windows Service Hardening | |title=Windows Vista Security and Data Protection Improvements – Windows Service Hardening | ||
Line 119: | Line 122: | ||
|work=TechNet | |work=TechNet | ||
|publisher=Microsoft | |publisher=Microsoft | ||
}}</ref> जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र [[हमले की सतह]] कम हो | }}</ref> जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र [[हमले की सतह|आक्षेप]] कम हो जाता है और [[विंडोज़ सेवा]] का लाभ उठाकर मैलवेयर के प्रवेश को प्रतिबंधित किया जा सकता है। सेवाओं को एक प्रति-सेवा [[सुरक्षा पहचानकर्ता]] (एसआईडी) नियुक्त किया गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट अभिगम्य के अनुसार सेवा तक अभिगम्य को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय चेंजसर्विसकॉन्फिग2 एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से माध्यम से या सिडटाइप क्रिया के साथ <code>[[sc (command)|SC.EXE]]</code> कमांड का उपयोग करके एक प्रति-सेवा एसआईडी निर्दिष्ट किया जा सकता है।। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी अभिगम्य को रोकने के लिए [[ कंट्रोल सूची को खोलो |अभिगम्य नियंत्रण सूची]] (एसीएल) का भी उपयोग कर सकती हैं। | ||
विंडोज विस्टा में सेवाएँ सिस्टम खाते के | विंडोज विस्टा में सेवाएँ सिस्टम खाते के अतिरिक्त कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी सक्रिय हैं। विंडोज़ के पूर्व संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा संचालित की है। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं।<ref name="sessionisolation">[http://www.microsoft.com/whdc/system/vista/services.mspx Impact of Session 0 Isolation on Services and Drivers in Windows Vista] covers Windows Vista's session isolation changes.</ref> इसका उद्देश्य विंडोज संदेश-प्रेषण सिस्टम के समुपयोजन के एक वर्ग को कम करने में सहायता करना है, जिसे शैटर आक्षेप के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल एचकेएलएम\सिस्टम\करंटकंट्रोलसेट\सर्विसेज के अंतर्गत आवश्यक-विशेषाधिकार रजिस्ट्री (पंजीकृत) मान में निर्दिष्ट विशेषाधिकार होते हैं। | ||
सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन | सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन स्वीकृतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित अभिगम्य टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल युक्ति भी होगी, जो इसे सही से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को दृढ़ बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से प्रतिबंधित करने के लिए एमएसआरपीसी सर्वरों द्वारा उपयोग किए जाने वाले [[नामित पाइप]] को भी दृढ़ बनाता है। | ||
== प्रमाणीकरण और लॉगऑन == | == प्रमाणीकरण और लॉगऑन == | ||
{{Main| | {{Main|विनलॉगन}} | ||
[[ चित्रमय पहचान और प्रमाणीकरण ]] ( | [[ चित्रमय पहचान और प्रमाणीकरण | चित्रमय पहचान और प्रमाणीकरण]] (जीआईएनए), सुरक्षित प्रमाणीकरण और परस्पर संवादात्मक लॉगऑन के लिए उपयोग किया जाता है, इसे क्रेडेंशियल (प्रमाणपत्र) प्रदाता द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ क्रेडेंशियल प्रदाता ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं ताकि उपयोगकर्ताओं को बायोमेट्रिक (जीवमिति) उपकरण (फिंगरप्रिंट, रेटिनल, या ध्वनि पहचान) पासवर्ड, पिन और स्मार्ट कार्ड सर्टिफिकेट या किसी भी कस्टम प्रमाणीकरण पैकेज और स्कीमा के माध्यम से लॉग ऑन करने में सक्षम बनाया जा सके। स्मार्ट कार्ड प्रमाणीकरण उपयोगी होता है क्योंकि प्रमाणपत्र आवश्यकताओं में छूट दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को [[केवल हस्ताक्षर के ऊपर|एकल साइन ऑन]] (एसएसओ) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित [[ नेटवर्क एक्सेस प्वाइंट |नेटवर्क अभिगम बिन्दु]] ([[RADIUS|दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा]] और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लीकेशन-विशिष्ट क्रेडेंशियल संग्रहण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण आईपीवी6 या [[वेब सेवा]]ओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, क्रेडएसएसपी सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लीकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड एसएसपी का उपयोग करके) लक्ष्य सर्वर (सर्वर-पक्ष एसएसपी के माध्यम से) को निर्दिष्ट करने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा एकल साइन-ऑन प्रदान करने के लिए भी किया जाता है। | ||
विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा [[फ़ाइल सिस्टम को एन्क्रिप्ट करना]] कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक | विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा [[फ़ाइल सिस्टम को एन्क्रिप्ट करना]] कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक अभिगम्य योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है। | ||
[[ तेज़ उपयोगकर्ता स्विचिंग ]] जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में [[Windows Server 2008|विंडोज | [[ तेज़ उपयोगकर्ता स्विचिंग | तेज़ उपयोगकर्ता स्विचिंग]] जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में [[Windows Server 2008|विंडोज सर्वर 2008]] में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है। | ||
== क्रिप्टोग्राफी == | == क्रिप्टोग्राफी == | ||
{{Main| | {{Main|क्रिप्टोग्राफिक एपीआई}} | ||
विंडोज विस्टा क्रिप्टो | |||
विंडोज विस्टा क्रिप्टो एप्लिकेशन प्रोग्राम इंटरफ़ेस के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एप्लिकेशन प्रोग्राम इंटरफ़ेस: अगली पीढ़ी (सीएनजी) के रूप में जाना जाता है। [[सीएनजी एपीआई|सीएनजी एप्लिकेशन प्रोग्राम इंटरफ़ेस]] एक [[उपयोगकर्ता मोड]] और [[कर्नेल मोड]] एप्लिकेशन प्रोग्राम इंटरफ़ेस है जिसमें दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो [[राष्ट्रीय सुरक्षा एजेंसी]] (एनएसए) [http://www.nsa.gov/ia /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी] का भाग हैं। यह प्रसारणीय है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एप्लिकेशन प्रोग्राम इंटरफ़ेस प्लगिंग के लिए समर्थन सम्मिलित है। यह आधार [[ क्रिप्टोग्राफिक सेवा प्रदाता |क्रिप्टोग्राफिक सेवा प्रदाता]] मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड उप-प्रणाली के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक फ़ंक्शन को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण विशेषज्ञ कंप्यूटर कोर्स प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट विशेषज्ञ कंप्यूटर कोर्स और एसएचए-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है। | |||
निरसन संशोधन में [[ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल]] ( | निरसन संशोधन में [[ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल]] (ओसीएसपी) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और सीएपीआई2 डायग्नोस्टिक प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। प्रमाणपत्र नामांकन, एक नया सीओएम-आधारित नामांकन एप्लिकेशन प्रोग्राम इंटरफ़ेस उपयुक्त प्रोग्राम-योग्यता के लिए एक्सएनरोल लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी युग्म, प्रमाणपत्र और क्रेडेंशियल्स को पुनरावृत्ति करता हैं। | ||
== मेटाडेटा हटाना == | == मेटाडेटा हटाना == | ||
गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी [[गोपनीयता]] की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर | गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी [[गोपनीयता]] की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर विकासक के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।<ref>[https://www.digitalconfidence.com/Remove-Properties-and-Personal-Information-a-Misleading-Feature.html Remove Properties and Personal Information: A Misleading Feature!]</ref> | ||
== नेटवर्क अभिगम्य सुरक्षा == | |||
{{Main|नेटवर्क अभिगम्य सुरक्षा}} | |||
विंडोज विस्टा ने नेटवर्क अभिगम्य सुरक्षा (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित युक्ति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और अभिगम्य प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक अभिगम्य की स्वीकृति दी जाएगी, या पूरी तरह से अभिगम्य से अस्वीकृत कर दिया जाएगा। नेटवर्क अभिगम्य सुरक्षा वैकल्पिक रूप से एक गैर-अनुवर्ती वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप क्लाइंट को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है। | |||
विंडोज विस्टा ने नेटवर्क | |||
विंडोज | विंडोज सर्वर 2008 सक्रिय करने वाला एक नेटवर्क युक्ति सर्वर स्वास्थ्य युक्ति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक [[वीपीएन]] सर्वर, रेडियस सर्वर या [[डीएचसीपी]] सर्वर भी स्वास्थ्य योजना सर्वर के रूप में कार्य कर सकता है। | ||
== अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं == | == अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं == | ||
* | * टीसीपी/आईपी सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज फ़िल्टरिंग प्लेटफ़ॉर्म (डब्ल्यूएफपी) के रूप में ज्ञात एक नए रूपरेखा से बदल दिया गया है। डब्ल्यूएफपी टीसीपी/आईपी प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। डब्ल्यूएफपी स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और एप्लीकेशन का निर्माण करना आसान है, जिन्हें टीसीपी/आईपी ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए। | ||
* किसी नेटवर्क पर डेटा स्थानांतरित करते समय | * किसी नेटवर्क पर डेटा स्थानांतरित करते समय अधिकतम सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट दीर्घवृत्तीय वक्र डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट [[उच्च एन्क्रिप्शन मानक]] (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें करबरोस प्रोटोकॉल और सामान्य सुरक्षा सेवा एप्लीकेशन प्रोग्राम इंटरफ़ेस सम्मिलित है। नए विंसॉक एपीआई में एसएसएल और टीएलएस संपर्क के लिए प्रत्यक्ष समर्थन सॉकेट एप्लीकेशन को एक सुरक्षित संपर्क का समर्थन करने के लिए अतिरिक्त कोड जोड़ने के अतिरिक्त एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है जैसे सुरक्षा नीति और ट्रैफ़िक जांच सुरक्षा संस्थापन प्रदान करना। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर [[सक्रिय निर्देशिका]] डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का भाग हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, और डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। तथापि अन्य प्रणालियाँ भौतिक रूप से समान नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का भाग हो सकता है। स्कनेल [[सुरक्षा सेवा प्रदाता]] में नए सिफर सुइट्स सम्मिलित हैं जो [[अण्डाकार वक्र क्रिप्टोग्राफी|दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी]] का समर्थन करते हैं, इसलिए विशेषज्ञ कंप्यूटर कोर्स सिफर सूट को मानक टीएलएस हैंडशेक के भाग के रूप में परस्पर क्रिया की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यात्मकता को प्रतिस्थापित कर सकते हैं। | ||
* | * इंटरनेट प्रोटोकॉल सुरक्षा अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और अधिकतम प्रमाणीकरण प्रदान करता है। इंटरनेट प्रोटोकॉल सुरक्षा आईपीवी6 का समर्थन करता है, जिसमें [[इंटरनेट कुंजी विनिमय]] (आइक), [[AuthIP|प्रमाणित इंटरनेट प्रोटोकॉल]] और डेटा एन्क्रिप्शन, क्लाइंट-से-[[ डोमेन नियंत्रक | डोमेन नियंत्रक]] सुरक्षा, नेटवर्क अभिगम्य सुरक्षा और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क समर्थन के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और नियोजित क्षमता बढ़ाने के लिए, विंडोज विस्टा में प्रमाणित इंटरनेट प्रोटोकॉल सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि परस्पर क्रिया और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।<ref>[http://www.microsoft.com/technet/community/columns/cableguy/cg0806.mspx AuthIP in Windows Vista]</ref> | ||
* | * 802.11i (वाई-फाई संरक्षित एक्सेस2) जैसे नए वायरलेस मानकों के लिए अधिकतम समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। प्रसारणीय प्रमाणीकरण प्रोटोकॉल अभिगमन स्तर सुरक्षा (ईएपी-टीएलएस) डिफ़ॉल्ट प्रमाणीकरण मोड है। संपर्क वायरलेस अभिगम बिन्दु द्वारा समर्थित सबसे सुरक्षित संपर्क स्तर पर बनाए जाते हैं। वाई-फाई संरक्षित अभिगम्य2 का उपयोग अनौपचारिक मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए एकल साइन-ऑन का उपयोग कर सकता है।<ref>[http://www.microsoft.com/technet/technetmag/issues/2007/11/CableGuy/?loc=en&rss=http://www.microsoft.com/technet/technetmag/issues/2007/11/CableGuy/?loc=en The Cable Guy: Wireless Single Sign-On]</ref> इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए एमएस-सीएचएपी वी2 प्रमाणीकरण दोनों के लिए समान दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई अभिगम्य नहीं है। मशीन एक स्क्रिप्ट संचलित करती है, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। वेरीसाइन जैसे सार्वजनिक कुंजी आधारिक संरचना (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है। | ||
* विंडोज विस्टा में | * विंडोज विस्टा में संरक्षित [[एक्स्टेंसिबल प्रमाणीकरण प्रोटोकॉल|प्रसारणीय प्रमाणीकरण प्रोटोकॉल]] होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क अभिगम्य तकनीकों जैसे 802.1X और पीपीपी के लिए प्रमाणीकरण विधियों के लिए प्रसारण क्षमता प्रदान करती है।<ref>[http://www.microsoft.com/technet/technetmag/issues/2007/05/cableguy/default.aspx EAPHost in Windows]</ref> यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है। | ||
* विंडोज विस्टा [[पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल]] के साथ संरक्षित | * विंडोज विस्टा [[पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल]] के साथ संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र पीईएपीवी0/ईएपी-एमएससीएपीवी2 (पासवर्ड) और पीईएपी-टीएलएस (स्मार्टकार्ड और प्रमाणपत्र) हैं। | ||
* | * विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल, एक नया माइक्रोसॉफ्ट स्वामित्व वीपीएन प्रोटोकॉल सम्मिलित है जो एसएसएल चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को अभिगमन करने के लिए एक तंत्र प्रदान करता है। | ||
== | ==एक्स86-64-विशिष्ट विशेषताएं == | ||
* विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा | * विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध (डीईपी) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित आक्षेप नियंत्रण है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, डेटा कार्यान्वयन प्रतिबंध, डिफ़ॉल्ट रूप से, सभी 64-बिट एप्लीकेशन और सेवाओं के लिए एक्स86-64 संस्करणों और उन 32-बिट एप्लीकेशन के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित डेटा कार्यान्वयन प्रतिबंध एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक प्रणाली घटकों के लिए सक्षम है। | ||
* | * उन्नत [[कर्नेल पैच सुरक्षा]], जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड एप्लीकेशन से स्वयं को छिपाने के लिए रूटकिट द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है।<ref>{{cite web | ||
|url=http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/11/695993.aspx | |url=http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/11/695993.aspx | ||
|title=An Introduction to Kernel Patch Protection | |title=An Introduction to Kernel Patch Protection | ||
Line 169: | Line 174: | ||
|work=Windows Vista Security blog | |work=Windows Vista Security blog | ||
|publisher=MSDN Blogs | |publisher=MSDN Blogs | ||
}}</ref> पैचगार्ड को पहली बार विंडोज | }}</ref> पैचगार्ड को पहली बार विंडोज सर्वर 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज एक्सट्रीम प्रोग्रामिंग व्यावसायिक x64 संस्करण में सम्मिलित किया गया था। | ||
* विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से | * विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से साइनअप होना चाहिए; यहां तक कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे।<ref name="kmsigning">{{cite web | ||
|url=http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx | |url=http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx | ||
|title=Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista | |title=Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista | ||
Line 177: | Line 182: | ||
|work=WHDC | |work=WHDC | ||
|publisher=Microsoft | |publisher=Microsoft | ||
|archiveurl = https://web.archive.org/web/20060412070444/http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx <!-- Bot retrieved archive --> |archive-date = April 12, 2006}}</ref> विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट | |archiveurl = https://web.archive.org/web/20060412070444/http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx <!-- Bot retrieved archive --> |archive-date = April 12, 2006}}</ref> विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट समय विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है। | ||
* कोड | * कोड प्रामाणिकता जांच-योग साइन कोड है। सिस्टम बाइनरी लोड करने से पहले, यह सुनिश्चित करने के लिए जांच योग के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट भारक कर्नेल की प्रामाणिकता, हार्डवेयर अमूर्त परत (एचएएल) और बूट-प्रारंभ ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्थान के अतिरिक्त, कोड प्रामाणिकता बाइनरी को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित गतिशील लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है। | ||
== अन्य विशेषताएं और परिवर्तन == | == अन्य विशेषताएं और परिवर्तन == | ||
सुरक्षा और विश्वसनीयता में कई विशिष्ट परिवर्तन किए गए हैं: | |||
* एलएसए | * एलएसए गुप्ततः (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा युक्ति, ऑडिटिंग आदि) को संग्रहीत करने के लिए प्रबल एन्क्रिप्शन का उपयोग किया जाता है।<ref>[http://www.passcape.com/index.php?section=docsys&cmd=details&id=23 Windows LSA Secrets]</ref> | ||
* विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए | * विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए विद्युत और इलेक्ट्रॉनिक्स इंजीनियर्स संस्थान 1667 प्रमाणीकरण मानक के लिए समर्थन करता है।<ref>[http://support.microsoft.com/kb/981319 An update is available that enables the support of Enhanced Storage devices in Windows Vista and in Windows Server 2008]</ref> | ||
* करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए | * करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अपडेट किया गया है।<ref>[https://technet.microsoft.com/en-us/library/cc749438(WS.10).aspx Kerberos Enhancements in Windows Vista: MSDN]</ref> स्कनेल एसएसपी में प्रबल एईएस एन्क्रिप्शन और दीर्घवृत्तीय वक्र क्रिप्टोग्राफी समर्थन करता है।<ref>[https://technet.microsoft.com/en-us/library/cc766285(WS.10).aspx TLS/SSL Cryptographic Enhancements in Windows Vista]</ref> | ||
* विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।<ref>[https://technet.microsoft.com/en-us/windowsvista/aa940985.aspx Using Software Restriction Policies to Protect Against Unauthorized Software]</ref> मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के | * विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।<ref>[https://technet.microsoft.com/en-us/windowsvista/aa940985.aspx Using Software Restriction Policies to Protect Against Unauthorized Software]</ref> मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के अतिरिक्त डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] नियम एल्गोरिथ्म को [[MD5|एमडी5]] से प्रबल [[SHA256|एसएचA256]] में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संचार बॉक्स के माध्यम से सक्षम किए जा सकते हैं। | ||
* विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है | * विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है C ड्राइव पर दायें-क्लिक करना और प्रारूप चयन करना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड संकेत पर प्राप्त होगा एक संदेश है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू वस्तु संशोधन अपने कंप्यूटर उन्नत सिस्टम पुनः स्थापन विकल्प को कंप्यूटर सक्रिय करने पर F8 दबाकर चयन करना चाहिए। | ||
* अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को | * अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अपडेट किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, फिर एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड वस्तु को [[विंडोज सर्च|विंडोज खोज]] द्वारा अनुक्रमित किया जा सकता है या नहीं किया जा सकता है। | ||
* संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है। | * संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है। | ||
* समूह | * समूह युक्ति में एक नई युक्ति सेटिंग अंतिम सफल परस्पर क्रिया लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पूर्व सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या है। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं था। युक्ति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है। | ||
* [[ विंडोज संसाधन संरक्षण ]] संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को | * [[ विंडोज संसाधन संरक्षण | विंडोज संसाधन संरक्षण]] संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को प्रतिबंधित करता है,<ref>[http://www.microsoft.com/technet/windowsvista/evaluate/feat/mngfeat.mspx Windows Vista Management features]</ref> [[विंडोज इंस्टालर]] के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को प्रतिबंधित करता है। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं। | ||
* संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल | * संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल नियंत्रण सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के विपरीत सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम प्रामाणिकता प्रक्रिया के रूप में संचलित हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक अभिगम्य प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को मेलिसियस वस्तु और सुरक्षा दुर्बलताओ से संरक्षित करते हैं, यहां तक कि एक्टिवेक्स नियंत्रणों में भी संरक्षित किया जाता है। इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (पीस्टोर) के अतिरिक्त पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एप्लिकेशन प्रोग्राम इंटरफ़ेस (डीपीएपीआई) का उपयोग करें। | ||
* विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता | * विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण है। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले पोर्ट और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के संपर्क के लिए उस सेटिंग को मेमोरी मे रखता है। | ||
* [[यूजर-मोड ड्राइवर फ्रेमवर्क]] ड्राइवरों को सीधे कर्नेल तक पहुंचने से | * [[यूजर-मोड ड्राइवर फ्रेमवर्क|उपयोगकर्ता-मोड ड्राइवर फ्रेमवर्क]] ड्राइवरों को सीधे कर्नेल तक पहुंचने से प्रतिबंधित करता है, लेकिन इसके अतिरिक्त इसे एक समर्पित एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से अभिगम्य करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुपयुक्त तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।<ref>{{cite web | author=CNET.com| year=2007| title=विंडोज विस्टा अल्टीमेट रिव्यू| url=http://reviews.cnet.com/Windows_Vista_Ultimate/4505-3672_7-32013603.html | accessdate = 2007-01-31}}</ref> | ||
* | * प्रति-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की संरक्षण और पुनर्स्थापित करने के लिए [[विंडोज सुरक्षा केंद्र]] को अपग्रेड किया गया है। प्रति-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ [[Windows API|विंडोज एप्लिकेशन प्रोग्राम इंटरफ़ेस]] कॉल को जोड़ा गया है ताकि एप्लीकेशन को विंडोज सुरक्षा केंद्र से समग्र हानि रहित स्थिति पुनर्प्राप्त करने और हानि रहित स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके। | ||
* संरक्षित संग्रहण ( | * संरक्षित संग्रहण (पीस्टोर) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए संरक्षित संग्रहण डेटा वस्तु जोड़ने या सम्मिलित को प्रबंधित करने के लिए डीपीएपीआई का उपयोग करने की अनुशंसा करता है।<ref>{{Cite web |url=http://msdn2.microsoft.com/en-us/library/aa480152.aspx#appcomp_topic25 |title=SPAP मूल्यह्रास (PStore)|access-date=2007-04-17 |archive-url=https://web.archive.org/web/20080421122427/http://msdn2.microsoft.com/en-us/library/aa480152.aspx#appcomp_topic25 |archive-date=2008-04-21 |url-status=dead }}</ref> इंटरनेट एक्सप्लोरर 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए संरक्षित संग्रहण के अतिरिक्त डीपीएपीआई का उपयोग करते हैं। | ||
* विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता | * विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता हो, तब तक इसे [[सुरक्षित मोड]] से भी अभिगम्य नहीं किया जा सकता है। | ||
== यह भी देखें == | == यह भी देखें == | ||
Line 207: | Line 212: | ||
==बाहरी संबंध== | ==बाहरी संबंध== | ||
* [http://www.securityfocus.com/cgi-bin/index.cgi?c=12&op=display_list&vendor=Microsoft&title=Windows%20Vista Vista vulnerabilities] from [[SecurityFocus]] | * [http://www.securityfocus.com/cgi-bin/index.cgi?c=12&op=display_list&vendor=Microsoft&title=Windows%20Vista Vista vulnerabilities] from [[SecurityFocus]] | ||
[[Category: | [[Category:Articles with hatnote templates targeting a nonexistent page]] | ||
[[Category:Created On 11/05/2023]] | [[Category:Created On 11/05/2023]] | ||
[[Category:Lua-based templates]] | |||
[[Category:Machine Translated Page]] | |||
[[Category:Microsoft Windows सुरक्षा तकनीक]] | |||
[[Category:Pages with broken file links]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates that add a tracking category]] | |||
[[Category:Templates that generate short descriptions]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Windows Vista]] | |||
[[Category:माइक्रोसॉफ्ट सूचीबद्ध करता है]] | |||
[[Category:विंडोज विस्टा]] | |||
[[Category:सॉफ्टवेयर सुविधाएँ| विंडोज विस्टा]] |
Latest revision as of 11:21, 18 May 2023
Part of a series of articles on |
Windows Vista |
---|
New features |
Other articles |
विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।
2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र[1] को "डिजाइन द्वारा सुरक्षित, डिफ़ॉल्ट रूप से सुरक्षित, परिनियोजन में सुरक्षित" के अंतर्निहित नैतिकता के साथ स्वीकृत किया। विंडोज विस्टा के लिए नया कोड एसडीएल पद्धति के साथ विकसित किया गया था, और सभी सम्मिलित कोड की समीक्षा की गई और सुरक्षा में संशोधन के लिए पुन: सक्रिय किया गया।
कुछ विशिष्ट क्षेत्र जहां विंडोज विस्टा नई सुरक्षा और सुरक्षा तंत्र प्रस्तुत करता है, उनमें उपयोगकर्ता खाता नियंत्रण, अभिभावकीय नियंत्रण, नेटवर्क अभिगम्य सुरक्षा, एक अंतर्निहित मैलवेयर रोधी उपकरण और नई डिजिटल विषयवस्तु सुरक्षा तंत्र सम्मिलित हैं।
उपयोगकर्ता खाता नियंत्रण
उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लीकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।
यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लीकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लीकेशन में किरण केन्द्र (कंप्यूटिंग) नहीं है, तो इसका टास्कबार आइकन दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लीकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है।
चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लीकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लीकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।
इस धारणा के साथ लिखे गए एप्लीकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से एचकेई स्थानीय मशीन[2] यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लीकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा"
एन्क्रिप्शन
बिटलॉकर, जिसे पहले सिक्योर स्टार्टअप के नाम से जाना जाता था, यह सुविधा प्रणाली विस्तार के लिए पूर्ण डिस्क एन्क्रिप्शन प्रदान करती है। कमांड-लाइन उपयोगिता का उपयोग करके, अतिरिक्त विस्तार को एन्क्रिप्ट करना संभव है। बिटलॉकर अपनी एन्क्रिप्शन कुंजी को भंडारण करने के लिए टीसीजी विनिर्देशों के यूएसबी कुंजी या विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (टीपीएम) संस्करण 1.2 का उपयोग करता है। यह सुनिश्चित करता है कि विंडोज विस्टा सक्रिय करने वाला कंप्यूटर अच्छी स्थिति में प्रारंभ होता है, और यह डेटा को अनधिकृत अभिगम्य से भी संरक्षित करता है।[3] संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।
विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एप्लिकेशन प्रोग्राम इंटरफ़ेस, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है।[4][5] टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लीकेशन बनाना चाहते हैं।[6]
विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज सार्वजनिक आधारिक संरचना (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज सार्वजनिक आधारिक संरचना-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए स्मार्ट कार्ड की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है।
एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चयन किए गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है।
विंडोज फ़ायरवॉल
विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है[7] निगमित वातावरण में विंडोज फ़ायरवॉल के नम्यता के आसपास कई समस्याओ को दूर करने के लिए:
- आईपीवी 6 संपर्क फ़िल्टरिंग
- आउटबाउंड पैकेट फ़िल्टरिंग, स्पाइवेयर और कंप्यूटर वायरस के बारे में बढ़ती समस्याओ को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
- उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी एड्रैस और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
- पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चयन किए गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
- इंटरनेट प्रोटोकॉल सुरक्षा पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, करबरोस (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर संपर्क की स्वीकृति या संपर्क नहीं करने की स्वीकृति देता है। किसी भी प्रकार के संपर्क के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर इंटरनेट प्रोटोकॉल सुरक्षा नीतियों के जटिल कॉन्फ़िगरेशन को नियंत्रण करने वाले विज़ार्ड का उपयोग करके एक संपर्क सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक इंटरनेट प्रोटोकॉल सुरक्षा द्वारा सुरक्षित है या नहीं है।
- एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो इंटरनेट प्रोटोकॉल सुरक्षा कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक अभिगम्य प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
- जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता रखता है। सर्वर और डोमेन वियोजन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन करता है।
विंडोज डिफेंडर ( प्रतिरक्षक)
विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट एंटी-स्पाईवेयर' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए प्रणाली की स्कैनिंग की सुविधा है, बल्कि विक्रय में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें वास्तविक समय सुरक्षा कारक भी सम्मिलित हैं जो स्पाइवेयर के कारण होने वाले परिवर्तनों के लिए विंडोज़ के कई सामान्य क्षेत्रों की संरक्षण करते हैं। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, स्वतः प्रारंभ एप्लीकेशन, सिस्टम कॉन्फ़िगरेशन संस्थापन और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।
विंडोज डिफ़ेंडर में स्थापित एक्टिवेक्स एप्लीकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें माइक्रोसॉफ्ट स्पाइनेट नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संचार करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लीकेशन स्वीकार्य हैं।
डिवाइस स्थापना नियंत्रण
विंडोज विस्टा व्यवस्थापकों को समूह युक्ति के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, उपकरण की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की श्रेणी तक अभिगम्य को प्रतिबंधित किया जा सके।[8][9]
पैरेंटल (अभिभावकीय) का नियंत्रण
विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की संरक्षण और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए पैरेंटल के नियंत्रण की एक श्रेणी सम्मिलित है जो विंडोज सर्वर डोमेन का भाग नहीं हैं; उपयोगकर्ता अकाउंट (खाता) नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए विनसॉक स्तरित सेवा प्रदाता फ़िल्टर के रूप में प्रयुक्त किया गया—जो वस्तु की श्रेणियों या विशिष्ट एड्रैस के आधार पर वेबसाइटों तक अभिगम्य को प्रतिबंधित करता है सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ; समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है; गेम प्रतिबंध, जो प्रशासकों को मनोरंजन सॉफ़्टवेयर रेटिंग बोर्ड जैसे वीडियो गेम प्रकरण रेटिंग प्रणाली द्वारा परिभाषित नाम, वस्तु, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन सामान्य भाषा वाले E10+ गेम अभी भी ब्लॉक किए जाएंगे यदि सामान्य भाषा स्वयं ब्लॉक की गई है; प्लिकेशन प्रतिबंध, जो विशिष्ट एप्लीकेशन के लिए एप्लीकेशन व्हाइटलिस्ट (श्वेतसूची) का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर दृष्टि रखता है और रिकॉर्ड करता है।
विंडोज पैरेंटल द्वारा नियंत्रण में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए एप्लीकेशन प्रोग्रामिंग इंटरफेस (एप्लिकेशन प्रोग्राम इंटरफ़ेस) के साथ विकल्पों का एक प्रसारणीय सेट सम्मिलित है।
सुरक्षा कार्यात्मकता का समुपयोजन
विंडोज विस्टा मेमोरी में यादृच्छिक एड्रैस पर प्रणाली फ़ाइलों को लोड करने के लिए एड्रेस स्थान लेआउट यादृच्छिकरण (एएसएलआर) का उपयोग करता है।[10] डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर अच्छे तरीके से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में आंशिक स्थापित करना होता है, जो एड्रेस स्थान लेआउट यादृच्छिकरण का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल (निष्पादन योग्य) के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, स्टैक और हीप यादृच्छिक रूप से निर्धारित किया जाता है। रैंडम एड्रैस पर सिस्टम फ़ाइलों को लोड करने से, मेलिसियस कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह एलआईबीसी पर वापस जाने पर बफर ओवरफ्लो आक्षेपों को रोककर अधिकांश दूरस्थ कार्यान्वयन आक्षेपों को रोकने में सहायता करता है।
हैडर में आक्षेप प्रबंधन हैंडलर एड्रैस के अन्तः स्थापित करने का समर्थन करने के लिए पोर्टेबल निष्पादन योग्य प्रारूप को अपडेट किया गया है। जब भी कोई आक्षेप निर्दिष्ट किया जाता है, हैंडलर का एड्रैस निष्पादन योग्य हैडर में संग्रहीत एड्रैस से सत्यापित किया जाता है। यदि वे समान नहीं हैं, तो आक्षेप को नियंत्रित किया जाता है, अन्यथा यह प्रदर्शित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।
फंक्शन पॉइंटर्स को एक्सओआर-आईएनजी द्वारा एक यादृच्छिक संख्या के साथ भ्रमित किया जाता है, जिससे कि वास्तविक एड्रैस को पुनः प्राप्त करना कठिन हो जाता है। इसलिए एक पॉइंटर को मैन्युअल रूप से परिवर्तित करना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ एक्सओआर-एड हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए जाँच योग बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप विकृती का पता लगाने के लिए किया जाता है। जब भी हीप विकृती का पता चलता है, तो समुपयोजन के सफल समापन को रोकने के लिए एप्लीकेशन को नष्ट कर दिया जाता है।
विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका समुपयोजन जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और गैर- बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मानकों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में समुपयोजन करने के लिए, उन स्थानों तक अभिगम्य प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम सामान्य हैं।
एप्लीकेशन वियोजन
विंडोज विस्टा प्रक्रियाओं के लिए समाग्रता स्तर निर्धारित करने के लिए अनिवार्य समाग्रता नियंत्रण प्रस्तुत करता है। एक कम समाग्रता प्रक्रिया उच्च समाग्रता प्रक्रिया के संसाधनों तक अभिगम्य नहीं कर सकती है। इस सुविधा का उपयोग एप्लीकेशन वियोजन को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम समाग्रता स्तर में एप्लीकेशन, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी एप्लीकेशन सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च समाग्रता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड एप्लीकेशन विंडोज इंटरनेट एक्सप्लोरर 7 या इंटरनेट एक्सप्लोरर 8 जैसी कम समाग्रता प्रक्रियाओं पर हुक कर सकते हैं। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो नियंत्रण सत्यापन को निष्पादित नहीं कर सकती है, संदेश या पोस्टमेसेज को उच्च विशेषाधिकार एप्लीकेशन विंडो में नहीं प्रेषित कर सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है, उच्च विशेषाधिकार प्रक्रिया की संरक्षण के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए डीएलएल-इंजेक्शन नहीं कर सकता है।
डेटा कार्यान्वयन प्रतिबंध
विंडोज़ विस्टा आधुनिक प्रोसेसरों की एनएक्स बिट (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।[11] डेटा कार्यान्वयन प्रतिबंध को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 2 और विंडोज सर्वर 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। एएमडी के एएमडी64 प्रोसेसर में एनएक्स (ईवीपी) के रूप में और इंटेल के प्रोसेसर में एक्सडी (ईडीबी) के रूप में सम्मिलित यह सुविधा, मेमोरी के कुछ भागों को इसके अतिरिक्त डेटा युक्त के रूप में फ़्लैग (चिन्हित) कर सकती है। निष्पादन योग्य कोड का, जो ओवेरफ़्लो त्रुटियों को यादृच्छिक कोड कार्यान्वयन के परिणामस्वरूप प्रतिबंध करता है।
यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे स्टैक और हीप) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह समुपयोजन कोड को डेटा के रूप में अन्तः क्षिप्त करने और फिर निष्पादित होने से रोकता है।
यदि डीईपी सभी एप्लीकेशन के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के समुपयोजन के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लीकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी आक्षेप उत्पन्न करेंगे। इसलिए, डेटा कार्यान्वयन प्रतिबंध को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी एप्लीकेशन के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए सक्रिय किया जाता है। हालांकि, विंडोज विस्टा अतिरिक्त एनएक्स युक्ति नियंत्रण प्रस्तुत करता है जो सॉफ्टवेयर विकासक को सिस्टम-विस्तृत संगतता प्रयुक्त सेटिंग्स से स्वतंत्र अपने कोड के लिए एनएक्स हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है। विकासक अपने एप्लीकेशन को निर्मित होने पर एनएक्स-अनुवर्ती के रूप में चिह्नित कर सकते हैं, जो उस एप्लीकेशन के इंस्टॉल होने और संचालन पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारितंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता युक्ति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। एक्स86-64 एप्लीकेशन के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से डेटा कार्यान्वयन प्रतिबंध को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के एक्स86-64 संस्करणों में केवल प्रोसेसर-प्रबलित डेटा कार्यान्वयन प्रतिबंध का उपयोग किया जाता है।
डिजिटल अधिकार प्रबंधन
डिजिटल वस्तु प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से संरक्षित करने में सहायता करने के लिए विंडोज विस्टा में नए डिजिटल अधिकार प्रबंधन और वस्तु-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।
- प्यूमा: संरक्षित उपयोगकर्ता मोड ऑडियो (प्यूमा) नया उपयोगकर्ता मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित वस्तु के प्रकाशक द्वारा स्वीकृत करने के लिए प्रतिबंधित करता है।[12]
- पीवीपी (संरक्षित वीडियो पथ) - आउटपुट सुरक्षा प्रबंधन (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की कॉपी करने को प्रतिबंधित करती है, या वीडियो उपकरणों पर उनके प्रदर्शन को प्रतिबंधित करती है जिसमें समकक्ष कॉपी सुरक्षा (सामान्य रूप से एचडीसीपी) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना वस्तु उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से अस्वीकृति करके पीसी को कॉपीराइट वस्तु सक्रिय करने से प्रतिबंधित कर सकता है।[12]
- संरक्षित वीडियो पथ - उपयोगकर्ता-अभिगम्य योग्य बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, इसके अतिरिक्त कि यह पीसीआई एक्सप्रेस बस पर संरक्षित वस्तु के एन्क्रिप्शन को प्रयुक्त करता है।
- विंडोज अधिकार प्रबंधन सेवा (आरएमएस) समर्थन, एक ऐसी तकनीक जो निगमों को निगमित दस्तावेज़ों, ईमेल और इंट्रानेट पर डीआरएम-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक कि ऐसे लोगों द्वारा खोले जाने से भी संरक्षित किया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
- विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,[13] जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में कुशलता पूर्वक प्रयोग नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक अभिगम बढ़ा दी है। हालाँकि, वर्तमान में, केवल संरक्षित वीडियो पथ का उपयोग करने वाले एप्लीकेशन ही संरक्षित प्रक्रियाएँ बना सकते हैं।
नई डिजिटल अधिकार प्रबंधन सुविधाओं को सम्मिलित करना विंडोज विस्टा की विवेचना का एक स्रोत रहा है।
विंडोज सर्विस हार्डनिंग
विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से सहमति की जाती है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से आक्षेप नहीं कर सकता है। यह विंडोज सेवाओं को फाइल प्रणाली, रजिस्ट्री या नेटवर्क पर संचालन करने से प्रतिबंधित करता है[14] जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र आक्षेप कम हो जाता है और विंडोज़ सेवा का लाभ उठाकर मैलवेयर के प्रवेश को प्रतिबंधित किया जा सकता है। सेवाओं को एक प्रति-सेवा सुरक्षा पहचानकर्ता (एसआईडी) नियुक्त किया गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट अभिगम्य के अनुसार सेवा तक अभिगम्य को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय चेंजसर्विसकॉन्फिग2 एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से माध्यम से या सिडटाइप क्रिया के साथ SC.EXE
कमांड का उपयोग करके एक प्रति-सेवा एसआईडी निर्दिष्ट किया जा सकता है।। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी अभिगम्य को रोकने के लिए अभिगम्य नियंत्रण सूची (एसीएल) का भी उपयोग कर सकती हैं।
विंडोज विस्टा में सेवाएँ सिस्टम खाते के अतिरिक्त कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी सक्रिय हैं। विंडोज़ के पूर्व संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा संचालित की है। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं।[15] इसका उद्देश्य विंडोज संदेश-प्रेषण सिस्टम के समुपयोजन के एक वर्ग को कम करने में सहायता करना है, जिसे शैटर आक्षेप के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल एचकेएलएम\सिस्टम\करंटकंट्रोलसेट\सर्विसेज के अंतर्गत आवश्यक-विशेषाधिकार रजिस्ट्री (पंजीकृत) मान में निर्दिष्ट विशेषाधिकार होते हैं।
सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन स्वीकृतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित अभिगम्य टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल युक्ति भी होगी, जो इसे सही से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को दृढ़ बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से प्रतिबंधित करने के लिए एमएसआरपीसी सर्वरों द्वारा उपयोग किए जाने वाले नामित पाइप को भी दृढ़ बनाता है।
प्रमाणीकरण और लॉगऑन
चित्रमय पहचान और प्रमाणीकरण (जीआईएनए), सुरक्षित प्रमाणीकरण और परस्पर संवादात्मक लॉगऑन के लिए उपयोग किया जाता है, इसे क्रेडेंशियल (प्रमाणपत्र) प्रदाता द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ क्रेडेंशियल प्रदाता ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं ताकि उपयोगकर्ताओं को बायोमेट्रिक (जीवमिति) उपकरण (फिंगरप्रिंट, रेटिनल, या ध्वनि पहचान) पासवर्ड, पिन और स्मार्ट कार्ड सर्टिफिकेट या किसी भी कस्टम प्रमाणीकरण पैकेज और स्कीमा के माध्यम से लॉग ऑन करने में सक्षम बनाया जा सके। स्मार्ट कार्ड प्रमाणीकरण उपयोगी होता है क्योंकि प्रमाणपत्र आवश्यकताओं में छूट दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को एकल साइन ऑन (एसएसओ) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित नेटवर्क अभिगम बिन्दु (दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लीकेशन-विशिष्ट क्रेडेंशियल संग्रहण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण आईपीवी6 या वेब सेवाओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, क्रेडएसएसपी सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लीकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड एसएसपी का उपयोग करके) लक्ष्य सर्वर (सर्वर-पक्ष एसएसपी के माध्यम से) को निर्दिष्ट करने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा एकल साइन-ऑन प्रदान करने के लिए भी किया जाता है।
विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा फ़ाइल सिस्टम को एन्क्रिप्ट करना कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक अभिगम्य योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।
तेज़ उपयोगकर्ता स्विचिंग जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में विंडोज सर्वर 2008 में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।
क्रिप्टोग्राफी
विंडोज विस्टा क्रिप्टो एप्लिकेशन प्रोग्राम इंटरफ़ेस के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एप्लिकेशन प्रोग्राम इंटरफ़ेस: अगली पीढ़ी (सीएनजी) के रूप में जाना जाता है। सीएनजी एप्लिकेशन प्रोग्राम इंटरफ़ेस एक उपयोगकर्ता मोड और कर्नेल मोड एप्लिकेशन प्रोग्राम इंटरफ़ेस है जिसमें दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो राष्ट्रीय सुरक्षा एजेंसी (एनएसए) /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी का भाग हैं। यह प्रसारणीय है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एप्लिकेशन प्रोग्राम इंटरफ़ेस प्लगिंग के लिए समर्थन सम्मिलित है। यह आधार क्रिप्टोग्राफिक सेवा प्रदाता मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड उप-प्रणाली के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक फ़ंक्शन को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण विशेषज्ञ कंप्यूटर कोर्स प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट विशेषज्ञ कंप्यूटर कोर्स और एसएचए-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।
निरसन संशोधन में ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (ओसीएसपी) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और सीएपीआई2 डायग्नोस्टिक प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। प्रमाणपत्र नामांकन, एक नया सीओएम-आधारित नामांकन एप्लिकेशन प्रोग्राम इंटरफ़ेस उपयुक्त प्रोग्राम-योग्यता के लिए एक्सएनरोल लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी युग्म, प्रमाणपत्र और क्रेडेंशियल्स को पुनरावृत्ति करता हैं।
मेटाडेटा हटाना
गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी गोपनीयता की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर विकासक के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।[16]
नेटवर्क अभिगम्य सुरक्षा
विंडोज विस्टा ने नेटवर्क अभिगम्य सुरक्षा (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित युक्ति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और अभिगम्य प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक अभिगम्य की स्वीकृति दी जाएगी, या पूरी तरह से अभिगम्य से अस्वीकृत कर दिया जाएगा। नेटवर्क अभिगम्य सुरक्षा वैकल्पिक रूप से एक गैर-अनुवर्ती वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप क्लाइंट को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।
विंडोज सर्वर 2008 सक्रिय करने वाला एक नेटवर्क युक्ति सर्वर स्वास्थ्य युक्ति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक वीपीएन सर्वर, रेडियस सर्वर या डीएचसीपी सर्वर भी स्वास्थ्य योजना सर्वर के रूप में कार्य कर सकता है।
अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं
- टीसीपी/आईपी सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज फ़िल्टरिंग प्लेटफ़ॉर्म (डब्ल्यूएफपी) के रूप में ज्ञात एक नए रूपरेखा से बदल दिया गया है। डब्ल्यूएफपी टीसीपी/आईपी प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। डब्ल्यूएफपी स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और एप्लीकेशन का निर्माण करना आसान है, जिन्हें टीसीपी/आईपी ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
- किसी नेटवर्क पर डेटा स्थानांतरित करते समय अधिकतम सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट दीर्घवृत्तीय वक्र डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट उच्च एन्क्रिप्शन मानक (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें करबरोस प्रोटोकॉल और सामान्य सुरक्षा सेवा एप्लीकेशन प्रोग्राम इंटरफ़ेस सम्मिलित है। नए विंसॉक एपीआई में एसएसएल और टीएलएस संपर्क के लिए प्रत्यक्ष समर्थन सॉकेट एप्लीकेशन को एक सुरक्षित संपर्क का समर्थन करने के लिए अतिरिक्त कोड जोड़ने के अतिरिक्त एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है जैसे सुरक्षा नीति और ट्रैफ़िक जांच सुरक्षा संस्थापन प्रदान करना। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर सक्रिय निर्देशिका डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का भाग हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, और डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। तथापि अन्य प्रणालियाँ भौतिक रूप से समान नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का भाग हो सकता है। स्कनेल सुरक्षा सेवा प्रदाता में नए सिफर सुइट्स सम्मिलित हैं जो दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी का समर्थन करते हैं, इसलिए विशेषज्ञ कंप्यूटर कोर्स सिफर सूट को मानक टीएलएस हैंडशेक के भाग के रूप में परस्पर क्रिया की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यात्मकता को प्रतिस्थापित कर सकते हैं।
- इंटरनेट प्रोटोकॉल सुरक्षा अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और अधिकतम प्रमाणीकरण प्रदान करता है। इंटरनेट प्रोटोकॉल सुरक्षा आईपीवी6 का समर्थन करता है, जिसमें इंटरनेट कुंजी विनिमय (आइक), प्रमाणित इंटरनेट प्रोटोकॉल और डेटा एन्क्रिप्शन, क्लाइंट-से- डोमेन नियंत्रक सुरक्षा, नेटवर्क अभिगम्य सुरक्षा और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क समर्थन के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और नियोजित क्षमता बढ़ाने के लिए, विंडोज विस्टा में प्रमाणित इंटरनेट प्रोटोकॉल सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि परस्पर क्रिया और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।[17]
- 802.11i (वाई-फाई संरक्षित एक्सेस2) जैसे नए वायरलेस मानकों के लिए अधिकतम समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। प्रसारणीय प्रमाणीकरण प्रोटोकॉल अभिगमन स्तर सुरक्षा (ईएपी-टीएलएस) डिफ़ॉल्ट प्रमाणीकरण मोड है। संपर्क वायरलेस अभिगम बिन्दु द्वारा समर्थित सबसे सुरक्षित संपर्क स्तर पर बनाए जाते हैं। वाई-फाई संरक्षित अभिगम्य2 का उपयोग अनौपचारिक मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए एकल साइन-ऑन का उपयोग कर सकता है।[18] इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए एमएस-सीएचएपी वी2 प्रमाणीकरण दोनों के लिए समान दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई अभिगम्य नहीं है। मशीन एक स्क्रिप्ट संचलित करती है, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। वेरीसाइन जैसे सार्वजनिक कुंजी आधारिक संरचना (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
- विंडोज विस्टा में संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क अभिगम्य तकनीकों जैसे 802.1X और पीपीपी के लिए प्रमाणीकरण विधियों के लिए प्रसारण क्षमता प्रदान करती है।[19] यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
- विंडोज विस्टा पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल के साथ संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र पीईएपीवी0/ईएपी-एमएससीएपीवी2 (पासवर्ड) और पीईएपी-टीएलएस (स्मार्टकार्ड और प्रमाणपत्र) हैं।
- विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल, एक नया माइक्रोसॉफ्ट स्वामित्व वीपीएन प्रोटोकॉल सम्मिलित है जो एसएसएल चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को अभिगमन करने के लिए एक तंत्र प्रदान करता है।
एक्स86-64-विशिष्ट विशेषताएं
- विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध (डीईपी) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित आक्षेप नियंत्रण है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, डेटा कार्यान्वयन प्रतिबंध, डिफ़ॉल्ट रूप से, सभी 64-बिट एप्लीकेशन और सेवाओं के लिए एक्स86-64 संस्करणों और उन 32-बिट एप्लीकेशन के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित डेटा कार्यान्वयन प्रतिबंध एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक प्रणाली घटकों के लिए सक्षम है।
- उन्नत कर्नेल पैच सुरक्षा, जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड एप्लीकेशन से स्वयं को छिपाने के लिए रूटकिट द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है।[20] पैचगार्ड को पहली बार विंडोज सर्वर 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज एक्सट्रीम प्रोग्रामिंग व्यावसायिक x64 संस्करण में सम्मिलित किया गया था।
- विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से साइनअप होना चाहिए; यहां तक कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे।[21] विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट समय विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
- कोड प्रामाणिकता जांच-योग साइन कोड है। सिस्टम बाइनरी लोड करने से पहले, यह सुनिश्चित करने के लिए जांच योग के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट भारक कर्नेल की प्रामाणिकता, हार्डवेयर अमूर्त परत (एचएएल) और बूट-प्रारंभ ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्थान के अतिरिक्त, कोड प्रामाणिकता बाइनरी को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित गतिशील लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।
अन्य विशेषताएं और परिवर्तन
सुरक्षा और विश्वसनीयता में कई विशिष्ट परिवर्तन किए गए हैं:
- एलएसए गुप्ततः (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा युक्ति, ऑडिटिंग आदि) को संग्रहीत करने के लिए प्रबल एन्क्रिप्शन का उपयोग किया जाता है।[22]
- विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए विद्युत और इलेक्ट्रॉनिक्स इंजीनियर्स संस्थान 1667 प्रमाणीकरण मानक के लिए समर्थन करता है।[23]
- करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अपडेट किया गया है।[24] स्कनेल एसएसपी में प्रबल एईएस एन्क्रिप्शन और दीर्घवृत्तीय वक्र क्रिप्टोग्राफी समर्थन करता है।[25]
- विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।[26] मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के अतिरिक्त डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट क्रिप्टोग्राफ़िक हैश फ़ंक्शन नियम एल्गोरिथ्म को एमडी5 से प्रबल एसएचA256 में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संचार बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
- विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है C ड्राइव पर दायें-क्लिक करना और प्रारूप चयन करना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड संकेत पर प्राप्त होगा एक संदेश है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू वस्तु संशोधन अपने कंप्यूटर उन्नत सिस्टम पुनः स्थापन विकल्प को कंप्यूटर सक्रिय करने पर F8 दबाकर चयन करना चाहिए।
- अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अपडेट किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, फिर एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड वस्तु को विंडोज खोज द्वारा अनुक्रमित किया जा सकता है या नहीं किया जा सकता है।
- संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
- समूह युक्ति में एक नई युक्ति सेटिंग अंतिम सफल परस्पर क्रिया लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पूर्व सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या है। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं था। युक्ति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
- विंडोज संसाधन संरक्षण संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को प्रतिबंधित करता है,[27] विंडोज इंस्टालर के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को प्रतिबंधित करता है। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
- संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल नियंत्रण सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के विपरीत सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम प्रामाणिकता प्रक्रिया के रूप में संचलित हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक अभिगम्य प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को मेलिसियस वस्तु और सुरक्षा दुर्बलताओ से संरक्षित करते हैं, यहां तक कि एक्टिवेक्स नियंत्रणों में भी संरक्षित किया जाता है। इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (पीस्टोर) के अतिरिक्त पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एप्लिकेशन प्रोग्राम इंटरफ़ेस (डीपीएपीआई) का उपयोग करें।
- विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण है। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले पोर्ट और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के संपर्क के लिए उस सेटिंग को मेमोरी मे रखता है।
- उपयोगकर्ता-मोड ड्राइवर फ्रेमवर्क ड्राइवरों को सीधे कर्नेल तक पहुंचने से प्रतिबंधित करता है, लेकिन इसके अतिरिक्त इसे एक समर्पित एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से अभिगम्य करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुपयुक्त तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।[28]
- प्रति-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की संरक्षण और पुनर्स्थापित करने के लिए विंडोज सुरक्षा केंद्र को अपग्रेड किया गया है। प्रति-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ विंडोज एप्लिकेशन प्रोग्राम इंटरफ़ेस कॉल को जोड़ा गया है ताकि एप्लीकेशन को विंडोज सुरक्षा केंद्र से समग्र हानि रहित स्थिति पुनर्प्राप्त करने और हानि रहित स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
- संरक्षित संग्रहण (पीस्टोर) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए संरक्षित संग्रहण डेटा वस्तु जोड़ने या सम्मिलित को प्रबंधित करने के लिए डीपीएपीआई का उपयोग करने की अनुशंसा करता है।[29] इंटरनेट एक्सप्लोरर 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए संरक्षित संग्रहण के अतिरिक्त डीपीएपीआई का उपयोग करते हैं।
- विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता हो, तब तक इसे सुरक्षित मोड से भी अभिगम्य नहीं किया जा सकता है।
यह भी देखें
संदर्भ
- ↑ Steve Lipner, Michael Howard (March 2005). "The Trustworthy Computing Security Development Lifecycle". Microsoft Developer Network. Retrieved 2006-02-15.
- ↑ Charles (2007-03-05). "UAC - What. How. Why" (video). Retrieved 2007-03-23.
- ↑ "Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide". Microsoft TechNet. 2005. Retrieved 2006-04-13.
- ↑ "Windows विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल प्रबंधन चरण-दर-चरण मार्गदर्शिका". TechNet. Microsoft. Retrieved 18 November 2014.
- ↑ "Win32_Tpm class". MSDN. Microsoft. Retrieved 18 November 2014.
- ↑ "टीपीएम बेस सर्विसेज". MSDN. Microsoft. Retrieved 18 November 2014.
- ↑ The January 2006 issue of The Cable Guy covers the new features and interfaces in Windows Firewall in greater detail.
- ↑ "समूह नीति का उपयोग करके डिवाइस स्थापना को नियंत्रित करने के लिए चरण-दर-चरण मार्गदर्शिका". MSDN. Microsoft.
- ↑ "समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों का प्रबंधन". TechNet Magazine. Microsoft.
- ↑ Howard, Michael (May 26, 2006). "विंडोज विस्टा में एड्रेस स्पेस लेआउट रेंडमाइजेशन". MSDN. Microsoft. Archived from the original on May 29, 2006. Retrieved March 20, 2023.
- ↑ "Windows Vista में सुरक्षा प्रगति". Archived from the original on 2007-04-11. Retrieved 2007-04-10.
- ↑ 12.0 12.1 "Output Content Protection and Windows Vista". WHDC. Microsoft. April 27, 2005. Archived from the original on 6 August 2005. Retrieved 2006-04-30.
- ↑ Protected Processes in Windows Vista
- ↑ "Windows Vista Security and Data Protection Improvements – Windows Service Hardening". TechNet. Microsoft. June 1, 2005. Retrieved 2006-05-21.
- ↑ Impact of Session 0 Isolation on Services and Drivers in Windows Vista covers Windows Vista's session isolation changes.
- ↑ Remove Properties and Personal Information: A Misleading Feature!
- ↑ AuthIP in Windows Vista
- ↑ The Cable Guy: Wireless Single Sign-On
- ↑ EAPHost in Windows
- ↑ Field, Scott (August 11, 2006). "An Introduction to Kernel Patch Protection". Windows Vista Security blog. MSDN Blogs. Retrieved August 12, 2006.
- ↑ "Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista". WHDC. Microsoft. May 19, 2006. Archived from the original on April 12, 2006. Retrieved May 19, 2006.
- ↑ Windows LSA Secrets
- ↑ An update is available that enables the support of Enhanced Storage devices in Windows Vista and in Windows Server 2008
- ↑ Kerberos Enhancements in Windows Vista: MSDN
- ↑ TLS/SSL Cryptographic Enhancements in Windows Vista
- ↑ Using Software Restriction Policies to Protect Against Unauthorized Software
- ↑ Windows Vista Management features
- ↑ CNET.com (2007). "विंडोज विस्टा अल्टीमेट रिव्यू". Retrieved 2007-01-31.
- ↑ "SPAP मूल्यह्रास (PStore)". Archived from the original on 2008-04-21. Retrieved 2007-04-17.