विंडोज विस्टा में सुरक्षा और सुरक्षा सुविधाएँ: Difference between revisions

From Vigyanwiki
No edit summary
 
(5 intermediate revisions by 4 users not shown)
Line 1: Line 1:
{{short description|Overview article}}
{{short description|Overview article}}
{{Windows Vista}}
{{Windows Vista}}
विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।
'''विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई''' हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।


2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र<ref name="sdl">{{cite web
2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र<ref name="sdl">{{cite web
Line 18: Line 18:
{{Main|उपयोगकर्ता खाता नियंत्रण}}
{{Main|उपयोगकर्ता खाता नियंत्रण}}


उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लिकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।
उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लीकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।


यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लिकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लिकेशन में [[फोकस (कंप्यूटिंग)|किरण केन्द्र (कंप्यूटिंग)]] नहीं है, तो इसका टास्कबार आइकन दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लिकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है।
यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लीकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लीकेशन में [[फोकस (कंप्यूटिंग)|किरण केन्द्र (कंप्यूटिंग)]] नहीं है, तो इसका टास्कबार आइकन दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लीकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है।


चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लिकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लिकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।
चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लीकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लीकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।


इस धारणा के साथ लिखे गए एप्लिकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से [[HKEY स्थानीय मशीन|एचकेई स्थानीय मशीन]]<ref name="Channel 9">{{cite web
इस धारणा के साथ लिखे गए एप्लीकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से [[HKEY स्थानीय मशीन|एचकेई स्थानीय मशीन]]<ref name="Channel 9">{{cite web
|url=http://channel9.msdn.com/ShowPost.aspx?PostID=288259
|url=http://channel9.msdn.com/ShowPost.aspx?PostID=288259
|title=UAC - What. How. Why.
|title=UAC - What. How. Why.
Line 30: Line 30:
|accessdate=2007-03-23
|accessdate=2007-03-23
|format=video
|format=video
|author=Charles}}</ref> यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लिकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा"
|author=Charles}}</ref> यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लीकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा"


== एन्क्रिप्शन ==
== एन्क्रिप्शन ==
Line 39: Line 39:
|title=Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide| year=2005| accessdate=2006-04-13| publisher=Microsoft TechNet}}</ref> संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।
|title=Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide| year=2005| accessdate=2006-04-13| publisher=Microsoft TechNet}}</ref> संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।


विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एपीआई, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है।<ref name="TPM">{{cite web |url=https://technet.microsoft.com/en-us/library/cc749022%28v=ws.10%29.aspx |title=Windows विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल प्रबंधन चरण-दर-चरण मार्गदर्शिका|work=[[Microsoft TechNet|TechNet]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref><ref name="Win32TPM">{{cite web |url=http://msdn.microsoft.com/en-us/library/windows/desktop/aa376484%28v=vs.85%29.aspx |title=Win32_Tpm class |work=[[MSDN]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref> टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लिकेशन बनाना चाहते हैं।<ref name="TBS">{{cite web |url=http://msdn.microsoft.com/en-us/library/windows/desktop/aa446796%28v=vs.85%29.aspx |title=टीपीएम बेस सर्विसेज|work=[[MSDN]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref>
विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एप्लिकेशन प्रोग्राम इंटरफ़ेस, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है।<ref name="TPM">{{cite web |url=https://technet.microsoft.com/en-us/library/cc749022%28v=ws.10%29.aspx |title=Windows विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल प्रबंधन चरण-दर-चरण मार्गदर्शिका|work=[[Microsoft TechNet|TechNet]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref><ref name="Win32TPM">{{cite web |url=http://msdn.microsoft.com/en-us/library/windows/desktop/aa376484%28v=vs.85%29.aspx |title=Win32_Tpm class |work=[[MSDN]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref> टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लीकेशन बनाना चाहते हैं।<ref name="TBS">{{cite web |url=http://msdn.microsoft.com/en-us/library/windows/desktop/aa446796%28v=vs.85%29.aspx |title=टीपीएम बेस सर्विसेज|work=[[MSDN]] |publisher=[[Microsoft]] |accessdate=18 November 2014}}</ref>


विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]] (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]]-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए [[स्मार्ट कार्ड]] की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है।
विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]] (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज [[सार्वजनिक मुख्य बुनियादी सुविधा|सार्वजनिक आधारिक संरचना]]-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए [[स्मार्ट कार्ड]] की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है।


एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चुने गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है।
एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चयन किए गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है।


== विंडोज फ़ायरवॉल ==
== विंडोज फ़ायरवॉल ==
{{Main|Windows Firewall}}
{{Main|विंडोज फ़ायरवॉल}}
विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है<ref name="cableguyfirewall">The [http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx January 2006 issue of The Cable Guy] covers the new features and interfaces in Windows Firewall in greater detail.</ref> कॉर्पोरेट वातावरण में विंडोज फ़ायरवॉल के लचीलेपन के आसपास कई चिंताओं को दूर करने के लिए:
विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है<ref name="cableguyfirewall">The [http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx January 2006 issue of The Cable Guy] covers the new features and interfaces in Windows Firewall in greater detail.</ref> निगमित वातावरण में विंडोज फ़ायरवॉल के नम्यता के आसपास कई समस्याओ को दूर करने के लिए:
* [[IPv6]] कनेक्शन फ़िल्टरिंग
* आईपीवी 6 संपर्क फ़िल्टरिंग
* आउटबाउंड पैकेट फ़िल्टरिंग, [[स्पाइवेयर]] और [[कंप्यूटर वायरस]] के बारे में बढ़ती चिंताओं को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
* आउटबाउंड पैकेट फ़िल्टरिंग, [[स्पाइवेयर]] और [[कंप्यूटर वायरस]] के बारे में बढ़ती समस्याओ को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
* उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी पते और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
* उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी एड्रैस और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
* पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चुने गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
* पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चयन किए गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
* [[IPsec]] पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, Kerberos (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर कनेक्शन की स्वीकृति या इनकार करने की स्वीकृति देता है। किसी भी प्रकार के कनेक्शन के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर IPsec नीतियों के जटिल कॉन्फ़िगरेशन को संभालने वाले विज़ार्ड का उपयोग करके एक कनेक्शन सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक IPsec द्वारा सुरक्षित है या नहीं।
* [[IPsec|इंटरनेट प्रोटोकॉल सुरक्षा]] पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, करबरोस (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर संपर्क की स्वीकृति या संपर्क नहीं करने की स्वीकृति देता है। किसी भी प्रकार के संपर्क के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर इंटरनेट प्रोटोकॉल सुरक्षा नीतियों के जटिल कॉन्फ़िगरेशन को नियंत्रण करने वाले विज़ार्ड का उपयोग करके एक संपर्क सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक इंटरनेट प्रोटोकॉल सुरक्षा द्वारा सुरक्षित है या नहीं है।
* एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो IPsec कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक पहुँच प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
* एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो इंटरनेट प्रोटोकॉल सुरक्षा कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक अभिगम्य प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
* जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता। सर्वर और डोमेन आइसोलेशन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन।
* जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता रखता है। सर्वर और डोमेन वियोजन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन करता है।


== विंडोज डिफेंडर ==
== विंडोज डिफेंडर ( प्रतिरक्षक) ==


{{Main|Windows Defender}}
{{Main|Windows Defender}}
विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट AntiSpyware' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए सिस्टम की स्कैनिंग की सुविधा है, बल्कि बाजार में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें रियल टाइम सुरक्षा एजेंट भी सम्मिलित हैं जो विंडोज के कई सामान्य क्षेत्रों में बदलाव के लिए निगरानी करते हैं। स्पाइवेयर के कारण हो सकता है। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, ऑटो-स्टार्ट एप्लिकेशन, सिस्टम कॉन्फ़िगरेशन सेटिंग्स और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।
विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट एंटी-स्पाईवेयर' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए प्रणाली की स्कैनिंग की सुविधा है, बल्कि विक्रय में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें वास्तविक समय सुरक्षा कारक भी सम्मिलित हैं जो स्पाइवेयर के कारण होने वाले परिवर्तनों के लिए विंडोज़ के कई सामान्य क्षेत्रों की संरक्षण करते हैं। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, स्वतः प्रारंभ एप्लीकेशन, सिस्टम कॉन्फ़िगरेशन संस्थापन और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।


विंडोज डिफ़ेंडर में स्थापित [[ActiveX]] एप्लिकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें [[माइक्रोसॉफ्ट स्पाइनेट]] नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संवाद करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लिकेशन स्वीकार्य हैं।
विंडोज डिफ़ेंडर में स्थापित एक्टिवेक्स एप्लीकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें [[माइक्रोसॉफ्ट स्पाइनेट]] नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संचार करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लीकेशन स्वीकार्य हैं।


== डिवाइस स्थापना नियंत्रण ==
== डिवाइस स्थापना नियंत्रण ==
विंडोज विस्टा व्यवस्थापकों को [[समूह नीति]] के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, डिवाइस की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की कक्षाओं तक पहुंच को प्रतिबंधित किया जा सके।<ref name="GPGuide">{{cite web |url=http://msdn.microsoft.com/en-us/library/bb530324.aspx |title=समूह नीति का उपयोग करके डिवाइस स्थापना को नियंत्रित करने के लिए चरण-दर-चरण मार्गदर्शिका|publisher=[[Microsoft]]|website = [[MSDN]]}}</ref><ref name="GPMagazine">{{cite web |url=https://technet.microsoft.com/en-us/magazine/2007.06.grouppolicy.aspx |title=समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों का प्रबंधन|publisher=[[Microsoft]]|website = [[TechNet Magazine]]}}</ref>
विंडोज विस्टा व्यवस्थापकों को [[समूह नीति|समूह युक्ति]] के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, उपकरण की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की श्रेणी तक अभिगम्य को प्रतिबंधित किया जा सके।<ref name="GPGuide">{{cite web |url=http://msdn.microsoft.com/en-us/library/bb530324.aspx |title=समूह नीति का उपयोग करके डिवाइस स्थापना को नियंत्रित करने के लिए चरण-दर-चरण मार्गदर्शिका|publisher=[[Microsoft]]|website = [[MSDN]]}}</ref><ref name="GPMagazine">{{cite web |url=https://technet.microsoft.com/en-us/magazine/2007.06.grouppolicy.aspx |title=समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों का प्रबंधन|publisher=[[Microsoft]]|website = [[TechNet Magazine]]}}</ref>




== माता-पिता का नियंत्रण ==
== पैरेंटल (अभिभावकीय) का नियंत्रण ==
[[Image:Windows Vista Parental Controls.PNG|thumb|right|248x248px|डेनिएल मानक उपयोगकर्ता खाते को प्रतिबंधित करने के लिए सुविधाओं को प्रदर्शित करने वाला विंडोज विस्टा का अभिभावकीय नियंत्रण]]विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की निगरानी और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए माता-पिता के नियंत्रण की एक श्रृंखला सम्मिलित है जो विंडोज सर्वर डोमेन का हिस्सा नहीं हैं; उपयोगकर्ता खाता नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए [[विनसॉक]] [[स्तरित सेवा प्रदाता]] फ़िल्टर के रूप में प्रयुक्त किया गया—जो सामग्री की श्रेणियों या विशिष्ट पतों के आधार पर वेबसाइटों तक पहुँच को प्रतिबंधित करता है (सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ); समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है (और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है); गेम प्रतिबंध, जो प्रशासकों को [[एंटरटेनमेंट सॉफ्टवेयर रेटिंग बोर्ड]] जैसे [[वीडियो गेम सामग्री रेटिंग प्रणाली]] द्वारा परिभाषित नाम, सामग्री, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, ''हर कोई 10+ (E10+)'' गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन हल्की भाषा वाले ''E10+'' गेम अभी भी ब्लॉक किए जाएंगे यदि हल्की भाषा स्वयं ब्लॉक की गई है); आवेदन प्रतिबंध, जो विशिष्ट अनुप्रयोगों के लिए श्वेतसूचीकरण#अनुप्रयोग श्वेतसूची का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर नज़र रखता है और रिकॉर्ड करता है।
[[Image:Windows Vista Parental Controls.PNG|thumb|right|248x248px|डेनिएल मानक उपयोगकर्ता खाते को प्रतिबंधित करने के लिए सुविधाओं को प्रदर्शित करने वाला विंडोज विस्टा का अभिभावकीय नियंत्रण]]विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की संरक्षण और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए पैरेंटल के नियंत्रण की एक श्रेणी सम्मिलित है जो विंडोज सर्वर डोमेन का भाग नहीं हैं; उपयोगकर्ता अकाउंट (खाता) नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए [[विनसॉक]] [[स्तरित सेवा प्रदाता]] फ़िल्टर के रूप में प्रयुक्त किया गया—जो वस्तु की श्रेणियों या विशिष्ट एड्रैस के आधार पर वेबसाइटों तक अभिगम्य को प्रतिबंधित करता है सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ; समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है; गेम प्रतिबंध, जो प्रशासकों को [[एंटरटेनमेंट सॉफ्टवेयर रेटिंग बोर्ड|मनोरंजन सॉफ़्टवेयर रेटिंग बोर्ड]] जैसे [[वीडियो गेम सामग्री रेटिंग प्रणाली|वीडियो गेम प्रकरण रेटिंग प्रणाली]] द्वारा परिभाषित नाम, वस्तु, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन सामान्य भाषा वाले ''E10+'' गेम अभी भी ब्लॉक किए जाएंगे यदि सामान्य भाषा स्वयं ब्लॉक की गई है; प्लिकेशन प्रतिबंध, जो विशिष्ट एप्लीकेशन के लिए एप्लीकेशन व्हाइटलिस्ट (श्वेतसूची) का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर दृष्टि रखता है और रिकॉर्ड करता है।


विंडोज [[माता पिता द्वारा नियंत्रण]] में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] (एपीआई) के साथ विकल्पों का एक एक्स्टेंसिबल सेट सम्मिलित है।
विंडोज [[माता पिता द्वारा नियंत्रण|पैरेंटल द्वारा नियंत्रण]] में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए [[अप्लिकेशन प्रोग्रामिंग अंतरफलक|एप्लीकेशन प्रोग्रामिंग इंटरफेस]] (एप्लिकेशन प्रोग्राम इंटरफ़ेस) के साथ विकल्पों का एक प्रसारणीय सेट सम्मिलित है।


== शोषण सुरक्षा कार्यक्षमता ==
== सुरक्षा कार्यात्मकता का समुपयोजन ==
विंडोज विस्टा स्मृति में यादृच्छिक पते पर सिस्टम फ़ाइलों को लोड करने के लिए [[एड्रेस स्पेस लेआउट रेंडमाइजेशन]] (एएसएलआर) का उपयोग करता है।<ref name="ASLRVista">{{cite web |url=http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx |title=विंडोज विस्टा में एड्रेस स्पेस लेआउट रेंडमाइजेशन|last=Howard |first=Michael |date=May 26, 2006 |publisher=[[Microsoft]] |work=[[Microsoft Developer Network|MSDN]] |archive-url=https://web.archive.org/web/20060529215417/http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx |archive-date=May 29, 2006 |access-date=March 20, 2023}}</ref> डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर बेतरतीब ढंग से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल|पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में थोड़ा सा सेट करना होता है, जो एएसएलआर का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल्स के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, ढेर और ढेर आवंटित बेतरतीब ढंग से तय किया गया है। रैंडम पतों पर सिस्टम फ़ाइलों को लोड करने से, दुर्भावनापूर्ण कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह [[रिटर्न-टू-एलआईबीसी]] [[ बफ़र अधिकता ]] आक्षेपों को रोककर अधिकांश दूरस्थ निष्पादन आक्षेपों को रोकने में मदद करता है।
विंडोज विस्टा मेमोरी में यादृच्छिक एड्रैस पर प्रणाली फ़ाइलों को लोड करने के लिए [[एड्रेस स्पेस लेआउट रेंडमाइजेशन|एड्रेस स्थान लेआउट यादृच्छिकरण]] (एएसएलआर) का उपयोग करता है।<ref name="ASLRVista">{{cite web |url=http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx |title=विंडोज विस्टा में एड्रेस स्पेस लेआउट रेंडमाइजेशन|last=Howard |first=Michael |date=May 26, 2006 |publisher=[[Microsoft]] |work=[[Microsoft Developer Network|MSDN]] |archive-url=https://web.archive.org/web/20060529215417/http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx |archive-date=May 29, 2006 |access-date=March 20, 2023}}</ref> डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर अच्छे तरीके से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में आंशिक स्थापित करना होता है, जो एड्रेस स्थान लेआउट यादृच्छिकरण का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल ([[पोर्टेबल निष्पादन योग्य|निष्पादन योग्य]]) के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, स्टैक और हीप यादृच्छिक रूप से निर्धारित किया जाता है। रैंडम एड्रैस पर सिस्टम फ़ाइलों को लोड करने से, मेलिसियस कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह [[रिटर्न-टू-एलआईबीसी|एलआईबीसी]] पर वापस जाने पर [[ बफ़र अधिकता |बफर ओवरफ्लो]] आक्षेपों को रोककर अधिकांश दूरस्थ कार्यान्वयन आक्षेपों को रोकने में सहायता करता है।


शीर्षलेख में अपवाद प्रबंधन हैंडलर पते के एम्बेडिंग का समर्थन करने के लिए [[पोर्टेबल निष्पादन योग्य]] प्रारूप को अद्यतन किया गया है। जब भी कोई अपवाद फेंका जाता है, हैंडलर का पता निष्पादन योग्य शीर्षलेख में संग्रहीत पते से सत्यापित किया जाता है। यदि वे मेल खाते हैं, तो अपवाद को संभाला जाता है, अन्यथा यह इंगित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।
हैडर में आक्षेप प्रबंधन हैंडलर एड्रैस के अन्तः स्थापित करने का समर्थन करने के लिए [[पोर्टेबल निष्पादन योग्य]] प्रारूप को अपडेट किया गया है। जब भी कोई आक्षेप निर्दिष्ट किया जाता है, हैंडलर का एड्रैस निष्पादन योग्य हैडर में संग्रहीत एड्रैस से सत्यापित किया जाता है। यदि वे समान नहीं हैं, तो आक्षेप को नियंत्रित किया जाता है, अन्यथा यह प्रदर्शित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।


फ़ंक्शन पॉइंटर्स को [[XOR]] | XOR-ing द्वारा एक यादृच्छिक संख्या के साथ अस्पष्ट किया जाता है, जिससे कि इंगित किए गए वास्तविक पते को पुनः प्राप्त करना कठिन हो। इसलिए एक पॉइंटर को मैन्युअल रूप से बदलना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ XOR-ed हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए चेक-सम बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप भ्रष्टाचार का पता लगाने के लिए किया जाता है। जब भी ढेर भ्रष्टाचार का पता चलता है, तो शोषण के सफल समापन को रोकने के लिए आवेदन को मार दिया जाता है।
फंक्शन पॉइंटर्स को एक्सओआर-आईएनजी द्वारा एक यादृच्छिक संख्या के साथ भ्रमित किया जाता है, जिससे कि वास्तविक एड्रैस को पुनः प्राप्त करना कठिन हो जाता है। इसलिए एक पॉइंटर को मैन्युअल रूप से परिवर्तित करना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ एक्सओआर-एड हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए जाँच योग बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप विकृती का पता लगाने के लिए किया जाता है। जब भी हीप विकृती का पता चलता है, तो समुपयोजन के सफल समापन को रोकने के लिए एप्लीकेशन को नष्ट कर दिया जाता है।


विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका शोषण जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और नॉन बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मापदंडों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में शोषण करने के लिए, उन स्थानों तक पहुंच प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम आम हैं।
विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका समुपयोजन जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और गैर- बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मानकों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में समुपयोजन करने के लिए, उन स्थानों तक अभिगम्य प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम सामान्य हैं।


=== आवेदन अलगाव ===
=== एप्लीकेशन वियोजन ===
{{Main|Mandatory Integrity Control|User Interface Privilege Isolation}}
{{Main|अनिवार्य सत्यनिष्ठा नियंत्रण और उपयोगकर्ता इंटरफ़ेस विशेषाधिकार वियोजन}}
विंडोज विस्टा प्रक्रियाओं के लिए अखंडता स्तर निर्धारित करने के लिए अनिवार्य अखंडता नियंत्रण प्रस्तुत करता है। एक कम अखंडता प्रक्रिया उच्च अखंडता प्रक्रिया के संसाधनों तक नहीं पहुंच सकती है। इस सुविधा का उपयोग अनुप्रयोग अलगाव को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम अखंडता स्तर में अनुप्रयोग, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी अनुप्रयोग सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च अखंडता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड अनुप्रयोग लेकिन हुक कर सकते हैं विंडोज [[इंटरनेट एक्सप्लोरर 7]] या [[इंटरनेट एक्सप्लोरर 8]] जैसी कम अखंडता प्रक्रियाओं पर। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो हैंडल सत्यापन को निष्पादित नहीं कर सकती है, मैसेज या पोस्टमेसेज को उच्च विशेषाधिकार एप्लिकेशन विंडो में नहीं भेज सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है , उच्च विशेषाधिकार प्रक्रिया की निगरानी के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए DLL-इंजेक्शन नहीं कर सकता है।


=== डेटा निष्पादन रोकथाम ===
विंडोज विस्टा प्रक्रियाओं के लिए समाग्रता स्तर निर्धारित करने के लिए अनिवार्य समाग्रता नियंत्रण प्रस्तुत करता है। एक कम समाग्रता प्रक्रिया उच्च समाग्रता प्रक्रिया के संसाधनों तक अभिगम्य नहीं कर सकती है। इस सुविधा का उपयोग एप्लीकेशन वियोजन को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम समाग्रता स्तर में एप्लीकेशन, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी एप्लीकेशन सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च समाग्रता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड एप्लीकेशन विंडोज [[इंटरनेट एक्सप्लोरर 7]] या [[इंटरनेट एक्सप्लोरर 8]] जैसी कम समाग्रता प्रक्रियाओं पर हुक कर सकते हैं। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो नियंत्रण सत्यापन को निष्पादित नहीं कर सकती है, संदेश या पोस्टमेसेज को उच्च विशेषाधिकार एप्लीकेशन विंडो में नहीं प्रेषित कर सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है, उच्च विशेषाधिकार प्रक्रिया की संरक्षण के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए डीएलएल-इंजेक्शन नहीं कर सकता है।
 
=== डेटा कार्यान्वयन प्रतिबंध ===
{{Main|Data Execution Prevention}}
{{Main|Data Execution Prevention}}
विंडोज़ विस्टा आधुनिक प्रोसेसरों की [[एनएक्स बिट]] (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।<ref>{{Cite web |url=http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |title=Windows Vista में सुरक्षा प्रगति|access-date=2007-04-10 |archive-url=https://web.archive.org/web/20070411014034/http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |archive-date=2007-04-11 |url-status=dead }}</ref> DEP को विंडोज XP सर्विस पैक 2 और विंडोज Server 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। [[AMD]] के [[AMD64]] प्रोसेसर में NX (EVP) के रूप में और [[Intel]] के प्रोसेसर में XD (EDB) के रूप में मौजूद यह सुविधा, मेमोरी के कुछ हिस्सों को इसके बजाय डेटा युक्त के रूप में फ़्लैग कर सकती है। निष्पादन योग्य कोड का, जो अतिप्रवाह त्रुटियों को मनमाना कोड निष्पादन के परिणामस्वरूप रोकता है।
विंडोज़ विस्टा आधुनिक प्रोसेसरों की [[एनएक्स बिट]] (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।<ref>{{Cite web |url=http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |title=Windows Vista में सुरक्षा प्रगति|access-date=2007-04-10 |archive-url=https://web.archive.org/web/20070411014034/http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc |archive-date=2007-04-11 |url-status=dead }}</ref> डेटा कार्यान्वयन प्रतिबंध को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 2 और विंडोज सर्वर 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। [[AMD|एएमडी]] के [[AMD64|एएमडी64]] प्रोसेसर में एनएक्स (ईवीपी) के रूप में और [[Intel|इंटेल]] के प्रोसेसर में एक्सडी (ईडीबी) के रूप में सम्मिलित यह सुविधा, मेमोरी के कुछ भागों को इसके अतिरिक्त डेटा युक्त के रूप में फ़्लैग (चिन्हित) कर सकती है। निष्पादन योग्य कोड का, जो ओवेरफ़्लो त्रुटियों को यादृच्छिक कोड कार्यान्वयन के परिणामस्वरूप प्रतिबंध करता है।


यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे ढेर और ढेर) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा निष्पादन रोकथाम प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह शोषण कोड को डेटा के रूप में इंजेक्ट करने और फिर निष्पादित होने से रोकता है।
यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे स्टैक और हीप) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह समुपयोजन कोड को डेटा के रूप में अन्तः क्षिप्त करने और फिर निष्पादित होने से रोकता है।


यदि डीईपी सभी अनुप्रयोगों के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के शोषण के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लिकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी अपवाद उत्पन्न करेंगे। इसलिए, DEP को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी अनुप्रयोगों के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए चालू किया जाता है। हालाँकि, विंडोज विस्टा अतिरिक्त NX नीति नियंत्रण प्रस्तुत करता है जो सॉफ़्टवेयर विकासक को उनके कोड के लिए NX हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है, सिस्टम-व्यापी संगतता प्रवर्तन सेटिंग्स से स्वतंत्र। डेवलपर अपने एप्लिकेशन को निर्मित होने पर NX-अनुपालन के रूप में चिह्नित कर सकते हैं, जो उस एप्लिकेशन के इंस्टॉल होने और चलने पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारिस्थितिकी तंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता नीति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। x86-64 अनुप्रयोगों के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से DEP को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के x86-64 संस्करणों में केवल प्रोसेसर-प्रबलित DEP का उपयोग किया जाता है।
यदि डीईपी सभी एप्लीकेशन के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के समुपयोजन के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लीकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी आक्षेप उत्पन्न करेंगे। इसलिए, डेटा कार्यान्वयन प्रतिबंध को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी एप्लीकेशन के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए सक्रिय किया जाता है। हालांकि, विंडोज विस्टा अतिरिक्त एनएक्स युक्ति नियंत्रण प्रस्तुत करता है जो सॉफ्टवेयर विकासक को सिस्टम-विस्तृत संगतता प्रयुक्त सेटिंग्स से स्वतंत्र अपने कोड के लिए एनएक्स हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है। विकासक अपने एप्लीकेशन को निर्मित होने पर एनएक्स-अनुवर्ती के रूप में चिह्नित कर सकते हैं, जो उस एप्लीकेशन के इंस्टॉल होने और संचालन पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारितंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता युक्ति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। एक्स86-64 एप्लीकेशन के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से डेटा कार्यान्वयन प्रतिबंध को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के एक्स86-64 संस्करणों में केवल प्रोसेसर-प्रबलित डेटा कार्यान्वयन प्रतिबंध का उपयोग किया जाता है।


== डिजिटल अधिकार प्रबंधन ==
== डिजिटल अधिकार प्रबंधन ==
{{Main|Protected Media Path}}
{{Main|संरक्षित मीडिया पथ}}
डिजिटल सामग्री प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से बचाने में मदद करने के लिए विंडोज विस्टा में नए [[डिजिटल अधिकार प्रबंधन]] और सामग्री-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।
 
* प्यूमा: प्रोटेक्टेड यूजर मोड ऑडियो (प्यूमा) नया यूजर मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित सामग्री के प्रकाशक द्वारा अनुमत करने के लिए प्रतिबंधित करता है।<ref name="outputprotect">{{cite web
डिजिटल वस्तु प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से संरक्षित करने में सहायता करने के लिए विंडोज विस्टा में नए [[डिजिटल अधिकार प्रबंधन]] और वस्तु-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।
* प्यूमा: संरक्षित उपयोगकर्ता मोड ऑडियो (प्यूमा) नया उपयोगकर्ता मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित वस्तु के प्रकाशक द्वारा स्वीकृत करने के लिए प्रतिबंधित करता है।<ref name="outputprotect">{{cite web
|url=http://www.microsoft.com/whdc/device/stream/output_protect.mspx
|url=http://www.microsoft.com/whdc/device/stream/output_protect.mspx
|title=Output Content Protection and Windows Vista
|title=Output Content Protection and Windows Vista
Line 105: Line 107:
|archiveurl = https://web.archive.org/web/20050806003503/http://www.microsoft.com/whdc/device/stream/output_protect.mspx |archivedate = 6 August 2005
|archiveurl = https://web.archive.org/web/20050806003503/http://www.microsoft.com/whdc/device/stream/output_protect.mspx |archivedate = 6 August 2005
}}</ref>
}}</ref>
*[[पीवीपी-ओपीएम]]|संरक्षित वीडियो पथ - आउटपुट प्रोटेक्शन मैनेजमेंट (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की नकल को रोकती है, या वीडियो उपकरणों पर उनके प्रदर्शन को रोकती है जिसमें समकक्ष कॉपी सुरक्षा (आमतौर पर [[एचडीसीपी]]) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना सामग्री उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से इनकार करके पीसी को कॉपीराइट सामग्री सक्रिय करने से रोक सकता है।<ref name="outputprotect"/>*[[पीवीपी-यूएबी]]|संरक्षित वीडियो पथ - उपयोगकर्ता-सुलभ बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, सिवाय इसके कि यह [[पीसीआई एक्सप्रेस]] बस पर संरक्षित सामग्री के एन्क्रिप्शन को प्रयुक्त करता है।
*[[पीवीपी-ओपीएम|पीवीपी (]]संरक्षित वीडियो पथ) - आउटपुट सुरक्षा प्रबंधन (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की कॉपी करने को प्रतिबंधित करती है, या वीडियो उपकरणों पर उनके प्रदर्शन को प्रतिबंधित करती है जिसमें समकक्ष कॉपी सुरक्षा (सामान्य रूप से [[एचडीसीपी]]) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना वस्तु उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से अस्वीकृति करके पीसी को कॉपीराइट वस्तु सक्रिय करने से प्रतिबंधित कर सकता है।<ref name="outputprotect"/>
*[[Windows Rights Management Services|विंडोज Rights Management Services]] (RMS) समर्थन, एक ऐसी तकनीक जो निगमों को कॉर्पोरेट दस्तावेज़ों, ईमेल और इंट्रानेट पर DRM-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक ​​कि ऐसे लोगों द्वारा खोले जाने से भी बचाया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
*संरक्षित वीडियो पथ - उपयोगकर्ता-अभिगम्य योग्य बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, इसके अतिरिक्त कि यह [[पीसीआई एक्सप्रेस]] बस पर संरक्षित वस्तु के एन्क्रिप्शन को प्रयुक्त करता है।
* विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,<ref>[http://www.microsoft.com/whdc/system/vista/process_Vista.mspx Protected Processes in Windows Vista]</ref> जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में हेरफेर नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक पहुंच बढ़ा दी है। हालाँकि, वर्तमान में, केवल [[संरक्षित वीडियो पथ]] का उपयोग करने वाले अनुप्रयोग ही संरक्षित प्रक्रियाएँ बना सकते हैं।
*[[Windows Rights Management Services|विंडोज अधिकार प्रबंधन]] सेवा (आरएमएस) समर्थन, एक ऐसी तकनीक जो निगमों को निगमित दस्तावेज़ों, ईमेल और इंट्रानेट पर डीआरएम-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक ​​कि ऐसे लोगों द्वारा खोले जाने से भी संरक्षित किया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
* विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,<ref>[http://www.microsoft.com/whdc/system/vista/process_Vista.mspx Protected Processes in Windows Vista]</ref> जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में कुशलता पूर्वक प्रयोग नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक अभिगम बढ़ा दी है। हालाँकि, वर्तमान में, केवल [[संरक्षित वीडियो पथ]] का उपयोग करने वाले एप्लीकेशन ही संरक्षित प्रक्रियाएँ बना सकते हैं।


नई डिजिटल राइट्स मैनेजमेंट सुविधाओं को सम्मिलित करना विंडोज विस्टा#डिजिटल राइट्स मैनेजमेंट की आलोचना का एक स्रोत रहा है।
नई डिजिटल अधिकार प्रबंधन सुविधाओं को सम्मिलित करना विंडोज विस्टा की विवेचना का एक स्रोत रहा है।


== विंडोज सर्विस हार्डनिंग ==
== विंडोज सर्विस हार्डनिंग ==
विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से समझौता किया जाता है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से हमला नहीं कर सकता है। यह विंडोज सेवाओं को फाइल सिस्टम, रजिस्ट्री या नेटवर्क पर संचालन करने से रोकता है<ref>{{cite web
विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से सहमति की जाती है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से आक्षेप नहीं कर सकता है। यह विंडोज सेवाओं को फाइल प्रणाली, रजिस्ट्री या नेटवर्क पर संचालन करने से प्रतिबंधित करता है<ref>{{cite web
|url=http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx#EEF
|url=http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx#EEF
|title=Windows Vista Security and Data Protection Improvements – Windows Service Hardening
|title=Windows Vista Security and Data Protection Improvements – Windows Service Hardening
Line 119: Line 122:
|work=TechNet
|work=TechNet
|publisher=Microsoft
|publisher=Microsoft
}}</ref> जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र [[हमले की सतह]] कम हो जाती है और [[विंडोज़ सेवा]] का फायदा उठाकर मैलवेयर के प्रवेश को रोका जा सकता है। सेवाओं को अब एक प्रति-सेवा [[सुरक्षा पहचानकर्ता]] (SID) सौंपा गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट पहुँच के अनुसार सेवा तक पहुँच को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय ChangeServiceConfig2 एपीआई के माध्यम से या इसका उपयोग करके एक प्रति-सेवा SID असाइन किया जा सकता है <code>[[sc (command)|SC.EXE]]</code> सिडटाइप क्रिया के साथ कमांड। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी पहुँच को रोकने के लिए [[ कंट्रोल सूची को खोलो ]] (ACL) का भी उपयोग कर सकती हैं।
}}</ref> जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र [[हमले की सतह|आक्षेप]] कम हो जाता है और [[विंडोज़ सेवा]] का लाभ उठाकर मैलवेयर के प्रवेश को प्रतिबंधित किया जा सकता है। सेवाओं को एक प्रति-सेवा [[सुरक्षा पहचानकर्ता]] (एसआईडी) नियुक्त किया गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट अभिगम्य के अनुसार सेवा तक अभिगम्य को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय चेंजसर्विसकॉन्फिग2 एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से माध्यम से या सिडटाइप क्रिया के साथ <code>[[sc (command)|SC.EXE]]</code> कमांड का उपयोग करके एक प्रति-सेवा एसआईडी निर्दिष्ट किया जा सकता है।। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी अभिगम्य को रोकने के लिए [[ कंट्रोल सूची को खोलो |अभिगम्य नियंत्रण सूची]] (एसीएल) का भी उपयोग कर सकती हैं।


विंडोज विस्टा में सेवाएँ सिस्टम खाते के बजाय कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी चलती हैं। विंडोज़ के पिछले संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा चलाई। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं।<ref name="sessionisolation">[http://www.microsoft.com/whdc/system/vista/services.mspx Impact of Session 0 Isolation on Services and Drivers in Windows Vista] covers Windows Vista's session isolation changes.</ref> इसका उद्देश्य विंडोज मैसेज-पासिंग सिस्टम के शोषण के एक वर्ग को कम करने में मदद करना है, जिसे शैटर अटैक के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल HKLM\System\CurrentControlSet\Services के अंतर्गत RequiredPrivileges रजिस्ट्री मान में निर्दिष्ट विशेषाधिकार होते हैं।
विंडोज विस्टा में सेवाएँ सिस्टम खाते के अतिरिक्त कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी सक्रिय हैं। विंडोज़ के पूर्व संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा संचालित की है। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं।<ref name="sessionisolation">[http://www.microsoft.com/whdc/system/vista/services.mspx Impact of Session 0 Isolation on Services and Drivers in Windows Vista] covers Windows Vista's session isolation changes.</ref> इसका उद्देश्य विंडोज संदेश-प्रेषण सिस्टम के समुपयोजन के एक वर्ग को कम करने में सहायता करना है, जिसे शैटर आक्षेप के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल एचकेएलएम\सिस्टम\करंटकंट्रोलसेट\सर्विसेज के अंतर्गत आवश्यक-विशेषाधिकार रजिस्ट्री (पंजीकृत) मान में निर्दिष्ट विशेषाधिकार होते हैं।


सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन अनुमतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित पहुंच टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल नीति भी होगी, जो इसे ठीक से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को कठोर बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से रोकने के लिए [[MSRPC]] सर्वरों द्वारा उपयोग किए जाने वाले [[नामित पाइप]]ों को भी कठोर बनाता है।
सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन स्वीकृतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित अभिगम्य टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल युक्ति भी होगी, जो इसे सही से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को दृढ़ बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से प्रतिबंधित करने के लिए एमएसआरपीसी सर्वरों द्वारा उपयोग किए जाने वाले [[नामित पाइप]] को भी दृढ़ बनाता है।


== प्रमाणीकरण और लॉगऑन ==
== प्रमाणीकरण और लॉगऑन ==
{{Main|Winlogon}}
{{Main|विनलॉगन}}
[[ चित्रमय पहचान और प्रमाणीकरण ]] (ग्राफिकल आइडेंटिफिकेशन एंड ऑथेंटिकेशन), जिसका उपयोग सुरक्षित ऑथेंटिकेशन और इंटरेक्टिव लॉगऑन के लिए किया जाता है, को [[ क्रेडेंशियल सेवा प्रदाता ]] द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ संयुक्त, क्रेडेंशियल प्रदाता [[ बॉयोमेट्रिक्स ]] (फिंगरप्रिंट, रेटिनल, या वॉयस रिकग्निशन), पासवर्ड, [[व्यक्तिगत पहचान संख्या]] और [[स्मार्ट कार्ड]] प्रमाणपत्र, या किसी कस्टम [[प्रमाणीकरण]] पैकेज और स्कीमा थर्ड-पार्टी के माध्यम से उपयोगकर्ताओं को लॉग ऑन करने में सक्षम करने के लिए ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं। विकासक बनाना चाहते हैं। स्मार्ट कार्ड प्रमाणीकरण लचीला है क्योंकि प्रमाणपत्र आवश्यकताओं में ढील दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को [[केवल हस्ताक्षर के ऊपर]] (SSO) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित [[ नेटवर्क एक्सेस प्वाइंट ]] ([[RADIUS]] और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लिकेशन-विशिष्ट क्रेडेंशियल एकत्रण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण IPv6 या [[वेब सेवा]]ओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, CredSSP सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लिकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड SSP का उपयोग करके) लक्ष्य सर्वर (सर्वर-साइड SSP के माध्यम से) को सौंपने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा सिंगल साइन-ऑन प्रदान करने के लिए भी किया जाता है।
[[ चित्रमय पहचान और प्रमाणीकरण | चित्रमय पहचान और प्रमाणीकरण]] (जीआईएनए), सुरक्षित प्रमाणीकरण और परस्पर संवादात्मक लॉगऑन के लिए उपयोग किया जाता है, इसे क्रेडेंशियल (प्रमाणपत्र) प्रदाता द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ क्रेडेंशियल प्रदाता ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं ताकि उपयोगकर्ताओं को बायोमेट्रिक (जीवमिति) उपकरण (फिंगरप्रिंट, रेटिनल, या ध्वनि पहचान) पासवर्ड, पिन और स्मार्ट कार्ड सर्टिफिकेट या किसी भी कस्टम प्रमाणीकरण पैकेज और स्कीमा के माध्यम से लॉग ऑन करने में सक्षम बनाया जा सके। स्मार्ट कार्ड प्रमाणीकरण उपयोगी होता है क्योंकि प्रमाणपत्र आवश्यकताओं में छूट दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को [[केवल हस्ताक्षर के ऊपर|एकल साइन ऑन]] (एसएसओ) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित [[ नेटवर्क एक्सेस प्वाइंट |नेटवर्क अभिगम बिन्दु]] ([[RADIUS|दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा]] और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लीकेशन-विशिष्ट क्रेडेंशियल संग्रहण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण आईपीवी6 या [[वेब सेवा]]ओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, क्रेडएसएसपी सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लीकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड एसएसपी का उपयोग करके) लक्ष्य सर्वर (सर्वर-पक्ष एसएसपी के माध्यम से) को निर्दिष्ट करने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा एकल साइन-ऑन प्रदान करने के लिए भी किया जाता है।


विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा [[फ़ाइल सिस्टम को एन्क्रिप्ट करना]] कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक पहुंच योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।
विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा [[फ़ाइल सिस्टम को एन्क्रिप्ट करना]] कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक अभिगम्य योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।


[[ तेज़ उपयोगकर्ता स्विचिंग ]] जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में [[Windows Server 2008|विंडोज Server 2008]] में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।
[[ तेज़ उपयोगकर्ता स्विचिंग | तेज़ उपयोगकर्ता स्विचिंग]] जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में [[Windows Server 2008|विंडोज सर्वर 2008]] में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।


== क्रिप्टोग्राफी ==
== क्रिप्टोग्राफी ==
{{Main|Cryptographic API}}
{{Main|क्रिप्टोग्राफिक एपीआई}}
विंडोज विस्टा क्रिप्टो एपीआई के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एपीआई: नेक्स्ट जेनरेशन (सीएनजी) के रूप में जाना जाता है। [[सीएनजी एपीआई]] एक [[उपयोगकर्ता मोड]] और [[कर्नेल मोड]] एपीआई है जिसमें अंडाकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो [[राष्ट्रीय सुरक्षा एजेंसी]] (एनएसए) का हिस्सा हैं [http://www.nsa.gov/ia /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी]यह एक्स्टेंसिबल है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एपीआई प्लगिंग के लिए समर्थन सम्मिलित है। यह बेस [[ क्रिप्टोग्राफिक सेवा प्रदाता ]] मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड सबसिस्टम के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक कार्यों को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण ECC प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट ECC और SHA-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।
 
विंडोज विस्टा क्रिप्टो एप्लिकेशन प्रोग्राम इंटरफ़ेस के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एप्लिकेशन प्रोग्राम इंटरफ़ेस: अगली पीढ़ी (सीएनजी) के रूप में जाना जाता है। [[सीएनजी एपीआई|सीएनजी एप्लिकेशन प्रोग्राम इंटरफ़ेस]] एक [[उपयोगकर्ता मोड]] और [[कर्नेल मोड]] एप्लिकेशन प्रोग्राम इंटरफ़ेस है जिसमें दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो [[राष्ट्रीय सुरक्षा एजेंसी]] (एनएसए) [http://www.nsa.gov/ia /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी] का भाग हैं। यह प्रसारणीय है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एप्लिकेशन प्रोग्राम इंटरफ़ेस प्लगिंग के लिए समर्थन सम्मिलित है। यह आधार [[ क्रिप्टोग्राफिक सेवा प्रदाता |क्रिप्टोग्राफिक सेवा प्रदाता]] मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड उप-प्रणाली के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक फ़ंक्शन को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण विशेषज्ञ कंप्यूटर कोर्स प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट विशेषज्ञ कंप्यूटर कोर्स और एसएचए-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।


निरसन संशोधन में [[ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल]] (OCSP) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और CAPI2 डायग्नोस्टिक्स प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। CertEnroll, एक नया COM-आधारित नामांकन एपीआई लचीली प्रोग्रामेबिलिटी के लिए XEnroll लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी जोड़े, प्रमाणपत्र और प्रमाणपत्र को दोहराती हैं।
निरसन संशोधन में [[ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल]] (ओसीएसपी) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और सीएपीआई2 डायग्नोस्टिक प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। प्रमाणपत्र नामांकन, एक नया सीओएम-आधारित नामांकन एप्लिकेशन प्रोग्राम इंटरफ़ेस उपयुक्त प्रोग्राम-योग्यता के लिए एक्सएनरोल लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी युग्म, प्रमाणपत्र और क्रेडेंशियल्स को पुनरावृत्ति करता हैं।


== मेटाडेटा हटाना ==
== मेटाडेटा हटाना ==
गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी [[गोपनीयता]] की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर डेवलपर के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।<ref>[https://www.digitalconfidence.com/Remove-Properties-and-Personal-Information-a-Misleading-Feature.html Remove Properties and Personal Information: A Misleading Feature!]</ref>
गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी [[गोपनीयता]] की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर विकासक के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।<ref>[https://www.digitalconfidence.com/Remove-Properties-and-Personal-Information-a-Misleading-Feature.html Remove Properties and Personal Information: A Misleading Feature!]</ref>
 


== नेटवर्क अभिगम्य सुरक्षा ==
{{Main|नेटवर्क अभिगम्य सुरक्षा}}


== नेटवर्क एक्सेस प्रोटेक्शन ==
विंडोज विस्टा ने नेटवर्क अभिगम्य सुरक्षा (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित युक्ति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और अभिगम्य प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक अभिगम्य की स्वीकृति दी जाएगी, या पूरी तरह से अभिगम्य से अस्वीकृत कर दिया जाएगा। नेटवर्क अभिगम्य सुरक्षा वैकल्पिक रूप से एक गैर-अनुवर्ती वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप क्लाइंट को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।
{{Main|Network Access Protection}}
विंडोज विस्टा ने नेटवर्क एक्सेस प्रोटेक्शन (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित नीति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और पहुंच प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक पहुंच की स्वीकृति दी जाएगी, या पूरी तरह से पहुंच से इंकार कर दिया जाएगा। एनएपी वैकल्पिक रूप से एक गैर-अनुपालन वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप ग्राहक को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।


विंडोज Server 2008 सक्रिय करने वाला एक नेटवर्क नीति सर्वर स्वास्थ्य नीति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज XP#सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक [[वीपीएन]] सर्वर, रेडियस सर्वर या [[डीएचसीपी]] सर्वर भी स्वास्थ्य नीति सर्वर के रूप में कार्य कर सकता है।
विंडोज सर्वर 2008 सक्रिय करने वाला एक नेटवर्क युक्ति सर्वर स्वास्थ्य युक्ति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक [[वीपीएन]] सर्वर, रेडियस सर्वर या [[डीएचसीपी]] सर्वर भी स्वास्थ्य योजना सर्वर के रूप में कार्य कर सकता है।


== अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं ==
== अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं ==
* TCP/IP सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज [[विंडोज फ़िल्टरिंग प्लेटफ़ॉर्म]]WFP) के रूप में ज्ञात एक नए ढाँचे से बदल दिया गया है। WFP TCP/IP प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। WFP स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और अनुप्रयोगों का निर्माण करना आसान है, जिन्हें TCP/IP ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
* टीसीपी/आईपी सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज फ़िल्टरिंग प्लेटफ़ॉर्म (डब्ल्यूएफपी) के रूप में ज्ञात एक नए रूपरेखा से बदल दिया गया है। डब्ल्यूएफपी टीसीपी/आईपी प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। डब्ल्यूएफपी स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और एप्लीकेशन का निर्माण करना आसान है, जिन्हें टीसीपी/आईपी ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
* किसी नेटवर्क पर डेटा स्थानांतरित करते समय बेहतर सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट एलिप्टिक कर्व डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट [[उच्च एन्क्रिप्शन मानक]] (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें Kerberos (प्रोटोकॉल) प्रोटोकॉल और सामान्य सुरक्षा सेवा अनुप्रयोग प्रोग्राम इंटरफ़ेस। नए विनसॉक एपीआई में [[ परिवहन परत सुरक्षा ]] और टीएलएस कनेक्शन के लिए प्रत्यक्ष समर्थन सॉकेट अनुप्रयोगों को समर्थन के लिए अतिरिक्त कोड जोड़ने के बजाय एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है (जैसे कि सुरक्षा नीति और ट्रैफ़िक के लिए आवश्यकताएं प्रदान करना, सुरक्षा सेटिंग्स की क्वेरी करना)। एक सुरक्षित कनेक्शन। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर [[सक्रिय निर्देशिका]] डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का हिस्सा हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। भले ही अन्य प्रणालियाँ भौतिक रूप से एक ही नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का हिस्सा हो सकता है। Schannel [[सुरक्षा सेवा प्रदाता]] में नए सिफर सूट सम्मिलित हैं जो [[अण्डाकार वक्र क्रिप्टोग्राफी]] का समर्थन करते हैं, इसलिए ECC सिफर सूट को मानक TLS हैंडशेक के हिस्से के रूप में बातचीत की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यक्षमता को प्रतिस्थापित कर सकते हैं।
* किसी नेटवर्क पर डेटा स्थानांतरित करते समय अधिकतम सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट दीर्घवृत्तीय वक्र डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट [[उच्च एन्क्रिप्शन मानक]] (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें करबरोस प्रोटोकॉल और सामान्य सुरक्षा सेवा एप्लीकेशन प्रोग्राम इंटरफ़ेस सम्मिलित है। नए विंसॉक एपीआई में एसएसएल और टीएलएस संपर्क के लिए प्रत्यक्ष समर्थन सॉकेट एप्लीकेशन को एक सुरक्षित संपर्क का समर्थन करने के लिए अतिरिक्त कोड जोड़ने के अतिरिक्त एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है जैसे सुरक्षा नीति और ट्रैफ़िक जांच सुरक्षा संस्थापन प्रदान करना। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर [[सक्रिय निर्देशिका]] डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का भाग हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, और डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। तथापि अन्य प्रणालियाँ भौतिक रूप से समान नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का भाग हो सकता है। स्कनेल [[सुरक्षा सेवा प्रदाता]] में नए सिफर सुइट्स सम्मिलित हैं जो [[अण्डाकार वक्र क्रिप्टोग्राफी|दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी]] का समर्थन करते हैं, इसलिए विशेषज्ञ कंप्यूटर कोर्स सिफर सूट को मानक टीएलएस हैंडशेक के भाग के रूप में परस्पर क्रिया की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यात्मकता को प्रतिस्थापित कर सकते हैं।
* IPsec अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और बेहतर प्रमाणीकरण प्रदान करता है। IPsec IPv6 का समर्थन करता है, जिसमें [[इंटरनेट कुंजी विनिमय]] (IKE), [[AuthIP]] और डेटा एन्क्रिप्शन, क्लाइंट-टू-[[ डोमेन नियंत्रक ]] सुरक्षा, नेटवर्क एक्सेस प्रोटेक्शन और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क सपोर्ट के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और तैनाती क्षमता बढ़ाने के लिए, विंडोज विस्टा में ऑथिप सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि बातचीत और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।<ref>[http://www.microsoft.com/technet/community/columns/cableguy/cg0806.mspx AuthIP in Windows Vista]</ref>
* इंटरनेट प्रोटोकॉल सुरक्षा अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और अधिकतम प्रमाणीकरण प्रदान करता है। इंटरनेट प्रोटोकॉल सुरक्षा आईपीवी6 का समर्थन करता है, जिसमें [[इंटरनेट कुंजी विनिमय]] (आइक), [[AuthIP|प्रमाणित इंटरनेट प्रोटोकॉल]] और डेटा एन्क्रिप्शन, क्लाइंट-से-[[ डोमेन नियंत्रक | डोमेन नियंत्रक]] सुरक्षा, नेटवर्क अभिगम्य सुरक्षा और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क समर्थन के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और नियोजित क्षमता बढ़ाने के लिए, विंडोज विस्टा में प्रमाणित इंटरनेट प्रोटोकॉल सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि परस्पर क्रिया और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।<ref>[http://www.microsoft.com/technet/community/columns/cableguy/cg0806.mspx AuthIP in Windows Vista]</ref>
* IEEE 802.11i|802.11i (वाई-फ़ाई प्रोटेक्टेड एक्सेस#[[WPA2]]) जैसे नए वायरलेस मानकों के लिए बेहतर समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल #EAP-TLS (EAP-TLS) डिफॉल्ट ऑथेंटिकेशन मोड है। कनेक्शन वायरलेस एक्सेस प्वाइंट द्वारा समर्थित सबसे सुरक्षित कनेक्शन स्तर पर बनाए जाते हैं। WPA2 का उपयोग तदर्थ मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए सिंगल साइन-ऑन का उपयोग कर सकता है।<ref>[http://www.microsoft.com/technet/technetmag/issues/2007/11/CableGuy/?loc=en&rss=http://www.microsoft.com/technet/technetmag/issues/2007/11/CableGuy/?loc=en The Cable Guy: Wireless Single Sign-On]</ref> इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए [[MS-CHAP]]|MS-CHAP v2 प्रमाणीकरण दोनों के लिए एक ही RADIUS सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई पहुँच नहीं है। मशीन एक स्क्रिप्ट चलाएगी, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। [[ Verisign ]] जैसे [[सार्वजनिक मुख्य बुनियादी सुविधा]] (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
* 802.11i (वाई-फाई संरक्षित एक्सेस2) जैसे नए वायरलेस मानकों के लिए अधिकतम समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। प्रसारणीय प्रमाणीकरण प्रोटोकॉल अभिगमन स्तर सुरक्षा (ईएपी-टीएलएस) डिफ़ॉल्ट प्रमाणीकरण मोड है। संपर्क वायरलेस अभिगम बिन्दु द्वारा समर्थित सबसे सुरक्षित संपर्क स्तर पर बनाए जाते हैं। वाई-फाई संरक्षित अभिगम्य2 का उपयोग अनौपचारिक मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए एकल साइन-ऑन का उपयोग कर सकता है।<ref>[http://www.microsoft.com/technet/technetmag/issues/2007/11/CableGuy/?loc=en&rss=http://www.microsoft.com/technet/technetmag/issues/2007/11/CableGuy/?loc=en The Cable Guy: Wireless Single Sign-On]</ref> इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए एमएस-सीएचएपी वी2 प्रमाणीकरण दोनों के लिए समान दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई अभिगम्य नहीं है। मशीन एक स्क्रिप्ट संचलित करती है, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। वेरीसाइन जैसे सार्वजनिक कुंजी आधारिक संरचना (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
* विंडोज विस्टा में [[संरक्षित [[एक्स्टेंसिबल प्रमाणीकरण प्रोटोकॉल]]]] होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो आईईईई 802.1X|802.1X और पीपीपी जैसी सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क एक्सेस तकनीकों के लिए प्रमाणीकरण विधियों के लिए एक्स्टेंसिबिलिटी प्रदान करता है।<ref>[http://www.microsoft.com/technet/technetmag/issues/2007/05/cableguy/default.aspx EAPHost in Windows]</ref> यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
* विंडोज विस्टा में संरक्षित [[एक्स्टेंसिबल प्रमाणीकरण प्रोटोकॉल|प्रसारणीय प्रमाणीकरण प्रोटोकॉल]] होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क अभिगम्य तकनीकों जैसे 802.1X और पीपीपी के लिए प्रमाणीकरण विधियों के लिए प्रसारण क्षमता प्रदान करती है।<ref>[http://www.microsoft.com/technet/technetmag/issues/2007/05/cableguy/default.aspx EAPHost in Windows]</ref> यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
* विंडोज विस्टा [[पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल]] के साथ संरक्षित एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र PEAPv0/EAP-MSCHAPv2 (पासवर्ड) और PEAP-TLS (स्मार्टकार्ड और प्रमाणपत्र) हैं।
* विंडोज विस्टा [[पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल]] के साथ संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र पीईएपीवी0/ईएपी-एमएससीएपीवी2 (पासवर्ड) और पीईएपी-टीएलएस (स्मार्टकार्ड और प्रमाणपत्र) हैं।
* [[विंडोज विस्टा सर्विस पैक 1]] में [[ सुरक्षित सॉकेट टनलिंग प्रोटोकॉल ]], एक नया माइक्रोसॉफ्ट [[ मालिकाना प्रोटोकॉल ]] वीपीएन प्रोटोकॉल सम्मिलित है जो एक [[ सुरक्षित सॉकेट लेयर ]] चैनल के माध्यम से [[पॉइंट-टू-पॉइंट प्रोटोकॉल]] (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को ट्रांसपोर्ट करने के लिए एक तंत्र प्रदान करता है।
* विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल, एक नया माइक्रोसॉफ्ट स्वामित्व वीपीएन प्रोटोकॉल सम्मिलित है जो एसएसएल चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को अभिगमन करने के लिए एक तंत्र प्रदान करता है।


==x86-64-विशिष्ट विशेषताएं ==
==एक्स86-64-विशिष्ट विशेषताएं ==
* विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा निष्पादन रोकथाम (DEP) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित अपवाद हैंडलिंग है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, DEP, डिफ़ॉल्ट रूप से, सभी 64-बिट अनुप्रयोगों और सेवाओं के लिए x86-64 संस्करणों और उन 32-बिट अनुप्रयोगों के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित DEP एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक सिस्टम घटकों के लिए सक्षम है।<!-- Before hastily changing information is this para, note that it applies we're talking here only of 64-bit-specific features. There is a DEP paragraph above covering general DEP info including x86 editions of Vista. -->
* विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध (डीईपी) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित आक्षेप नियंत्रण है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, डेटा कार्यान्वयन प्रतिबंध, डिफ़ॉल्ट रूप से, सभी 64-बिट एप्लीकेशन और सेवाओं के लिए एक्स86-64 संस्करणों और उन 32-बिट एप्लीकेशन के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित डेटा कार्यान्वयन प्रतिबंध एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक प्रणाली घटकों के लिए सक्षम है।
* एक उन्नत [[कर्नेल पैच सुरक्षा]], जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड अनुप्रयोगों से स्वयं को छिपाने के लिए [[ rootkit ]]्स द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है।<ref>{{cite web
* उन्नत [[कर्नेल पैच सुरक्षा]], जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड एप्लीकेशन से स्वयं को छिपाने के लिए रूटकिट द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है।<ref>{{cite web
|url=http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/11/695993.aspx
|url=http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/11/695993.aspx
|title=An Introduction to Kernel Patch Protection
|title=An Introduction to Kernel Patch Protection
Line 169: Line 174:
|work=Windows Vista Security blog
|work=Windows Vista Security blog
|publisher=MSDN Blogs
|publisher=MSDN Blogs
}}</ref> पैचगार्ड को पहली बार विंडोज Server 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज XP Professional x64 संस्करण में सम्मिलित किया गया था।
}}</ref> पैचगार्ड को पहली बार विंडोज सर्वर 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज एक्सट्रीम प्रोग्रामिंग व्यावसायिक x64 संस्करण में सम्मिलित किया गया था।
* विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होना चाहिए; यहां तक ​​कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे।<ref name="kmsigning">{{cite web
* विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से साइनअप होना चाहिए; यहां तक ​​कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे।<ref name="kmsigning">{{cite web
|url=http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx
|url=http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx
|title=Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista
|title=Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista
Line 177: Line 182:
|work=WHDC
|work=WHDC
|publisher=Microsoft
|publisher=Microsoft
|archiveurl = https://web.archive.org/web/20060412070444/http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx <!-- Bot retrieved archive --> |archive-date = April 12, 2006}}</ref> विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट-टाइम विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
|archiveurl = https://web.archive.org/web/20060412070444/http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx <!-- Bot retrieved archive --> |archive-date = April 12, 2006}}</ref> विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट समय विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
* कोड वफ़ादारी चेक-योग हस्ताक्षरित कोड। सिस्टम बायनेरिज़ लोड करने से पहले, यह सुनिश्चित करने के लिए चेक-सम के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट लोडर कर्नेल की अखंडता, हार्डवेयर एब्स्ट्रक्शन लेयर (एचएएल) और बूट-स्टार्ट ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्पेस के अतिरिक्त, कोड इंटिग्रिटी बायनेरिज़ को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित डायनेमिक लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।
* कोड प्रामाणिकता जांच-योग साइन कोड है। सिस्टम बाइनरी लोड करने से पहले, यह सुनिश्चित करने के लिए जांच योग के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट भारक कर्नेल की प्रामाणिकता, हार्डवेयर अमूर्त परत (एचएएल) और बूट-प्रारंभ ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्थान के अतिरिक्त, कोड प्रामाणिकता बाइनरी को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित गतिशील लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।


== अन्य विशेषताएं और परिवर्तन ==
== अन्य विशेषताएं और परिवर्तन ==
कई विशिष्ट सुरक्षा और विश्वसनीयता परिवर्तन किए गए हैं:
सुरक्षा और विश्वसनीयता में कई विशिष्ट परिवर्तन किए गए हैं:
* एलएसए रहस्य (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा नीति, ऑडिटिंग आदि) को संग्रहीत करने के लिए मजबूत एन्क्रिप्शन का उपयोग किया जाता है।<ref>[http://www.passcape.com/index.php?section=docsys&cmd=details&id=23 Windows LSA Secrets]</ref>
* एलएसए गुप्ततः (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा युक्ति, ऑडिटिंग आदि) को संग्रहीत करने के लिए प्रबल एन्क्रिप्शन का उपयोग किया जाता है।<ref>[http://www.passcape.com/index.php?section=docsys&cmd=details&id=23 Windows LSA Secrets]</ref>
* विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए IEEE 1667 प्रमाणीकरण मानक के लिए समर्थन।<ref>[http://support.microsoft.com/kb/981319 An update is available that enables the support of Enhanced Storage devices in Windows Vista and in Windows Server 2008]</ref>
* विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए विद्युत और इलेक्ट्रॉनिक्स इंजीनियर्स संस्थान 1667 प्रमाणीकरण मानक के लिए समर्थन करता है।<ref>[http://support.microsoft.com/kb/981319 An update is available that enables the support of Enhanced Storage devices in Windows Vista and in Windows Server 2008]</ref>
* करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अद्यतन किया गया है।<ref>[https://technet.microsoft.com/en-us/library/cc749438(WS.10).aspx Kerberos Enhancements in Windows Vista: MSDN]</ref> SChannel SSP में मजबूत AES एन्क्रिप्शन और एलिप्टिक कर्व क्रिप्टोग्राफी सपोर्ट भी है।<ref>[https://technet.microsoft.com/en-us/library/cc766285(WS.10).aspx TLS/SSL Cryptographic Enhancements in Windows Vista]</ref>
* करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अपडेट किया गया है।<ref>[https://technet.microsoft.com/en-us/library/cc749438(WS.10).aspx Kerberos Enhancements in Windows Vista: MSDN]</ref> स्कनेल एसएसपी में प्रबल एईएस एन्क्रिप्शन और दीर्घवृत्तीय वक्र क्रिप्टोग्राफी समर्थन करता है।<ref>[https://technet.microsoft.com/en-us/library/cc766285(WS.10).aspx TLS/SSL Cryptographic Enhancements in Windows Vista]</ref>
* विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।<ref>[https://technet.microsoft.com/en-us/windowsvista/aa940985.aspx Using Software Restriction Policies to Protect Against Unauthorized Software]</ref> मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के बजाय डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] नियम एल्गोरिथ्म को [[MD5]] से मजबूत [[SHA256]] में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संवाद बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
* विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।<ref>[https://technet.microsoft.com/en-us/windowsvista/aa940985.aspx Using Software Restriction Policies to Protect Against Unauthorized Software]</ref> मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के अतिरिक्त डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] नियम एल्गोरिथ्म को [[MD5|एमडी5]] से प्रबल [[SHA256|एसएचA256]] में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संचार बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
* विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है (C: ड्राइव पर राइट-क्लिक करना और प्रारूप चुनना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड प्रॉम्प्ट पर प्राप्त होगा एक संदेश कह रहा है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है)। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू आइटम रिपेयर योर कंप्यूटर फ्रॉम द एडवांस्ड सिस्टम पुनः स्थापन ऑप्शंस को कंप्यूटर चालू करने पर F8 दबाकर चुनना चाहिए।
* विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है C ड्राइव पर दायें-क्लिक करना और प्रारूप चयन करना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड संकेत पर प्राप्त होगा एक संदेश है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू वस्तु संशोधन अपने कंप्यूटर उन्नत सिस्टम पुनः स्थापन विकल्प को कंप्यूटर सक्रिय करने पर F8 दबाकर चयन करना चाहिए।
* अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अद्यतन किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, चाहे एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड आइटम को [[विंडोज सर्च]] द्वारा अनुक्रमित किया जा सकता है या नहीं।
* अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अपडेट किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, फिर एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड वस्तु को [[विंडोज सर्च|विंडोज खोज]] द्वारा अनुक्रमित किया जा सकता है या नहीं किया जा सकता है।
* संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
* संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
* समूह नीति में एक नई नीति सेटिंग अंतिम सफल इंटरैक्टिव लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पिछले सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं। नीति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
* समूह युक्ति में एक नई युक्ति सेटिंग अंतिम सफल परस्पर क्रिया लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पूर्व सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या है। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं था। युक्ति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
* [[ विंडोज संसाधन संरक्षण ]] संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को रोकता है,<ref>[http://www.microsoft.com/technet/windowsvista/evaluate/feat/mngfeat.mspx Windows Vista Management features]</ref> [[विंडोज इंस्टालर]] के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को रोककर। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
* [[ विंडोज संसाधन संरक्षण | विंडोज संसाधन संरक्षण]] संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को प्रतिबंधित करता है,<ref>[http://www.microsoft.com/technet/windowsvista/evaluate/feat/mngfeat.mspx Windows Vista Management features]</ref> [[विंडोज इंस्टालर]] के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को प्रतिबंधित करता है। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
* संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल हैंडलिंग सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के खिलाफ सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम अखंडता प्रक्रिया के रूप में चलते हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक पहुंच प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को दुर्भावनापूर्ण सामग्री और सुरक्षा कमजोरियों से बचाते हैं, यहां तक ​​​​कि ActiveX नियंत्रणों में भी . इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (PStore) के बजाय पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एपीआई ([[DPAPI]]) का उपयोग करें।
* संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल नियंत्रण सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के विपरीत सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम प्रामाणिकता प्रक्रिया के रूप में संचलित हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक अभिगम्य प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को मेलिसियस वस्तु और सुरक्षा दुर्बलताओ से संरक्षित करते हैं, यहां तक ​​​​कि एक्टिवेक्स नियंत्रणों में भी संरक्षित किया जाता है। इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (पीस्टोर) के अतिरिक्त पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एप्लिकेशन प्रोग्राम इंटरफ़ेस (डीपीएपीआई) का उपयोग करें।
* विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले बंदरगाहों और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के कनेक्शन के लिए उस सेटिंग को याद रखता है।
* विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण है। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले पोर्ट और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के संपर्क के लिए उस सेटिंग को मेमोरी मे रखता है।
* [[यूजर-मोड ड्राइवर फ्रेमवर्क]] ड्राइवरों को सीधे कर्नेल तक पहुंचने से रोकता है, लेकिन इसके बजाय इसे एक समर्पित एपीआई के माध्यम से एक्सेस करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुचित तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।<ref>{{cite web | author=CNET.com| year=2007| title=विंडोज विस्टा अल्टीमेट रिव्यू| url=http://reviews.cnet.com/Windows_Vista_Ultimate/4505-3672_7-32013603.html | accessdate = 2007-01-31}}</ref>
* [[यूजर-मोड ड्राइवर फ्रेमवर्क|उपयोगकर्ता-मोड ड्राइवर फ्रेमवर्क]] ड्राइवरों को सीधे कर्नेल तक पहुंचने से प्रतिबंधित करता है, लेकिन इसके अतिरिक्त इसे एक समर्पित एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से अभिगम्य करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुपयुक्त तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।<ref>{{cite web | author=CNET.com| year=2007| title=विंडोज विस्टा अल्टीमेट रिव्यू| url=http://reviews.cnet.com/Windows_Vista_Ultimate/4505-3672_7-32013603.html | accessdate = 2007-01-31}}</ref>
* एंटी-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की निगरानी और पुनर्स्थापित करने के लिए [[विंडोज सुरक्षा केंद्र]] को अपग्रेड किया गया है। एंटी-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ [[Windows API|विंडोज एपीआई]] कॉल को जोड़ा गया है ताकि अनुप्रयोगों को विंडोज सुरक्षा केंद्र से समग्र स्वास्थ्य स्थिति पुनर्प्राप्त करने और स्वास्थ्य स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
* प्रति-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की संरक्षण और पुनर्स्थापित करने के लिए [[विंडोज सुरक्षा केंद्र]] को अपग्रेड किया गया है। प्रति-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ [[Windows API|विंडोज एप्लिकेशन प्रोग्राम इंटरफ़ेस]] कॉल को जोड़ा गया है ताकि एप्लीकेशन को विंडोज सुरक्षा केंद्र से समग्र हानि रहित स्थिति पुनर्प्राप्त करने और हानि रहित स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
* संरक्षित संग्रहण (PStore) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए PStore डेटा आइटम जोड़ने या सम्मिलित को प्रबंधित करने के लिए DPAPI का उपयोग करने की अनुशंसा करता है।<ref>{{Cite web |url=http://msdn2.microsoft.com/en-us/library/aa480152.aspx#appcomp_topic25 |title=SPAP मूल्यह्रास (PStore)|access-date=2007-04-17 |archive-url=https://web.archive.org/web/20080421122427/http://msdn2.microsoft.com/en-us/library/aa480152.aspx#appcomp_topic25 |archive-date=2008-04-21 |url-status=dead }}</ref> Internet Explorer 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए PStore के बजाय DPAPI का उपयोग करते हैं।
* संरक्षित संग्रहण (पीस्टोर) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए संरक्षित संग्रहण डेटा वस्तु जोड़ने या सम्मिलित को प्रबंधित करने के लिए डीपीएपीआई का उपयोग करने की अनुशंसा करता है।<ref>{{Cite web |url=http://msdn2.microsoft.com/en-us/library/aa480152.aspx#appcomp_topic25 |title=SPAP मूल्यह्रास (PStore)|access-date=2007-04-17 |archive-url=https://web.archive.org/web/20080421122427/http://msdn2.microsoft.com/en-us/library/aa480152.aspx#appcomp_topic25 |archive-date=2008-04-21 |url-status=dead }}</ref> इंटरनेट एक्सप्लोरर 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए संरक्षित संग्रहण के अतिरिक्त डीपीएपीआई का उपयोग करते हैं।
* विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता है, तब तक इसे [[सुरक्षित मोड]] से भी एक्सेस नहीं किया जा सकता है।
* विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता हो, तब तक इसे [[सुरक्षित मोड]] से भी अभिगम्य नहीं किया जा सकता है।


== यह भी देखें ==
== यह भी देखें ==
Line 207: Line 212:
==बाहरी संबंध==
==बाहरी संबंध==
* [http://www.securityfocus.com/cgi-bin/index.cgi?c=12&op=display_list&vendor=Microsoft&title=Windows%20Vista Vista vulnerabilities] from [[SecurityFocus]]
* [http://www.securityfocus.com/cgi-bin/index.cgi?c=12&op=display_list&vendor=Microsoft&title=Windows%20Vista Vista vulnerabilities] from [[SecurityFocus]]
[[Category: सॉफ्टवेयर सुविधाएँ | विंडोज विस्टा]] [[Category: Microsoft Windows सुरक्षा तकनीक]] [[Category: विंडोज विस्टा]] [[Category: माइक्रोसॉफ्ट सूचीबद्ध करता है]]


[[Category: Machine Translated Page]]
[[Category:Articles with hatnote templates targeting a nonexistent page]]
[[Category:Created On 11/05/2023]]
[[Category:Created On 11/05/2023]]
[[Category:Lua-based templates]]
[[Category:Machine Translated Page]]
[[Category:Microsoft Windows सुरक्षा तकनीक]]
[[Category:Pages with broken file links]]
[[Category:Pages with script errors]]
[[Category:Templates Vigyan Ready]]
[[Category:Templates that add a tracking category]]
[[Category:Templates that generate short descriptions]]
[[Category:Templates using TemplateData]]
[[Category:Windows Vista]]
[[Category:माइक्रोसॉफ्ट सूचीबद्ध करता है]]
[[Category:विंडोज विस्टा]]
[[Category:सॉफ्टवेयर सुविधाएँ| विंडोज विस्टा]]

Latest revision as of 11:21, 18 May 2023

विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।

2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र[1] को "डिजाइन द्वारा सुरक्षित, डिफ़ॉल्ट रूप से सुरक्षित, परिनियोजन में सुरक्षित" के अंतर्निहित नैतिकता के साथ स्वीकृत किया। विंडोज विस्टा के लिए नया कोड एसडीएल पद्धति के साथ विकसित किया गया था, और सभी सम्मिलित कोड की समीक्षा की गई और सुरक्षा में संशोधन के लिए पुन: सक्रिय किया गया।

कुछ विशिष्ट क्षेत्र जहां विंडोज विस्टा नई सुरक्षा और सुरक्षा तंत्र प्रस्तुत करता है, उनमें उपयोगकर्ता खाता नियंत्रण, अभिभावकीय नियंत्रण, नेटवर्क अभिगम्य सुरक्षा, एक अंतर्निहित मैलवेयर रोधी उपकरण और नई डिजिटल विषयवस्तु सुरक्षा तंत्र सम्मिलित हैं।

उपयोगकर्ता खाता नियंत्रण

उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लीकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।

यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लीकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लीकेशन में किरण केन्द्र (कंप्यूटिंग) नहीं है, तो इसका टास्कबार आइकन दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लीकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है।

चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लीकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लीकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।

इस धारणा के साथ लिखे गए एप्लीकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से एचकेई स्थानीय मशीन[2] यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लीकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा"

एन्क्रिप्शन

बिटलॉकर, जिसे पहले सिक्योर स्टार्टअप के नाम से जाना जाता था, यह सुविधा प्रणाली विस्तार के लिए पूर्ण डिस्क एन्क्रिप्शन प्रदान करती है। कमांड-लाइन उपयोगिता का उपयोग करके, अतिरिक्त विस्तार को एन्क्रिप्ट करना संभव है। बिटलॉकर अपनी एन्क्रिप्शन कुंजी को भंडारण करने के लिए टीसीजी विनिर्देशों के यूएसबी कुंजी या विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (टीपीएम) संस्करण 1.2 का उपयोग करता है। यह सुनिश्चित करता है कि विंडोज विस्टा सक्रिय करने वाला कंप्यूटर अच्छी स्थिति में प्रारंभ होता है, और यह डेटा को अनधिकृत अभिगम्य से भी संरक्षित करता है।[3] संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।

विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एप्लिकेशन प्रोग्राम इंटरफ़ेस, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है।[4][5] टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लीकेशन बनाना चाहते हैं।[6]

विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज सार्वजनिक आधारिक संरचना (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज सार्वजनिक आधारिक संरचना-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए स्मार्ट कार्ड की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है।

एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चयन किए गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है।

विंडोज फ़ायरवॉल

विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है[7] निगमित वातावरण में विंडोज फ़ायरवॉल के नम्यता के आसपास कई समस्याओ को दूर करने के लिए:

  • आईपीवी 6 संपर्क फ़िल्टरिंग
  • आउटबाउंड पैकेट फ़िल्टरिंग, स्पाइवेयर और कंप्यूटर वायरस के बारे में बढ़ती समस्याओ को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
  • उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी एड्रैस और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
  • पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चयन किए गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
  • इंटरनेट प्रोटोकॉल सुरक्षा पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, करबरोस (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर संपर्क की स्वीकृति या संपर्क नहीं करने की स्वीकृति देता है। किसी भी प्रकार के संपर्क के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर इंटरनेट प्रोटोकॉल सुरक्षा नीतियों के जटिल कॉन्फ़िगरेशन को नियंत्रण करने वाले विज़ार्ड का उपयोग करके एक संपर्क सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक इंटरनेट प्रोटोकॉल सुरक्षा द्वारा सुरक्षित है या नहीं है।
  • एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो इंटरनेट प्रोटोकॉल सुरक्षा कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक अभिगम्य प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
  • जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता रखता है। सर्वर और डोमेन वियोजन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन करता है।

विंडोज डिफेंडर ( प्रतिरक्षक)

विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट एंटी-स्पाईवेयर' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए प्रणाली की स्कैनिंग की सुविधा है, बल्कि विक्रय में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें वास्तविक समय सुरक्षा कारक भी सम्मिलित हैं जो स्पाइवेयर के कारण होने वाले परिवर्तनों के लिए विंडोज़ के कई सामान्य क्षेत्रों की संरक्षण करते हैं। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, स्वतः प्रारंभ एप्लीकेशन, सिस्टम कॉन्फ़िगरेशन संस्थापन और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।

विंडोज डिफ़ेंडर में स्थापित एक्टिवेक्स एप्लीकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें माइक्रोसॉफ्ट स्पाइनेट नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संचार करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लीकेशन स्वीकार्य हैं।

डिवाइस स्थापना नियंत्रण

विंडोज विस्टा व्यवस्थापकों को समूह युक्ति के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, उपकरण की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की श्रेणी तक अभिगम्य को प्रतिबंधित किया जा सके।[8][9]


पैरेंटल (अभिभावकीय) का नियंत्रण

File:Windows Vista Parental Controls.PNG
डेनिएल मानक उपयोगकर्ता खाते को प्रतिबंधित करने के लिए सुविधाओं को प्रदर्शित करने वाला विंडोज विस्टा का अभिभावकीय नियंत्रण

विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की संरक्षण और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए पैरेंटल के नियंत्रण की एक श्रेणी सम्मिलित है जो विंडोज सर्वर डोमेन का भाग नहीं हैं; उपयोगकर्ता अकाउंट (खाता) नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए विनसॉक स्तरित सेवा प्रदाता फ़िल्टर के रूप में प्रयुक्त किया गया—जो वस्तु की श्रेणियों या विशिष्ट एड्रैस के आधार पर वेबसाइटों तक अभिगम्य को प्रतिबंधित करता है सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ; समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है; गेम प्रतिबंध, जो प्रशासकों को मनोरंजन सॉफ़्टवेयर रेटिंग बोर्ड जैसे वीडियो गेम प्रकरण रेटिंग प्रणाली द्वारा परिभाषित नाम, वस्तु, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन सामान्य भाषा वाले E10+ गेम अभी भी ब्लॉक किए जाएंगे यदि सामान्य भाषा स्वयं ब्लॉक की गई है; प्लिकेशन प्रतिबंध, जो विशिष्ट एप्लीकेशन के लिए एप्लीकेशन व्हाइटलिस्ट (श्वेतसूची) का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर दृष्टि रखता है और रिकॉर्ड करता है।

विंडोज पैरेंटल द्वारा नियंत्रण में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए एप्लीकेशन प्रोग्रामिंग इंटरफेस (एप्लिकेशन प्रोग्राम इंटरफ़ेस) के साथ विकल्पों का एक प्रसारणीय सेट सम्मिलित है।

सुरक्षा कार्यात्मकता का समुपयोजन

विंडोज विस्टा मेमोरी में यादृच्छिक एड्रैस पर प्रणाली फ़ाइलों को लोड करने के लिए एड्रेस स्थान लेआउट यादृच्छिकरण (एएसएलआर) का उपयोग करता है।[10] डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर अच्छे तरीके से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में आंशिक स्थापित करना होता है, जो एड्रेस स्थान लेआउट यादृच्छिकरण का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल (निष्पादन योग्य) के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, स्टैक और हीप यादृच्छिक रूप से निर्धारित किया जाता है। रैंडम एड्रैस पर सिस्टम फ़ाइलों को लोड करने से, मेलिसियस कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह एलआईबीसी पर वापस जाने पर बफर ओवरफ्लो आक्षेपों को रोककर अधिकांश दूरस्थ कार्यान्वयन आक्षेपों को रोकने में सहायता करता है।

हैडर में आक्षेप प्रबंधन हैंडलर एड्रैस के अन्तः स्थापित करने का समर्थन करने के लिए पोर्टेबल निष्पादन योग्य प्रारूप को अपडेट किया गया है। जब भी कोई आक्षेप निर्दिष्ट किया जाता है, हैंडलर का एड्रैस निष्पादन योग्य हैडर में संग्रहीत एड्रैस से सत्यापित किया जाता है। यदि वे समान नहीं हैं, तो आक्षेप को नियंत्रित किया जाता है, अन्यथा यह प्रदर्शित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।

फंक्शन पॉइंटर्स को एक्सओआर-आईएनजी द्वारा एक यादृच्छिक संख्या के साथ भ्रमित किया जाता है, जिससे कि वास्तविक एड्रैस को पुनः प्राप्त करना कठिन हो जाता है। इसलिए एक पॉइंटर को मैन्युअल रूप से परिवर्तित करना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ एक्सओआर-एड हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए जाँच योग बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप विकृती का पता लगाने के लिए किया जाता है। जब भी हीप विकृती का पता चलता है, तो समुपयोजन के सफल समापन को रोकने के लिए एप्लीकेशन को नष्ट कर दिया जाता है।

विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका समुपयोजन जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और गैर- बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मानकों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में समुपयोजन करने के लिए, उन स्थानों तक अभिगम्य प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम सामान्य हैं।

एप्लीकेशन वियोजन

विंडोज विस्टा प्रक्रियाओं के लिए समाग्रता स्तर निर्धारित करने के लिए अनिवार्य समाग्रता नियंत्रण प्रस्तुत करता है। एक कम समाग्रता प्रक्रिया उच्च समाग्रता प्रक्रिया के संसाधनों तक अभिगम्य नहीं कर सकती है। इस सुविधा का उपयोग एप्लीकेशन वियोजन को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम समाग्रता स्तर में एप्लीकेशन, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी एप्लीकेशन सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च समाग्रता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड एप्लीकेशन विंडोज इंटरनेट एक्सप्लोरर 7 या इंटरनेट एक्सप्लोरर 8 जैसी कम समाग्रता प्रक्रियाओं पर हुक कर सकते हैं। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो नियंत्रण सत्यापन को निष्पादित नहीं कर सकती है, संदेश या पोस्टमेसेज को उच्च विशेषाधिकार एप्लीकेशन विंडो में नहीं प्रेषित कर सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है, उच्च विशेषाधिकार प्रक्रिया की संरक्षण के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए डीएलएल-इंजेक्शन नहीं कर सकता है।

डेटा कार्यान्वयन प्रतिबंध

विंडोज़ विस्टा आधुनिक प्रोसेसरों की एनएक्स बिट (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।[11] डेटा कार्यान्वयन प्रतिबंध को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 2 और विंडोज सर्वर 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। एएमडी के एएमडी64 प्रोसेसर में एनएक्स (ईवीपी) के रूप में और इंटेल के प्रोसेसर में एक्सडी (ईडीबी) के रूप में सम्मिलित यह सुविधा, मेमोरी के कुछ भागों को इसके अतिरिक्त डेटा युक्त के रूप में फ़्लैग (चिन्हित) कर सकती है। निष्पादन योग्य कोड का, जो ओवेरफ़्लो त्रुटियों को यादृच्छिक कोड कार्यान्वयन के परिणामस्वरूप प्रतिबंध करता है।

यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे स्टैक और हीप) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह समुपयोजन कोड को डेटा के रूप में अन्तः क्षिप्त करने और फिर निष्पादित होने से रोकता है।

यदि डीईपी सभी एप्लीकेशन के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के समुपयोजन के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लीकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी आक्षेप उत्पन्न करेंगे। इसलिए, डेटा कार्यान्वयन प्रतिबंध को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी एप्लीकेशन के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए सक्रिय किया जाता है। हालांकि, विंडोज विस्टा अतिरिक्त एनएक्स युक्ति नियंत्रण प्रस्तुत करता है जो सॉफ्टवेयर विकासक को सिस्टम-विस्तृत संगतता प्रयुक्त सेटिंग्स से स्वतंत्र अपने कोड के लिए एनएक्स हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है। विकासक अपने एप्लीकेशन को निर्मित होने पर एनएक्स-अनुवर्ती के रूप में चिह्नित कर सकते हैं, जो उस एप्लीकेशन के इंस्टॉल होने और संचालन पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारितंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता युक्ति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। एक्स86-64 एप्लीकेशन के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से डेटा कार्यान्वयन प्रतिबंध को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के एक्स86-64 संस्करणों में केवल प्रोसेसर-प्रबलित डेटा कार्यान्वयन प्रतिबंध का उपयोग किया जाता है।

डिजिटल अधिकार प्रबंधन

डिजिटल वस्तु प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से संरक्षित करने में सहायता करने के लिए विंडोज विस्टा में नए डिजिटल अधिकार प्रबंधन और वस्तु-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।

  • प्यूमा: संरक्षित उपयोगकर्ता मोड ऑडियो (प्यूमा) नया उपयोगकर्ता मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित वस्तु के प्रकाशक द्वारा स्वीकृत करने के लिए प्रतिबंधित करता है।[12]
  • पीवीपी (संरक्षित वीडियो पथ) - आउटपुट सुरक्षा प्रबंधन (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की कॉपी करने को प्रतिबंधित करती है, या वीडियो उपकरणों पर उनके प्रदर्शन को प्रतिबंधित करती है जिसमें समकक्ष कॉपी सुरक्षा (सामान्य रूप से एचडीसीपी) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना वस्तु उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से अस्वीकृति करके पीसी को कॉपीराइट वस्तु सक्रिय करने से प्रतिबंधित कर सकता है।[12]
  • संरक्षित वीडियो पथ - उपयोगकर्ता-अभिगम्य योग्य बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, इसके अतिरिक्त कि यह पीसीआई एक्सप्रेस बस पर संरक्षित वस्तु के एन्क्रिप्शन को प्रयुक्त करता है।
  • विंडोज अधिकार प्रबंधन सेवा (आरएमएस) समर्थन, एक ऐसी तकनीक जो निगमों को निगमित दस्तावेज़ों, ईमेल और इंट्रानेट पर डीआरएम-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक ​​कि ऐसे लोगों द्वारा खोले जाने से भी संरक्षित किया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
  • विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,[13] जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में कुशलता पूर्वक प्रयोग नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक अभिगम बढ़ा दी है। हालाँकि, वर्तमान में, केवल संरक्षित वीडियो पथ का उपयोग करने वाले एप्लीकेशन ही संरक्षित प्रक्रियाएँ बना सकते हैं।

नई डिजिटल अधिकार प्रबंधन सुविधाओं को सम्मिलित करना विंडोज विस्टा की विवेचना का एक स्रोत रहा है।

विंडोज सर्विस हार्डनिंग

विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से सहमति की जाती है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से आक्षेप नहीं कर सकता है। यह विंडोज सेवाओं को फाइल प्रणाली, रजिस्ट्री या नेटवर्क पर संचालन करने से प्रतिबंधित करता है[14] जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र आक्षेप कम हो जाता है और विंडोज़ सेवा का लाभ उठाकर मैलवेयर के प्रवेश को प्रतिबंधित किया जा सकता है। सेवाओं को एक प्रति-सेवा सुरक्षा पहचानकर्ता (एसआईडी) नियुक्त किया गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट अभिगम्य के अनुसार सेवा तक अभिगम्य को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय चेंजसर्विसकॉन्फिग2 एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से माध्यम से या सिडटाइप क्रिया के साथ SC.EXE कमांड का उपयोग करके एक प्रति-सेवा एसआईडी निर्दिष्ट किया जा सकता है।। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी अभिगम्य को रोकने के लिए अभिगम्य नियंत्रण सूची (एसीएल) का भी उपयोग कर सकती हैं।

विंडोज विस्टा में सेवाएँ सिस्टम खाते के अतिरिक्त कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी सक्रिय हैं। विंडोज़ के पूर्व संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा संचालित की है। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं।[15] इसका उद्देश्य विंडोज संदेश-प्रेषण सिस्टम के समुपयोजन के एक वर्ग को कम करने में सहायता करना है, जिसे शैटर आक्षेप के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल एचकेएलएम\सिस्टम\करंटकंट्रोलसेट\सर्विसेज के अंतर्गत आवश्यक-विशेषाधिकार रजिस्ट्री (पंजीकृत) मान में निर्दिष्ट विशेषाधिकार होते हैं।

सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन स्वीकृतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित अभिगम्य टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल युक्ति भी होगी, जो इसे सही से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को दृढ़ बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से प्रतिबंधित करने के लिए एमएसआरपीसी सर्वरों द्वारा उपयोग किए जाने वाले नामित पाइप को भी दृढ़ बनाता है।

प्रमाणीकरण और लॉगऑन

चित्रमय पहचान और प्रमाणीकरण (जीआईएनए), सुरक्षित प्रमाणीकरण और परस्पर संवादात्मक लॉगऑन के लिए उपयोग किया जाता है, इसे क्रेडेंशियल (प्रमाणपत्र) प्रदाता द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ क्रेडेंशियल प्रदाता ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं ताकि उपयोगकर्ताओं को बायोमेट्रिक (जीवमिति) उपकरण (फिंगरप्रिंट, रेटिनल, या ध्वनि पहचान) पासवर्ड, पिन और स्मार्ट कार्ड सर्टिफिकेट या किसी भी कस्टम प्रमाणीकरण पैकेज और स्कीमा के माध्यम से लॉग ऑन करने में सक्षम बनाया जा सके। स्मार्ट कार्ड प्रमाणीकरण उपयोगी होता है क्योंकि प्रमाणपत्र आवश्यकताओं में छूट दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को एकल साइन ऑन (एसएसओ) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित नेटवर्क अभिगम बिन्दु (दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लीकेशन-विशिष्ट क्रेडेंशियल संग्रहण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण आईपीवी6 या वेब सेवाओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, क्रेडएसएसपी सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लीकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड एसएसपी का उपयोग करके) लक्ष्य सर्वर (सर्वर-पक्ष एसएसपी के माध्यम से) को निर्दिष्ट करने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा एकल साइन-ऑन प्रदान करने के लिए भी किया जाता है।

विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा फ़ाइल सिस्टम को एन्क्रिप्ट करना कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक अभिगम्य योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।

तेज़ उपयोगकर्ता स्विचिंग जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में विंडोज सर्वर 2008 में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।

क्रिप्टोग्राफी

विंडोज विस्टा क्रिप्टो एप्लिकेशन प्रोग्राम इंटरफ़ेस के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एप्लिकेशन प्रोग्राम इंटरफ़ेस: अगली पीढ़ी (सीएनजी) के रूप में जाना जाता है। सीएनजी एप्लिकेशन प्रोग्राम इंटरफ़ेस एक उपयोगकर्ता मोड और कर्नेल मोड एप्लिकेशन प्रोग्राम इंटरफ़ेस है जिसमें दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो राष्ट्रीय सुरक्षा एजेंसी (एनएसए) /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी का भाग हैं। यह प्रसारणीय है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एप्लिकेशन प्रोग्राम इंटरफ़ेस प्लगिंग के लिए समर्थन सम्मिलित है। यह आधार क्रिप्टोग्राफिक सेवा प्रदाता मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड उप-प्रणाली के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक फ़ंक्शन को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण विशेषज्ञ कंप्यूटर कोर्स प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट विशेषज्ञ कंप्यूटर कोर्स और एसएचए-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।

निरसन संशोधन में ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (ओसीएसपी) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और सीएपीआई2 डायग्नोस्टिक प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। प्रमाणपत्र नामांकन, एक नया सीओएम-आधारित नामांकन एप्लिकेशन प्रोग्राम इंटरफ़ेस उपयुक्त प्रोग्राम-योग्यता के लिए एक्सएनरोल लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी युग्म, प्रमाणपत्र और क्रेडेंशियल्स को पुनरावृत्ति करता हैं।

मेटाडेटा हटाना

गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी गोपनीयता की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर विकासक के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।[16]


नेटवर्क अभिगम्य सुरक्षा

विंडोज विस्टा ने नेटवर्क अभिगम्य सुरक्षा (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित युक्ति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और अभिगम्य प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक अभिगम्य की स्वीकृति दी जाएगी, या पूरी तरह से अभिगम्य से अस्वीकृत कर दिया जाएगा। नेटवर्क अभिगम्य सुरक्षा वैकल्पिक रूप से एक गैर-अनुवर्ती वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप क्लाइंट को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।

विंडोज सर्वर 2008 सक्रिय करने वाला एक नेटवर्क युक्ति सर्वर स्वास्थ्य युक्ति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक वीपीएन सर्वर, रेडियस सर्वर या डीएचसीपी सर्वर भी स्वास्थ्य योजना सर्वर के रूप में कार्य कर सकता है।

अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं

  • टीसीपी/आईपी सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज फ़िल्टरिंग प्लेटफ़ॉर्म (डब्ल्यूएफपी) के रूप में ज्ञात एक नए रूपरेखा से बदल दिया गया है। डब्ल्यूएफपी टीसीपी/आईपी प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। डब्ल्यूएफपी स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और एप्लीकेशन का निर्माण करना आसान है, जिन्हें टीसीपी/आईपी ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
  • किसी नेटवर्क पर डेटा स्थानांतरित करते समय अधिकतम सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट दीर्घवृत्तीय वक्र डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट उच्च एन्क्रिप्शन मानक (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें करबरोस प्रोटोकॉल और सामान्य सुरक्षा सेवा एप्लीकेशन प्रोग्राम इंटरफ़ेस सम्मिलित है। नए विंसॉक एपीआई में एसएसएल और टीएलएस संपर्क के लिए प्रत्यक्ष समर्थन सॉकेट एप्लीकेशन को एक सुरक्षित संपर्क का समर्थन करने के लिए अतिरिक्त कोड जोड़ने के अतिरिक्त एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है जैसे सुरक्षा नीति और ट्रैफ़िक जांच सुरक्षा संस्थापन प्रदान करना। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर सक्रिय निर्देशिका डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का भाग हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, और डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। तथापि अन्य प्रणालियाँ भौतिक रूप से समान नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का भाग हो सकता है। स्कनेल सुरक्षा सेवा प्रदाता में नए सिफर सुइट्स सम्मिलित हैं जो दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी का समर्थन करते हैं, इसलिए विशेषज्ञ कंप्यूटर कोर्स सिफर सूट को मानक टीएलएस हैंडशेक के भाग के रूप में परस्पर क्रिया की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यात्मकता को प्रतिस्थापित कर सकते हैं।
  • इंटरनेट प्रोटोकॉल सुरक्षा अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और अधिकतम प्रमाणीकरण प्रदान करता है। इंटरनेट प्रोटोकॉल सुरक्षा आईपीवी6 का समर्थन करता है, जिसमें इंटरनेट कुंजी विनिमय (आइक), प्रमाणित इंटरनेट प्रोटोकॉल और डेटा एन्क्रिप्शन, क्लाइंट-से- डोमेन नियंत्रक सुरक्षा, नेटवर्क अभिगम्य सुरक्षा और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क समर्थन के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और नियोजित क्षमता बढ़ाने के लिए, विंडोज विस्टा में प्रमाणित इंटरनेट प्रोटोकॉल सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि परस्पर क्रिया और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।[17]
  • 802.11i (वाई-फाई संरक्षित एक्सेस2) जैसे नए वायरलेस मानकों के लिए अधिकतम समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। प्रसारणीय प्रमाणीकरण प्रोटोकॉल अभिगमन स्तर सुरक्षा (ईएपी-टीएलएस) डिफ़ॉल्ट प्रमाणीकरण मोड है। संपर्क वायरलेस अभिगम बिन्दु द्वारा समर्थित सबसे सुरक्षित संपर्क स्तर पर बनाए जाते हैं। वाई-फाई संरक्षित अभिगम्य2 का उपयोग अनौपचारिक मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए एकल साइन-ऑन का उपयोग कर सकता है।[18] इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए एमएस-सीएचएपी वी2 प्रमाणीकरण दोनों के लिए समान दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई अभिगम्य नहीं है। मशीन एक स्क्रिप्ट संचलित करती है, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। वेरीसाइन जैसे सार्वजनिक कुंजी आधारिक संरचना (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
  • विंडोज विस्टा में संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क अभिगम्य तकनीकों जैसे 802.1X और पीपीपी के लिए प्रमाणीकरण विधियों के लिए प्रसारण क्षमता प्रदान करती है।[19] यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
  • विंडोज विस्टा पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल के साथ संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र पीईएपीवी0/ईएपी-एमएससीएपीवी2 (पासवर्ड) और पीईएपी-टीएलएस (स्मार्टकार्ड और प्रमाणपत्र) हैं।
  • विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल, एक नया माइक्रोसॉफ्ट स्वामित्व वीपीएन प्रोटोकॉल सम्मिलित है जो एसएसएल चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को अभिगमन करने के लिए एक तंत्र प्रदान करता है।

एक्स86-64-विशिष्ट विशेषताएं

  • विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध (डीईपी) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित आक्षेप नियंत्रण है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, डेटा कार्यान्वयन प्रतिबंध, डिफ़ॉल्ट रूप से, सभी 64-बिट एप्लीकेशन और सेवाओं के लिए एक्स86-64 संस्करणों और उन 32-बिट एप्लीकेशन के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित डेटा कार्यान्वयन प्रतिबंध एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक प्रणाली घटकों के लिए सक्षम है।
  • उन्नत कर्नेल पैच सुरक्षा, जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड एप्लीकेशन से स्वयं को छिपाने के लिए रूटकिट द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है।[20] पैचगार्ड को पहली बार विंडोज सर्वर 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज एक्सट्रीम प्रोग्रामिंग व्यावसायिक x64 संस्करण में सम्मिलित किया गया था।
  • विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से साइनअप होना चाहिए; यहां तक ​​कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे।[21] विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट समय विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
  • कोड प्रामाणिकता जांच-योग साइन कोड है। सिस्टम बाइनरी लोड करने से पहले, यह सुनिश्चित करने के लिए जांच योग के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट भारक कर्नेल की प्रामाणिकता, हार्डवेयर अमूर्त परत (एचएएल) और बूट-प्रारंभ ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्थान के अतिरिक्त, कोड प्रामाणिकता बाइनरी को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित गतिशील लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।

अन्य विशेषताएं और परिवर्तन

सुरक्षा और विश्वसनीयता में कई विशिष्ट परिवर्तन किए गए हैं:

  • एलएसए गुप्ततः (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा युक्ति, ऑडिटिंग आदि) को संग्रहीत करने के लिए प्रबल एन्क्रिप्शन का उपयोग किया जाता है।[22]
  • विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए विद्युत और इलेक्ट्रॉनिक्स इंजीनियर्स संस्थान 1667 प्रमाणीकरण मानक के लिए समर्थन करता है।[23]
  • करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अपडेट किया गया है।[24] स्कनेल एसएसपी में प्रबल एईएस एन्क्रिप्शन और दीर्घवृत्तीय वक्र क्रिप्टोग्राफी समर्थन करता है।[25]
  • विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।[26] मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के अतिरिक्त डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट क्रिप्टोग्राफ़िक हैश फ़ंक्शन नियम एल्गोरिथ्म को एमडी5 से प्रबल एसएचA256 में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संचार बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
  • विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है C ड्राइव पर दायें-क्लिक करना और प्रारूप चयन करना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड संकेत पर प्राप्त होगा एक संदेश है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू वस्तु संशोधन अपने कंप्यूटर उन्नत सिस्टम पुनः स्थापन विकल्प को कंप्यूटर सक्रिय करने पर F8 दबाकर चयन करना चाहिए।
  • अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अपडेट किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, फिर एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड वस्तु को विंडोज खोज द्वारा अनुक्रमित किया जा सकता है या नहीं किया जा सकता है।
  • संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
  • समूह युक्ति में एक नई युक्ति सेटिंग अंतिम सफल परस्पर क्रिया लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पूर्व सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या है। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं था। युक्ति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
  • विंडोज संसाधन संरक्षण संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को प्रतिबंधित करता है,[27] विंडोज इंस्टालर के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को प्रतिबंधित करता है। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
  • संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल नियंत्रण सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के विपरीत सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम प्रामाणिकता प्रक्रिया के रूप में संचलित हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक अभिगम्य प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को मेलिसियस वस्तु और सुरक्षा दुर्बलताओ से संरक्षित करते हैं, यहां तक ​​​​कि एक्टिवेक्स नियंत्रणों में भी संरक्षित किया जाता है। इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (पीस्टोर) के अतिरिक्त पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एप्लिकेशन प्रोग्राम इंटरफ़ेस (डीपीएपीआई) का उपयोग करें।
  • विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण है। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले पोर्ट और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के संपर्क के लिए उस सेटिंग को मेमोरी मे रखता है।
  • उपयोगकर्ता-मोड ड्राइवर फ्रेमवर्क ड्राइवरों को सीधे कर्नेल तक पहुंचने से प्रतिबंधित करता है, लेकिन इसके अतिरिक्त इसे एक समर्पित एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से अभिगम्य करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुपयुक्त तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।[28]
  • प्रति-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की संरक्षण और पुनर्स्थापित करने के लिए विंडोज सुरक्षा केंद्र को अपग्रेड किया गया है। प्रति-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ विंडोज एप्लिकेशन प्रोग्राम इंटरफ़ेस कॉल को जोड़ा गया है ताकि एप्लीकेशन को विंडोज सुरक्षा केंद्र से समग्र हानि रहित स्थिति पुनर्प्राप्त करने और हानि रहित स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
  • संरक्षित संग्रहण (पीस्टोर) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए संरक्षित संग्रहण डेटा वस्तु जोड़ने या सम्मिलित को प्रबंधित करने के लिए डीपीएपीआई का उपयोग करने की अनुशंसा करता है।[29] इंटरनेट एक्सप्लोरर 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए संरक्षित संग्रहण के अतिरिक्त डीपीएपीआई का उपयोग करते हैं।
  • विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता हो, तब तक इसे सुरक्षित मोड से भी अभिगम्य नहीं किया जा सकता है।

यह भी देखें

संदर्भ

  1. Steve Lipner, Michael Howard (March 2005). "The Trustworthy Computing Security Development Lifecycle". Microsoft Developer Network. Retrieved 2006-02-15.
  2. Charles (2007-03-05). "UAC - What. How. Why" (video). Retrieved 2007-03-23.
  3. "Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide". Microsoft TechNet. 2005. Retrieved 2006-04-13.
  4. "Windows विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल प्रबंधन चरण-दर-चरण मार्गदर्शिका". TechNet. Microsoft. Retrieved 18 November 2014.
  5. "Win32_Tpm class". MSDN. Microsoft. Retrieved 18 November 2014.
  6. "टीपीएम बेस सर्विसेज". MSDN. Microsoft. Retrieved 18 November 2014.
  7. The January 2006 issue of The Cable Guy covers the new features and interfaces in Windows Firewall in greater detail.
  8. "समूह नीति का उपयोग करके डिवाइस स्थापना को नियंत्रित करने के लिए चरण-दर-चरण मार्गदर्शिका". MSDN. Microsoft.
  9. "समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों का प्रबंधन". TechNet Magazine. Microsoft.
  10. Howard, Michael (May 26, 2006). "विंडोज विस्टा में एड्रेस स्पेस लेआउट रेंडमाइजेशन". MSDN. Microsoft. Archived from the original on May 29, 2006. Retrieved March 20, 2023.
  11. "Windows Vista में सुरक्षा प्रगति". Archived from the original on 2007-04-11. Retrieved 2007-04-10.
  12. 12.0 12.1 "Output Content Protection and Windows Vista". WHDC. Microsoft. April 27, 2005. Archived from the original on 6 August 2005. Retrieved 2006-04-30.
  13. Protected Processes in Windows Vista
  14. "Windows Vista Security and Data Protection Improvements – Windows Service Hardening". TechNet. Microsoft. June 1, 2005. Retrieved 2006-05-21.
  15. Impact of Session 0 Isolation on Services and Drivers in Windows Vista covers Windows Vista's session isolation changes.
  16. Remove Properties and Personal Information: A Misleading Feature!
  17. AuthIP in Windows Vista
  18. The Cable Guy: Wireless Single Sign-On
  19. EAPHost in Windows
  20. Field, Scott (August 11, 2006). "An Introduction to Kernel Patch Protection". Windows Vista Security blog. MSDN Blogs. Retrieved August 12, 2006.
  21. "Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista". WHDC. Microsoft. May 19, 2006. Archived from the original on April 12, 2006. Retrieved May 19, 2006.
  22. Windows LSA Secrets
  23. An update is available that enables the support of Enhanced Storage devices in Windows Vista and in Windows Server 2008
  24. Kerberos Enhancements in Windows Vista: MSDN
  25. TLS/SSL Cryptographic Enhancements in Windows Vista
  26. Using Software Restriction Policies to Protect Against Unauthorized Software
  27. Windows Vista Management features
  28. CNET.com (2007). "विंडोज विस्टा अल्टीमेट रिव्यू". Retrieved 2007-01-31.
  29. "SPAP मूल्यह्रास (PStore)". Archived from the original on 2008-04-21. Retrieved 2007-04-17.


बाहरी संबंध