विंडोज विस्टा में सुरक्षा और सुरक्षा सुविधाएँ

From Vigyanwiki

Windows Vista Windows Vista में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व Microsoft Windows ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।

2002 के प्रारंभ में माइक्रोसॉफ्ट की भरोसेमंद कंप्यूटिंग पहल की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में काफी काम किया गया है। आंतरिक रूप से, Microsoft ने एक भरोसेमंद कंप्यूटिंग सुरक्षा विकास जीवनचक्र अपनाया[1] डिजाइन द्वारा सुरक्षित, डिफ़ॉल्ट रूप से सुरक्षित, परिनियोजन में सुरक्षित के अंतर्निहित लोकाचार के साथ। विंडोज विस्टा के लिए नया कोड एसडीएल पद्धति के साथ विकसित किया गया था, और सभी सम्मिलित कोड की समीक्षा की गई और सुरक्षा में सुधार के लिए पुन: सक्रिय किया गया।

कुछ विशिष्ट क्षेत्र जहां विंडोज विस्टा नई सुरक्षा और सुरक्षा तंत्र प्रस्तुत करता है, उनमें उपयोगकर्ता खाता नियंत्रण, पैतृक नियंत्रण, नेटवर्क एक्सेस प्रोटेक्शन, एक अंतर्निहित एंटी-मैलवेयर टूल और नई डिजिटल सामग्री सुरक्षा तंत्र सम्मिलित हैं।

उपयोगकर्ता खाता नियंत्रण

उपयोगकर्ता खाता नियंत्रण एक नया बुनियादी ढाँचा है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी कार्रवाई की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लिकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ कार्रवाई का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या सिस्टम या सुरक्षा सेटिंग्स बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि कार्रवाई की स्वीकृति दें या नहीं। यदि उपयोगकर्ता स्वीकृति देना चुनता है, तो कार्रवाई शुरू करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर क्रेडेंशियल्स) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड दर्ज करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या क्रेडेंशियल्स के लिए पूछने का विकल्प चुन सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।

यूएसी एक सुरक्षित डेस्कटॉप मोड में क्रेडेंशियल्स के लिए पूछता है, जहां पूरी स्क्रीन फीका हो जाती है और अस्थायी रूप से अक्षम हो जाती है, केवल एलिवेशन यूआई प्रस्तुत करने के लिए। यह उन्नयन का अनुरोध करने वाले एप्लिकेशन द्वारा UI या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लिकेशन में फोकस (कंप्यूटिंग) नहीं है, तो इसका टास्कबार आइकन ब्लिंक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है (हालांकि, किसी दुर्भावनापूर्ण एप्लिकेशन को चुपचाप प्राप्त करने से रोकना संभव नहीं है फोकस)।

चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले सिस्टम एप्लिकेशन को चलाने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लिकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह चकनाचूर हमलों से बचाने में भी मदद कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर दुर्भावनापूर्ण कोड चलाने या उपयोगकर्ता इंटरफ़ेस को खराब करने के लिए विंडोज इंटर-प्रोसेस संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश भेजना चाहती है, उसे यूएसी के माध्यम से खुद को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।

इस धारणा के साथ लिखे गए एप्लिकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ चलेंगे, सीमित उपयोगकर्ता खातों से चलने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, अक्सर क्योंकि उन्होंने मशीन-वाइड या सिस्टम निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। (विशेष रूप से HKEY स्थानीय मशीन)[2] UAC फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है (और बाद में पढ़ता है)। उदाहरण के लिए, यदि कोई एप्लिकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर पुनर्निर्देशित हो जाएगा \AppData\Local\VirtualStore\Program Files\appname\।"

एन्क्रिप्शन

BitLocker, जिसे पहले सिक्योर स्टार्टअप के नाम से जाना जाता था, यह सुविधा सिस्टम वॉल्यूम के लिए पूर्ण डिस्क एन्क्रिप्शन प्रदान करती है। कमांड-लाइन उपयोगिता का उपयोग करके, अतिरिक्त वॉल्यूम को एन्क्रिप्ट करना संभव है। Bitlocker अपनी एन्क्रिप्शन कुंजी को स्टोर करने के लिए TCG विनिर्देशों के USB कुंजी या विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (TPM) संस्करण 1.2 का उपयोग करता है। यह सुनिश्चित करता है कि विंडोज विस्टा चलाने वाला कंप्यूटर ज्ञात-अच्छी स्थिति में शुरू होता है, और यह डेटा को अनधिकृत पहुंच से भी बचाता है।[3] वॉल्यूम पर डेटा को पूर्ण वॉल्यूम एन्क्रिप्शन कुंजी (FVEK) के साथ एन्क्रिप्ट किया गया है, जिसे आगे वॉल्यूम मास्टर कुंजी (VMK) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।

Windows Vista पहला Microsoft Windows ऑपरेटिंग सिस्टम है जो TPM के उपयोग और प्रबंधन के लिए API, कमांड, क्लास और सेवाओं का एक सेट प्रदान करके TPM 1.2 के लिए मूल समर्थन प्रदान करता है।[4][5] टीपीएम बेस सर्विसेज के रूप में संदर्भित एक नई प्रणाली सेवा, उन डेवलपर्स के लिए टीपीएम संसाधनों तक पहुंच और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लिकेशन बनाना चाहते हैं।[6] विंडोज़ विस्टा में एनक्रिप्टिंग फाइल सिस्टम (ईएफएस) का इस्तेमाल विंडोज एनटी लाइन में सिस्टम पेजिंग#पेजिंग और प्रति-उपयोगकर्ता ऑफ़लाइन फ़ाइलें कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज सार्वजनिक मुख्य बुनियादी सुविधा (पीकेआई) के साथ अधिक मजबूती से एकीकृत है, और पीकेआई-आधारित कुंजी रिकवरी, ईएफएस रिकवरी सर्टिफिकेट के माध्यम से डेटा रिकवरी या दोनों के संयोजन का समर्थन करता है। EFS के लिए स्मार्ट कार्ड की आवश्यकता, पृष्ठ फ़ाइल एन्क्रिप्शन प्रयुक्त करने, EFS के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के मेरे दस्तावेज़ों के एन्क्रिप्शन को प्रयुक्त करने और स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब साफ किया जा सकता है जब कोई उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद।

EFS रीकीइंग विज़ार्ड उपयोगकर्ता को EFS के लिए एक प्रमाणपत्र चुनने और सम्मिलित फ़ाइलों को चुनने और माइग्रेट करने की स्वीकृति देता है जो नए चुने गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके EFS पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी EFS कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर सर्टिफिकेट से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन में उपयोगकर्ताओं को माइग्रेट करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक कुशल है।

विंडोज फ़ायरवॉल

Windows Vista फ़ायरवॉल में महत्वपूर्ण रूप से सुधार करता है[7] कॉर्पोरेट वातावरण में विंडोज फ़ायरवॉल के लचीलेपन के आसपास कई चिंताओं को दूर करने के लिए:

  • IPv6 कनेक्शन फ़िल्टरिंग
  • आउटबाउंड पैकेट फ़िल्टरिंग, स्पाइवेयर और कंप्यूटर वायरस के बारे में बढ़ती चिंताओं को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
  • उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी पते और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
  • पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चुने गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
  • IPsec पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, Kerberos (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर कनेक्शन की स्वीकृति या इनकार करने की स्वीकृति देता है। किसी भी प्रकार के कनेक्शन के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर IPsec नीतियों के जटिल कॉन्फ़िगरेशन को संभालने वाले विज़ार्ड का उपयोग करके एक कनेक्शन सुरक्षा नियम बनाया जा सकता है। Windows फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक IPsec द्वारा सुरक्षित है या नहीं।
  • एक नया Microsoft प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो IPsec कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक पहुँच प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
  • जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता। सर्वर और डोमेन आइसोलेशन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन।

विंडोज डिफेंडर

विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। Microsoft के अनुसार, इसका नाम बदलकर 'Microsoft AntiSpyware' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए सिस्टम की स्कैनिंग की सुविधा है, बल्कि बाजार में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें रियल टाइम सुरक्षा एजेंट भी सम्मिलित हैं जो विंडोज के कई सामान्य क्षेत्रों में बदलाव के लिए निगरानी करते हैं। स्पाइवेयर के कारण हो सकता है। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, ऑटो-स्टार्ट एप्लिकेशन, सिस्टम कॉन्फ़िगरेशन सेटिंग्स और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।

Windows डिफ़ेंडर में स्थापित ActiveX एप्लिकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें माइक्रोसॉफ्ट स्पाइनेट नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संवाद करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लिकेशन स्वीकार्य हैं।

डिवाइस स्थापना नियंत्रण

Windows Vista व्यवस्थापकों को समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, डिवाइस की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की कक्षाओं तक पहुंच को प्रतिबंधित किया जा सके।[8][9]


माता-पिता का नियंत्रण

File:Windows Vista Parental Controls.PNG
डेनिएल मानक उपयोगकर्ता खाते को प्रतिबंधित करने के लिए सुविधाओं को प्रदर्शित करने वाला विंडोज विस्टा का अभिभावकीय नियंत्रण

Windows Vista में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की निगरानी और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए माता-पिता के नियंत्रण की एक श्रृंखला सम्मिलित है जो Windows सर्वर डोमेन का हिस्सा नहीं हैं; उपयोगकर्ता खाता नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए विनसॉक स्तरित सेवा प्रदाता फ़िल्टर के रूप में प्रयुक्त किया गया—जो सामग्री की श्रेणियों या विशिष्ट पतों के आधार पर वेबसाइटों तक पहुँच को प्रतिबंधित करता है (सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ); समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है (और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है); गेम प्रतिबंध, जो प्रशासकों को एंटरटेनमेंट सॉफ्टवेयर रेटिंग बोर्ड जैसे वीडियो गेम सामग्री रेटिंग प्रणाली द्वारा परिभाषित नाम, सामग्री, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से चलाने की स्वीकृति दी जा सकती है, लेकिन हल्की भाषा वाले E10+ गेम अभी भी ब्लॉक किए जाएंगे यदि हल्की भाषा स्वयं ब्लॉक की गई है); आवेदन प्रतिबंध, जो विशिष्ट अनुप्रयोगों के लिए श्वेतसूचीकरण#अनुप्रयोग श्वेतसूची का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर नज़र रखता है और रिकॉर्ड करता है।

विंडोज माता पिता द्वारा नियंत्रण में डेवलपर्स के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के साथ विकल्पों का एक एक्स्टेंसिबल सेट सम्मिलित है।

शोषण सुरक्षा कार्यक्षमता

विंडोज विस्टा स्मृति में यादृच्छिक पते पर सिस्टम फ़ाइलों को लोड करने के लिए एड्रेस स्पेस लेआउट रेंडमाइजेशन (एएसएलआर) का उपयोग करता है।[10] डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर बेतरतीब ढंग से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल|पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में थोड़ा सा सेट करना होता है, जो एएसएलआर का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल्स के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, ढेर और ढेर आवंटित बेतरतीब ढंग से तय किया गया है। रैंडम पतों पर सिस्टम फ़ाइलों को लोड करने से, दुर्भावनापूर्ण कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह रिटर्न-टू-एलआईबीसी बफ़र अधिकता हमलों को रोककर अधिकांश दूरस्थ निष्पादन हमलों को रोकने में मदद करता है।

शीर्षलेख में अपवाद प्रबंधन हैंडलर पते के एम्बेडिंग का समर्थन करने के लिए पोर्टेबल निष्पादन योग्य प्रारूप को अद्यतन किया गया है। जब भी कोई अपवाद फेंका जाता है, हैंडलर का पता निष्पादन योग्य शीर्षलेख में संग्रहीत पते से सत्यापित किया जाता है। यदि वे मेल खाते हैं, तो अपवाद को संभाला जाता है, अन्यथा यह इंगित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।

फ़ंक्शन पॉइंटर्स को XOR | XOR-ing द्वारा एक यादृच्छिक संख्या के साथ अस्पष्ट किया जाता है, जिससे कि इंगित किए गए वास्तविक पते को पुनः प्राप्त करना कठिन हो। इसलिए एक पॉइंटर को मैन्युअल रूप से बदलना होगा, क्योंकि पॉइंटर के लिए इस्तेमाल की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ XOR-ed हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए चेक-सम बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप भ्रष्टाचार का पता लगाने के लिए किया जाता है। जब भी ढेर भ्रष्टाचार का पता चलता है, तो शोषण के सफल समापन को रोकने के लिए आवेदन को मार दिया जाता है।

विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब Windows Vista बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका शोषण जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और नॉन बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मापदंडों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में शोषण करने के लिए, उन स्थानों तक पहुंच प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम आम हैं।

आवेदन अलगाव

विंडोज विस्टा प्रक्रियाओं के लिए अखंडता स्तर निर्धारित करने के लिए अनिवार्य अखंडता नियंत्रण प्रस्तुत करता है। एक कम अखंडता प्रक्रिया उच्च अखंडता प्रक्रिया के संसाधनों तक नहीं पहुंच सकती है। इस सुविधा का उपयोग अनुप्रयोग अलगाव को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम अखंडता स्तर में अनुप्रयोग, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी अनुप्रयोग सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च अखंडता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड अनुप्रयोग लेकिन हुक कर सकते हैं विंडोज इंटरनेट एक्सप्लोरर 7 या इंटरनेट एक्सप्लोरर 8 जैसी कम अखंडता प्रक्रियाओं पर। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो हैंडल सत्यापन को निष्पादित नहीं कर सकती है, मैसेज या पोस्टमेसेज को उच्च विशेषाधिकार एप्लिकेशन विंडो में नहीं भेज सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है , उच्च विशेषाधिकार प्रक्रिया की निगरानी के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए DLL-इंजेक्शन नहीं कर सकता है।

डेटा निष्पादन रोकथाम

विंडोज़ विस्टा आधुनिक प्रोसेसरों की एनएक्स बिट (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।[11] DEP को Windows XP सर्विस पैक 2 और Windows Server 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। AMD के AMD64 प्रोसेसर में NX (EVP) के रूप में और Intel के प्रोसेसर में XD (EDB) के रूप में मौजूद यह सुविधा, मेमोरी के कुछ हिस्सों को इसके बजाय डेटा युक्त के रूप में फ़्लैग कर सकती है। निष्पादन योग्य कोड का, जो अतिप्रवाह त्रुटियों को मनमाना कोड निष्पादन के परिणामस्वरूप रोकता है।

यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे ढेर और ढेर) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा निष्पादन रोकथाम प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह शोषण कोड को डेटा के रूप में इंजेक्ट करने और फिर निष्पादित होने से रोकता है।

यदि डीईपी सभी अनुप्रयोगों के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के शोषण के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लिकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी अपवाद उत्पन्न करेंगे। इसलिए, DEP को Windows के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी अनुप्रयोगों के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए चालू किया जाता है। हालाँकि, Windows Vista अतिरिक्त NX नीति नियंत्रण प्रस्तुत करता है जो सॉफ़्टवेयर डेवलपर्स को उनके कोड के लिए NX हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है, सिस्टम-व्यापी संगतता प्रवर्तन सेटिंग्स से स्वतंत्र। डेवलपर अपने एप्लिकेशन को निर्मित होने पर NX-अनुपालन के रूप में चिह्नित कर सकते हैं, जो उस एप्लिकेशन के इंस्टॉल होने और चलने पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारिस्थितिकी तंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता नीति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। x86-64 अनुप्रयोगों के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से DEP को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए Windows Vista के x86-64 संस्करणों में केवल प्रोसेसर-प्रबलित DEP का उपयोग किया जाता है।

डिजिटल अधिकार प्रबंधन

डिजिटल सामग्री प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से बचाने में मदद करने के लिए Windows Vista में नए डिजिटल अधिकार प्रबंधन और सामग्री-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।

  • प्यूमा: प्रोटेक्टेड यूजर मोड ऑडियो (प्यूमा) नया यूजर मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित सामग्री के प्रकाशक द्वारा अनुमत करने के लिए प्रतिबंधित करता है।[12]
  • पीवीपी-ओपीएम|संरक्षित वीडियो पथ - आउटपुट प्रोटेक्शन मैनेजमेंट (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की नकल को रोकती है, या वीडियो उपकरणों पर उनके प्रदर्शन को रोकती है जिसमें समकक्ष कॉपी सुरक्षा (आमतौर पर एचडीसीपी) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना सामग्री उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से इनकार करके पीसी को कॉपीराइट सामग्री चलाने से रोक सकता है।[12]*पीवीपी-यूएबी|संरक्षित वीडियो पथ - उपयोगकर्ता-सुलभ बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, सिवाय इसके कि यह पीसीआई एक्सप्रेस बस पर संरक्षित सामग्री के एन्क्रिप्शन को प्रयुक्त करता है।
  • Windows Rights Management Services (RMS) समर्थन, एक ऐसी तकनीक जो निगमों को कॉर्पोरेट दस्तावेज़ों, ईमेल और इंट्रानेट पर DRM-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक ​​कि ऐसे लोगों द्वारा खोले जाने से भी बचाया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
  • विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,[13] जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में हेरफेर नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक पहुंच बढ़ा दी है। हालाँकि, वर्तमान में, केवल संरक्षित वीडियो पथ का उपयोग करने वाले अनुप्रयोग ही संरक्षित प्रक्रियाएँ बना सकते हैं।

नई डिजिटल राइट्स मैनेजमेंट सुविधाओं को सम्मिलित करना विंडोज विस्टा#डिजिटल राइट्स मैनेजमेंट की आलोचना का एक स्रोत रहा है।

विंडोज सर्विस हार्डनिंग

विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से समझौता किया जाता है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से हमला नहीं कर सकता है। यह विंडोज सेवाओं को फाइल सिस्टम, रजिस्ट्री या नेटवर्क पर संचालन करने से रोकता है[14] जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र हमले की सतह कम हो जाती है और विंडोज़ सेवा का फायदा उठाकर मैलवेयर के प्रवेश को रोका जा सकता है। सेवाओं को अब एक प्रति-सेवा सुरक्षा पहचानकर्ता (SID) सौंपा गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट पहुँच के अनुसार सेवा तक पहुँच को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय ChangeServiceConfig2 API के माध्यम से या इसका उपयोग करके एक प्रति-सेवा SID असाइन किया जा सकता है SC.EXE सिडटाइप क्रिया के साथ कमांड। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी पहुँच को रोकने के लिए कंट्रोल सूची को खोलो (ACL) का भी उपयोग कर सकती हैं।

Windows Vista में सेवाएँ सिस्टम खाते के बजाय कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी चलती हैं। विंडोज़ के पिछले संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा चलाई। Windows Vista में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं।[15] इसका उद्देश्य विंडोज मैसेज-पासिंग सिस्टम के शोषण के एक वर्ग को कम करने में मदद करना है, जिसे शैटर अटैक के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल HKLM\System\CurrentControlSet\Services के अंतर्गत RequiredPrivileges रजिस्ट्री मान में निर्दिष्ट विशेषाधिकार होते हैं।

सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन अनुमतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित पहुंच टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल नीति भी होगी, जो इसे ठीक से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को कठोर बनाने के लिए Windows सर्विस हार्डनिंग का उपयोग कर सकते हैं। Windows Vista अन्य प्रक्रियाओं को हाइजैक करने से रोकने के लिए MSRPC सर्वरों द्वारा उपयोग किए जाने वाले नामित पाइपों को भी कठोर बनाता है।

प्रमाणीकरण और लॉगऑन

चित्रमय पहचान और प्रमाणीकरण (ग्राफिकल आइडेंटिफिकेशन एंड ऑथेंटिकेशन), जिसका इस्तेमाल सुरक्षित ऑथेंटिकेशन और इंटरेक्टिव लॉगऑन के लिए किया जाता है, को क्रेडेंशियल सेवा प्रदाता द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ संयुक्त, क्रेडेंशियल प्रदाता बॉयोमेट्रिक्स (फिंगरप्रिंट, रेटिनल, या वॉयस रिकग्निशन), पासवर्ड, व्यक्तिगत पहचान संख्या और स्मार्ट कार्ड प्रमाणपत्र, या किसी कस्टम प्रमाणीकरण पैकेज और स्कीमा थर्ड-पार्टी के माध्यम से उपयोगकर्ताओं को लॉग ऑन करने में सक्षम करने के लिए ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं। डेवलपर्स बनाना चाहते हैं। स्मार्ट कार्ड प्रमाणीकरण लचीला है क्योंकि प्रमाणपत्र आवश्यकताओं में ढील दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को केवल हस्ताक्षर के ऊपर (SSO) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित नेटवर्क एक्सेस प्वाइंट (RADIUS और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लिकेशन-विशिष्ट क्रेडेंशियल एकत्रण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण IPv6 या वेब सेवाओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, CredSSP सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लिकेशन को क्लाइंट से उपयोगकर्ता के क्रेडेंशियल्स (क्लाइंट-साइड SSP का उपयोग करके) लक्ष्य सर्वर (सर्वर-साइड SSP के माध्यम से) को सौंपने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा सिंगल साइन-ऑन प्रदान करने के लिए भी किया जाता है।

Windows Vista स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा फ़ाइल सिस्टम को एन्क्रिप्ट करना कुंजियों को स्टोर करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक पहुंच योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।

तेज़ उपयोगकर्ता स्विचिंग जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से शुरू होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। Windows Vista में Windows Server 2008 में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।

क्रिप्टोग्राफी

विंडोज विस्टा क्रिप्टो एपीआई के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एपीआई: नेक्स्ट जेनरेशन (सीएनजी) के रूप में जाना जाता है। सीएनजी एपीआई एक उपयोगकर्ता मोड और कर्नेल मोड एपीआई है जिसमें अंडाकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो राष्ट्रीय सुरक्षा एजेंसी (एनएसए) का हिस्सा हैं /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी। यह एक्स्टेंसिबल है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एपीआई प्लगिंग के लिए समर्थन सम्मिलित है। यह बेस क्रिप्टोग्राफिक सेवा प्रदाता मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड सबसिस्टम के साथ भी एकीकृत होता है, जो डेवलपर्स और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक कार्यों को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। Microsoft प्रमाणपत्र प्राधिकरण ECC प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट ECC और SHA-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।

निरसन सुधार में ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और CAPI2 डायग्नोस्टिक्स प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। CertEnroll, एक नया COM-आधारित नामांकन API लचीली प्रोग्रामेबिलिटी के लिए XEnroll लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी जोड़े, प्रमाणपत्र और क्रेडेंशियल्स को दोहराती हैं।

मेटाडेटा हटाना

गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी गोपनीयता की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर डेवलपर के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।[16]


नेटवर्क एक्सेस प्रोटेक्शन

विंडोज विस्टा ने नेटवर्क एक्सेस प्रोटेक्शन (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित नीति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और पहुंच प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक पहुंच की स्वीकृति दी जाएगी, या पूरी तरह से पहुंच से इंकार कर दिया जाएगा। एनएपी वैकल्पिक रूप से एक गैर-अनुपालन वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर खुद को अपग्रेड कर सके। एक अनुरूप ग्राहक को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।

Windows Server 2008 चलाने वाला एक नेटवर्क नीति सर्वर स्वास्थ्य नीति सर्वर के रूप में कार्य करता है और क्लाइंट को Windows XP#सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक वीपीएन सर्वर, रेडियस सर्वर या डीएचसीपी सर्वर भी स्वास्थ्य नीति सर्वर के रूप में कार्य कर सकता है।

अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं

  • TCP/IP सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को Windows विंडोज फ़िल्टरिंग प्लेटफ़ॉर्मWFP) के रूप में ज्ञात एक नए ढाँचे से बदल दिया गया है। WFP TCP/IP प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। WFP स्टैक में एकीकृत है, और डेवलपर्स के लिए ड्राइवरों, सेवाओं और अनुप्रयोगों का निर्माण करना आसान है, जिन्हें TCP/IP ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
  • किसी नेटवर्क पर डेटा स्थानांतरित करते समय बेहतर सुरक्षा प्रदान करने के लिए, Windows Vista डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट एलिप्टिक कर्व डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट उच्च एन्क्रिप्शन मानक (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें Kerberos (प्रोटोकॉल) प्रोटोकॉल और सामान्य सुरक्षा सेवा अनुप्रयोग प्रोग्राम इंटरफ़ेस। नए विनसॉक एपीआई में परिवहन परत सुरक्षा और टीएलएस कनेक्शन के लिए प्रत्यक्ष समर्थन सॉकेट अनुप्रयोगों को समर्थन के लिए अतिरिक्त कोड जोड़ने के बजाय एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है (जैसे कि सुरक्षा नीति और ट्रैफ़िक के लिए आवश्यकताएं प्रदान करना, सुरक्षा सेटिंग्स की क्वेरी करना)। एक सुरक्षित कनेक्शन। Windows Vista चलाने वाले कंप्यूटर सक्रिय निर्देशिका डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का हिस्सा हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। भले ही अन्य प्रणालियाँ भौतिक रूप से एक ही नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का हिस्सा हो सकता है। Schannel सुरक्षा सेवा प्रदाता में नए सिफर सूट सम्मिलित हैं जो अण्डाकार वक्र क्रिप्टोग्राफी का समर्थन करते हैं, इसलिए ECC सिफर सूट को मानक TLS हैंडशेक के हिस्से के रूप में बातचीत की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यक्षमता को प्रतिस्थापित कर सकते हैं।
  • IPsec अब पूरी तरह से Windows फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और बेहतर प्रमाणीकरण प्रदान करता है। IPsec IPv6 का समर्थन करता है, जिसमें इंटरनेट कुंजी विनिमय (IKE), AuthIP और डेटा एन्क्रिप्शन, क्लाइंट-टू-डोमेन नियंत्रक सुरक्षा, नेटवर्क एक्सेस प्रोटेक्शन और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क सपोर्ट के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और तैनाती क्षमता बढ़ाने के लिए, विंडोज विस्टा में ऑथिप सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि बातचीत और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।[17]
  • IEEE 802.11i|802.11i (वाई-फ़ाई प्रोटेक्टेड एक्सेस#WPA2) जैसे नए वायरलेस मानकों के लिए बेहतर समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में सुधार किया जा रहा है। एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल #EAP-TLS (EAP-TLS) डिफॉल्ट ऑथेंटिकेशन मोड है। कनेक्शन वायरलेस एक्सेस प्वाइंट द्वारा समर्थित सबसे सुरक्षित कनेक्शन स्तर पर बनाए जाते हैं। WPA2 का उपयोग तदर्थ मोड में भी किया जा सकता है। Windows Vista वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान क्रेडेंशियल्स का उपयोग करने के लिए सिंगल साइन-ऑन का उपयोग कर सकता है।[18] इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए MS-CHAP|MS-CHAP v2 प्रमाणीकरण दोनों के लिए एक ही RADIUS सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई पहुँच नहीं है। मशीन एक स्क्रिप्ट चलाएगी, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। Verisign जैसे सार्वजनिक मुख्य बुनियादी सुविधा (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
  • विंडोज विस्टा में [[संरक्षित एक्स्टेंसिबल प्रमाणीकरण प्रोटोकॉल]] होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो आईईईई 802.1X|802.1X और पीपीपी जैसी सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क एक्सेस तकनीकों के लिए प्रमाणीकरण विधियों के लिए एक्स्टेंसिबिलिटी प्रदान करता है।[19] यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
  • विंडोज विस्टा पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल के साथ संरक्षित एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र PEAPv0/EAP-MSCHAPv2 (पासवर्ड) और PEAP-TLS (स्मार्टकार्ड और प्रमाणपत्र) हैं।
  • विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल , एक नया माइक्रोसॉफ्ट मालिकाना प्रोटोकॉल वीपीएन प्रोटोकॉल सम्मिलित है जो एक सुरक्षित सॉकेट लेयर चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को ट्रांसपोर्ट करने के लिए एक तंत्र प्रदान करता है।

x86-64-विशिष्ट विशेषताएं

  • Windows Vista के 64-बिट संस्करण हार्डवेयर-आधारित डेटा निष्पादन रोकथाम (DEP) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित अपवाद हैंडलिंग है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, DEP, डिफ़ॉल्ट रूप से, सभी 64-बिट अनुप्रयोगों और सेवाओं के लिए x86-64 संस्करणों और उन 32-बिट अनुप्रयोगों के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित DEP एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक सिस्टम घटकों के लिए सक्षम है।
  • एक उन्नत कर्नेल पैच सुरक्षा, जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड अनुप्रयोगों से खुद को छिपाने के लिए rootkit ्स द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है।[20] पैचगार्ड को पहली बार Windows Server 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे Windows XP Professional x64 संस्करण में सम्मिलित किया गया था।
  • विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होना चाहिए; यहां तक ​​कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे।[21] विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट-टाइम विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
  • कोड वफ़ादारी चेक-योग हस्ताक्षरित कोड। सिस्टम बायनेरिज़ लोड करने से पहले, यह सुनिश्चित करने के लिए चेक-सम के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट लोडर कर्नेल की अखंडता, हार्डवेयर एब्स्ट्रक्शन लेयर (एचएएल) और बूट-स्टार्ट ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्पेस के अतिरिक्त, कोड इंटिग्रिटी बायनेरिज़ को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित डायनेमिक लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।

अन्य विशेषताएं और परिवर्तन

कई विशिष्ट सुरक्षा और विश्वसनीयता परिवर्तन किए गए हैं:

  • एलएसए रहस्य (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा नीति, ऑडिटिंग आदि) को संग्रहीत करने के लिए मजबूत एन्क्रिप्शन का उपयोग किया जाता है।[22]
  • Windows Vista सर्विस पैक 2 के लिए हॉटफिक्स के साथ USB फ्लैश ड्राइव के लिए IEEE 1667 प्रमाणीकरण मानक के लिए समर्थन।[23]
  • करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अद्यतन किया गया है।[24] SChannel SSP में मजबूत AES एन्क्रिप्शन और एलिप्टिक कर्व क्रिप्टोग्राफी सपोर्ट भी है।[25]
  • विंडोज एक्सपी में शुरू की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।[26] मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के बजाय डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट क्रिप्टोग्राफ़िक हैश फ़ंक्शन नियम एल्गोरिथ्म को MD5 से मजबूत SHA256 में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संवाद बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
  • विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है (C: ड्राइव पर राइट-क्लिक करना और प्रारूप चुनना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड प्रॉम्प्ट पर प्राप्त होगा एक संदेश कह रहा है कि इस वॉल्यूम को स्वरूपित करने की स्वीकृति नहीं है)। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू आइटम रिपेयर योर कंप्यूटर फ्रॉम द एडवांस्ड सिस्टम रिकवरी ऑप्शंस को कंप्यूटर चालू करने पर F8 दबाकर चुनना चाहिए।
  • अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अद्यतन किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, चाहे एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड आइटम को विंडोज सर्च द्वारा अनुक्रमित किया जा सकता है या नहीं।
  • संग्रहीत उपयोगकर्ता नाम और पासवर्ड (क्रेडेंशियल्स मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें Windows Vista या बाद के ऑपरेटिंग सिस्टम चलाने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
  • समूह नीति में एक नई नीति सेटिंग अंतिम सफल इंटरैक्टिव लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पिछले सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं। नीति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
  • विंडोज संसाधन संरक्षण संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को रोकता है,[27] विंडोज इंस्टालर के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को रोककर। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
  • संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल हैंडलिंग सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग हमलों और स्टेटस-बार स्पूफिंग के खिलाफ सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम अखंडता प्रक्रिया के रूप में चलते हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक पहुंच प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को दुर्भावनापूर्ण सामग्री और सुरक्षा कमजोरियों से बचाते हैं, यहां तक ​​​​कि ActiveX नियंत्रणों में भी . इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (PStore) के बजाय पासवर्ड जैसे अपने क्रेडेंशियल्स को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा API (DPAPI) का उपयोग करें।
  • विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले बंदरगाहों और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो Windows उस नेटवर्क के भविष्य के कनेक्शन के लिए उस सेटिंग को याद रखता है।
  • यूजर-मोड ड्राइवर फ्रेमवर्क ड्राइवरों को सीधे कर्नेल तक पहुंचने से रोकता है, लेकिन इसके बजाय इसे एक समर्पित एपीआई के माध्यम से एक्सेस करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुचित तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।[28]
  • एंटी-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की निगरानी और पुनर्स्थापित करने के लिए विंडोज सुरक्षा केंद्र को अपग्रेड किया गया है। एंटी-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ Windows API कॉल को जोड़ा गया है ताकि अनुप्रयोगों को Windows सुरक्षा केंद्र से समग्र स्वास्थ्य स्थिति पुनर्प्राप्त करने और स्वास्थ्य स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
  • संरक्षित संग्रहण (PStore) को पदावनत कर दिया गया है और इसलिए इसे Windows Vista में केवल पढ़ने के लिए बनाया गया है। Microsoft नए PStore डेटा आइटम जोड़ने या सम्मिलित को प्रबंधित करने के लिए DPAPI का उपयोग करने की अनुशंसा करता है।[29] Internet Explorer 7 और बाद में भी अपने क्रेडेंशियल स्टोर करने के लिए PStore के बजाय DPAPI का उपयोग करते हैं।
  • विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता है, तब तक इसे सुरक्षित मोड से भी एक्सेस नहीं किया जा सकता है।

यह भी देखें

संदर्भ

  1. Steve Lipner, Michael Howard (March 2005). "The Trustworthy Computing Security Development Lifecycle". Microsoft Developer Network. Retrieved 2006-02-15.
  2. Charles (2007-03-05). "UAC - What. How. Why" (video). Retrieved 2007-03-23.
  3. "Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide". Microsoft TechNet. 2005. Retrieved 2006-04-13.
  4. "Windows विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल प्रबंधन चरण-दर-चरण मार्गदर्शिका". TechNet. Microsoft. Retrieved 18 November 2014.
  5. "Win32_Tpm class". MSDN. Microsoft. Retrieved 18 November 2014.
  6. "टीपीएम बेस सर्विसेज". MSDN. Microsoft. Retrieved 18 November 2014.
  7. The January 2006 issue of The Cable Guy covers the new features and interfaces in Windows Firewall in greater detail.
  8. "समूह नीति का उपयोग करके डिवाइस स्थापना को नियंत्रित करने के लिए चरण-दर-चरण मार्गदर्शिका". MSDN. Microsoft.
  9. "समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों का प्रबंधन". TechNet Magazine. Microsoft.
  10. Howard, Michael (May 26, 2006). "विंडोज विस्टा में एड्रेस स्पेस लेआउट रेंडमाइजेशन". MSDN. Microsoft. Archived from the original on May 29, 2006. Retrieved March 20, 2023.
  11. "Windows Vista में सुरक्षा प्रगति". Archived from the original on 2007-04-11. Retrieved 2007-04-10.
  12. 12.0 12.1 "Output Content Protection and Windows Vista". WHDC. Microsoft. April 27, 2005. Archived from the original on 6 August 2005. Retrieved 2006-04-30.
  13. Protected Processes in Windows Vista
  14. "Windows Vista Security and Data Protection Improvements – Windows Service Hardening". TechNet. Microsoft. June 1, 2005. Retrieved 2006-05-21.
  15. Impact of Session 0 Isolation on Services and Drivers in Windows Vista covers Windows Vista's session isolation changes.
  16. Remove Properties and Personal Information: A Misleading Feature!
  17. AuthIP in Windows Vista
  18. The Cable Guy: Wireless Single Sign-On
  19. EAPHost in Windows
  20. Field, Scott (August 11, 2006). "An Introduction to Kernel Patch Protection". Windows Vista Security blog. MSDN Blogs. Retrieved August 12, 2006.
  21. "Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista". WHDC. Microsoft. May 19, 2006. Archived from the original on April 12, 2006. Retrieved May 19, 2006.
  22. Windows LSA Secrets
  23. An update is available that enables the support of Enhanced Storage devices in Windows Vista and in Windows Server 2008
  24. Kerberos Enhancements in Windows Vista: MSDN
  25. TLS/SSL Cryptographic Enhancements in Windows Vista
  26. Using Software Restriction Policies to Protect Against Unauthorized Software
  27. Windows Vista Management features
  28. CNET.com (2007). "विंडोज विस्टा अल्टीमेट रिव्यू". Retrieved 2007-01-31.
  29. "SPAP मूल्यह्रास (PStore)". Archived from the original on 2008-04-21. Retrieved 2007-04-17.


बाहरी संबंध