विंडोज विस्टा में सुरक्षा और सुरक्षा सुविधाएँ
Part of a series of articles on |
Windows Vista |
---|
New features |
Other articles |
विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।
2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र[1] को "डिजाइन द्वारा सुरक्षित, डिफ़ॉल्ट रूप से सुरक्षित, परिनियोजन में सुरक्षित" के अंतर्निहित नैतिकता के साथ स्वीकृत किया। विंडोज विस्टा के लिए नया कोड एसडीएल पद्धति के साथ विकसित किया गया था, और सभी सम्मिलित कोड की समीक्षा की गई और सुरक्षा में संशोधन के लिए पुन: सक्रिय किया गया।
कुछ विशिष्ट क्षेत्र जहां विंडोज विस्टा नई सुरक्षा और सुरक्षा तंत्र प्रस्तुत करता है, उनमें उपयोगकर्ता खाता नियंत्रण, अभिभावकीय नियंत्रण, नेटवर्क अभिगम्य सुरक्षा, एक अंतर्निहित मैलवेयर रोधी उपकरण और नई डिजिटल विषयवस्तु सुरक्षा तंत्र सम्मिलित हैं।
उपयोगकर्ता खाता नियंत्रण
उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लिकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।
यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लिकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लिकेशन में किरण केन्द्र (कंप्यूटिंग) नहीं है, तो इसका टास्कबार आइकन दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लिकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है।
चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लिकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लिकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।
इस धारणा के साथ लिखे गए एप्लिकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से एचकेई स्थानीय मशीन[2] यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लिकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा"
एन्क्रिप्शन
बिटलॉकर, जिसे पहले सिक्योर स्टार्टअप के नाम से जाना जाता था, यह सुविधा प्रणाली विस्तार के लिए पूर्ण डिस्क एन्क्रिप्शन प्रदान करती है। कमांड-लाइन उपयोगिता का उपयोग करके, अतिरिक्त विस्तार को एन्क्रिप्ट करना संभव है। बिटलॉकर अपनी एन्क्रिप्शन कुंजी को भंडारण करने के लिए टीसीजी विनिर्देशों के यूएसबी कुंजी या विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (टीपीएम) संस्करण 1.2 का उपयोग करता है। यह सुनिश्चित करता है कि विंडोज विस्टा सक्रिय करने वाला कंप्यूटर अच्छी स्थिति में प्रारंभ होता है, और यह डेटा को अनधिकृत अभिगम्य से भी संरक्षित करता है।[3] संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।
विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एपीआई, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है।[4][5] टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लिकेशन बनाना चाहते हैं।[6]
विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज सार्वजनिक आधारिक संरचना (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज सार्वजनिक आधारिक संरचना-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए स्मार्ट कार्ड की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है।
एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चुने गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है।
विंडोज फ़ायरवॉल
विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है[7] कॉर्पोरेट वातावरण में विंडोज फ़ायरवॉल के लचीलेपन के आसपास कई चिंताओं को दूर करने के लिए:
- IPv6 कनेक्शन फ़िल्टरिंग
- आउटबाउंड पैकेट फ़िल्टरिंग, स्पाइवेयर और कंप्यूटर वायरस के बारे में बढ़ती चिंताओं को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
- उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी पते और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
- पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चुने गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
- IPsec पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, Kerberos (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर कनेक्शन की स्वीकृति या इनकार करने की स्वीकृति देता है। किसी भी प्रकार के कनेक्शन के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर IPsec नीतियों के जटिल कॉन्फ़िगरेशन को संभालने वाले विज़ार्ड का उपयोग करके एक कनेक्शन सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक IPsec द्वारा सुरक्षित है या नहीं।
- एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो IPsec कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक पहुँच प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
- जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता। सर्वर और डोमेन आइसोलेशन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन।
विंडोज डिफेंडर
विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट AntiSpyware' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए सिस्टम की स्कैनिंग की सुविधा है, बल्कि बाजार में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें रियल टाइम सुरक्षा एजेंट भी सम्मिलित हैं जो विंडोज के कई सामान्य क्षेत्रों में बदलाव के लिए निगरानी करते हैं। स्पाइवेयर के कारण हो सकता है। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, ऑटो-स्टार्ट एप्लिकेशन, सिस्टम कॉन्फ़िगरेशन सेटिंग्स और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।
विंडोज डिफ़ेंडर में स्थापित ActiveX एप्लिकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें माइक्रोसॉफ्ट स्पाइनेट नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संवाद करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लिकेशन स्वीकार्य हैं।
डिवाइस स्थापना नियंत्रण
विंडोज विस्टा व्यवस्थापकों को समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, डिवाइस की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की कक्षाओं तक पहुंच को प्रतिबंधित किया जा सके।[8][9]
माता-पिता का नियंत्रण
विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की निगरानी और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए माता-पिता के नियंत्रण की एक श्रृंखला सम्मिलित है जो विंडोज सर्वर डोमेन का हिस्सा नहीं हैं; उपयोगकर्ता खाता नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए विनसॉक स्तरित सेवा प्रदाता फ़िल्टर के रूप में प्रयुक्त किया गया—जो सामग्री की श्रेणियों या विशिष्ट पतों के आधार पर वेबसाइटों तक पहुँच को प्रतिबंधित करता है (सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ); समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है (और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है); गेम प्रतिबंध, जो प्रशासकों को एंटरटेनमेंट सॉफ्टवेयर रेटिंग बोर्ड जैसे वीडियो गेम सामग्री रेटिंग प्रणाली द्वारा परिभाषित नाम, सामग्री, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन हल्की भाषा वाले E10+ गेम अभी भी ब्लॉक किए जाएंगे यदि हल्की भाषा स्वयं ब्लॉक की गई है); आवेदन प्रतिबंध, जो विशिष्ट अनुप्रयोगों के लिए श्वेतसूचीकरण#अनुप्रयोग श्वेतसूची का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर नज़र रखता है और रिकॉर्ड करता है।
विंडोज माता पिता द्वारा नियंत्रण में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के साथ विकल्पों का एक एक्स्टेंसिबल सेट सम्मिलित है।
शोषण सुरक्षा कार्यक्षमता
विंडोज विस्टा स्मृति में यादृच्छिक पते पर सिस्टम फ़ाइलों को लोड करने के लिए एड्रेस स्पेस लेआउट रेंडमाइजेशन (एएसएलआर) का उपयोग करता है।[10] डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर बेतरतीब ढंग से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल|पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में थोड़ा सा सेट करना होता है, जो एएसएलआर का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल्स के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, ढेर और ढेर आवंटित बेतरतीब ढंग से तय किया गया है। रैंडम पतों पर सिस्टम फ़ाइलों को लोड करने से, दुर्भावनापूर्ण कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह रिटर्न-टू-एलआईबीसी बफ़र अधिकता आक्षेपों को रोककर अधिकांश दूरस्थ निष्पादन आक्षेपों को रोकने में मदद करता है।
शीर्षलेख में अपवाद प्रबंधन हैंडलर पते के एम्बेडिंग का समर्थन करने के लिए पोर्टेबल निष्पादन योग्य प्रारूप को अद्यतन किया गया है। जब भी कोई अपवाद फेंका जाता है, हैंडलर का पता निष्पादन योग्य शीर्षलेख में संग्रहीत पते से सत्यापित किया जाता है। यदि वे मेल खाते हैं, तो अपवाद को संभाला जाता है, अन्यथा यह इंगित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।
फ़ंक्शन पॉइंटर्स को XOR | XOR-ing द्वारा एक यादृच्छिक संख्या के साथ अस्पष्ट किया जाता है, जिससे कि इंगित किए गए वास्तविक पते को पुनः प्राप्त करना कठिन हो। इसलिए एक पॉइंटर को मैन्युअल रूप से बदलना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ XOR-ed हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए चेक-सम बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप भ्रष्टाचार का पता लगाने के लिए किया जाता है। जब भी ढेर भ्रष्टाचार का पता चलता है, तो शोषण के सफल समापन को रोकने के लिए आवेदन को मार दिया जाता है।
विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका शोषण जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और नॉन बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मापदंडों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में शोषण करने के लिए, उन स्थानों तक पहुंच प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम आम हैं।
आवेदन अलगाव
विंडोज विस्टा प्रक्रियाओं के लिए अखंडता स्तर निर्धारित करने के लिए अनिवार्य अखंडता नियंत्रण प्रस्तुत करता है। एक कम अखंडता प्रक्रिया उच्च अखंडता प्रक्रिया के संसाधनों तक नहीं पहुंच सकती है। इस सुविधा का उपयोग अनुप्रयोग अलगाव को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम अखंडता स्तर में अनुप्रयोग, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी अनुप्रयोग सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च अखंडता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड अनुप्रयोग लेकिन हुक कर सकते हैं विंडोज इंटरनेट एक्सप्लोरर 7 या इंटरनेट एक्सप्लोरर 8 जैसी कम अखंडता प्रक्रियाओं पर। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो हैंडल सत्यापन को निष्पादित नहीं कर सकती है, मैसेज या पोस्टमेसेज को उच्च विशेषाधिकार एप्लिकेशन विंडो में नहीं भेज सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है , उच्च विशेषाधिकार प्रक्रिया की निगरानी के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए DLL-इंजेक्शन नहीं कर सकता है।
डेटा निष्पादन रोकथाम
विंडोज़ विस्टा आधुनिक प्रोसेसरों की एनएक्स बिट (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है।[11] DEP को विंडोज XP सर्विस पैक 2 और विंडोज Server 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। AMD के AMD64 प्रोसेसर में NX (EVP) के रूप में और Intel के प्रोसेसर में XD (EDB) के रूप में मौजूद यह सुविधा, मेमोरी के कुछ हिस्सों को इसके बजाय डेटा युक्त के रूप में फ़्लैग कर सकती है। निष्पादन योग्य कोड का, जो अतिप्रवाह त्रुटियों को मनमाना कोड निष्पादन के परिणामस्वरूप रोकता है।
यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे ढेर और ढेर) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा निष्पादन रोकथाम प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह शोषण कोड को डेटा के रूप में इंजेक्ट करने और फिर निष्पादित होने से रोकता है।
यदि डीईपी सभी अनुप्रयोगों के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के शोषण के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लिकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी अपवाद उत्पन्न करेंगे। इसलिए, DEP को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी अनुप्रयोगों के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए चालू किया जाता है। हालाँकि, विंडोज विस्टा अतिरिक्त NX नीति नियंत्रण प्रस्तुत करता है जो सॉफ़्टवेयर विकासक को उनके कोड के लिए NX हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है, सिस्टम-व्यापी संगतता प्रवर्तन सेटिंग्स से स्वतंत्र। डेवलपर अपने एप्लिकेशन को निर्मित होने पर NX-अनुपालन के रूप में चिह्नित कर सकते हैं, जो उस एप्लिकेशन के इंस्टॉल होने और चलने पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारिस्थितिकी तंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता नीति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। x86-64 अनुप्रयोगों के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से DEP को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के x86-64 संस्करणों में केवल प्रोसेसर-प्रबलित DEP का उपयोग किया जाता है।
डिजिटल अधिकार प्रबंधन
डिजिटल सामग्री प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से बचाने में मदद करने के लिए विंडोज विस्टा में नए डिजिटल अधिकार प्रबंधन और सामग्री-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।
- प्यूमा: प्रोटेक्टेड यूजर मोड ऑडियो (प्यूमा) नया यूजर मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित सामग्री के प्रकाशक द्वारा अनुमत करने के लिए प्रतिबंधित करता है।[12]
- पीवीपी-ओपीएम|संरक्षित वीडियो पथ - आउटपुट प्रोटेक्शन मैनेजमेंट (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की नकल को रोकती है, या वीडियो उपकरणों पर उनके प्रदर्शन को रोकती है जिसमें समकक्ष कॉपी सुरक्षा (आमतौर पर एचडीसीपी) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना सामग्री उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से इनकार करके पीसी को कॉपीराइट सामग्री सक्रिय करने से रोक सकता है।[12]*पीवीपी-यूएबी|संरक्षित वीडियो पथ - उपयोगकर्ता-सुलभ बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, सिवाय इसके कि यह पीसीआई एक्सप्रेस बस पर संरक्षित सामग्री के एन्क्रिप्शन को प्रयुक्त करता है।
- विंडोज Rights Management Services (RMS) समर्थन, एक ऐसी तकनीक जो निगमों को कॉर्पोरेट दस्तावेज़ों, ईमेल और इंट्रानेट पर DRM-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक कि ऐसे लोगों द्वारा खोले जाने से भी बचाया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
- विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है,[13] जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में हेरफेर नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक पहुंच बढ़ा दी है। हालाँकि, वर्तमान में, केवल संरक्षित वीडियो पथ का उपयोग करने वाले अनुप्रयोग ही संरक्षित प्रक्रियाएँ बना सकते हैं।
नई डिजिटल राइट्स मैनेजमेंट सुविधाओं को सम्मिलित करना विंडोज विस्टा#डिजिटल राइट्स मैनेजमेंट की आलोचना का एक स्रोत रहा है।
विंडोज सर्विस हार्डनिंग
विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से समझौता किया जाता है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से हमला नहीं कर सकता है। यह विंडोज सेवाओं को फाइल सिस्टम, रजिस्ट्री या नेटवर्क पर संचालन करने से रोकता है[14] जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र हमले की सतह कम हो जाती है और विंडोज़ सेवा का फायदा उठाकर मैलवेयर के प्रवेश को रोका जा सकता है। सेवाओं को अब एक प्रति-सेवा सुरक्षा पहचानकर्ता (SID) सौंपा गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट पहुँच के अनुसार सेवा तक पहुँच को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय ChangeServiceConfig2 एपीआई के माध्यम से या इसका उपयोग करके एक प्रति-सेवा SID असाइन किया जा सकता है SC.EXE
सिडटाइप क्रिया के साथ कमांड। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी पहुँच को रोकने के लिए कंट्रोल सूची को खोलो (ACL) का भी उपयोग कर सकती हैं।
विंडोज विस्टा में सेवाएँ सिस्टम खाते के बजाय कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी चलती हैं। विंडोज़ के पिछले संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा चलाई। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं।[15] इसका उद्देश्य विंडोज मैसेज-पासिंग सिस्टम के शोषण के एक वर्ग को कम करने में मदद करना है, जिसे शैटर अटैक के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल HKLM\System\CurrentControlSet\Services के अंतर्गत RequiredPrivileges रजिस्ट्री मान में निर्दिष्ट विशेषाधिकार होते हैं।
सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन अनुमतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित पहुंच टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल नीति भी होगी, जो इसे ठीक से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को कठोर बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से रोकने के लिए MSRPC सर्वरों द्वारा उपयोग किए जाने वाले नामित पाइपों को भी कठोर बनाता है।
प्रमाणीकरण और लॉगऑन
चित्रमय पहचान और प्रमाणीकरण (ग्राफिकल आइडेंटिफिकेशन एंड ऑथेंटिकेशन), जिसका उपयोग सुरक्षित ऑथेंटिकेशन और इंटरेक्टिव लॉगऑन के लिए किया जाता है, को क्रेडेंशियल सेवा प्रदाता द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ संयुक्त, क्रेडेंशियल प्रदाता बॉयोमेट्रिक्स (फिंगरप्रिंट, रेटिनल, या वॉयस रिकग्निशन), पासवर्ड, व्यक्तिगत पहचान संख्या और स्मार्ट कार्ड प्रमाणपत्र, या किसी कस्टम प्रमाणीकरण पैकेज और स्कीमा थर्ड-पार्टी के माध्यम से उपयोगकर्ताओं को लॉग ऑन करने में सक्षम करने के लिए ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं। विकासक बनाना चाहते हैं। स्मार्ट कार्ड प्रमाणीकरण लचीला है क्योंकि प्रमाणपत्र आवश्यकताओं में ढील दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को केवल हस्ताक्षर के ऊपर (SSO) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित नेटवर्क एक्सेस प्वाइंट (RADIUS और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लिकेशन-विशिष्ट क्रेडेंशियल एकत्रण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण IPv6 या वेब सेवाओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, CredSSP सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लिकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड SSP का उपयोग करके) लक्ष्य सर्वर (सर्वर-साइड SSP के माध्यम से) को सौंपने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा सिंगल साइन-ऑन प्रदान करने के लिए भी किया जाता है।
विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा फ़ाइल सिस्टम को एन्क्रिप्ट करना कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक पहुंच योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।
तेज़ उपयोगकर्ता स्विचिंग जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में विंडोज Server 2008 में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।
क्रिप्टोग्राफी
विंडोज विस्टा क्रिप्टो एपीआई के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एपीआई: नेक्स्ट जेनरेशन (सीएनजी) के रूप में जाना जाता है। सीएनजी एपीआई एक उपयोगकर्ता मोड और कर्नेल मोड एपीआई है जिसमें अंडाकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो राष्ट्रीय सुरक्षा एजेंसी (एनएसए) का हिस्सा हैं /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी। यह एक्स्टेंसिबल है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एपीआई प्लगिंग के लिए समर्थन सम्मिलित है। यह बेस क्रिप्टोग्राफिक सेवा प्रदाता मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड सबसिस्टम के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक कार्यों को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण ECC प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट ECC और SHA-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।
निरसन संशोधन में ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और CAPI2 डायग्नोस्टिक्स प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। CertEnroll, एक नया COM-आधारित नामांकन एपीआई लचीली प्रोग्रामेबिलिटी के लिए XEnroll लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी जोड़े, प्रमाणपत्र और प्रमाणपत्र को दोहराती हैं।
मेटाडेटा हटाना
गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी गोपनीयता की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर डेवलपर के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।[16]
नेटवर्क एक्सेस प्रोटेक्शन
विंडोज विस्टा ने नेटवर्क एक्सेस प्रोटेक्शन (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित नीति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और पहुंच प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक पहुंच की स्वीकृति दी जाएगी, या पूरी तरह से पहुंच से इंकार कर दिया जाएगा। एनएपी वैकल्पिक रूप से एक गैर-अनुपालन वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप ग्राहक को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।
विंडोज Server 2008 सक्रिय करने वाला एक नेटवर्क नीति सर्वर स्वास्थ्य नीति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज XP#सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक वीपीएन सर्वर, रेडियस सर्वर या डीएचसीपी सर्वर भी स्वास्थ्य नीति सर्वर के रूप में कार्य कर सकता है।
अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं
- TCP/IP सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज विंडोज फ़िल्टरिंग प्लेटफ़ॉर्मWFP) के रूप में ज्ञात एक नए ढाँचे से बदल दिया गया है। WFP TCP/IP प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। WFP स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और अनुप्रयोगों का निर्माण करना आसान है, जिन्हें TCP/IP ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
- किसी नेटवर्क पर डेटा स्थानांतरित करते समय बेहतर सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट एलिप्टिक कर्व डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट उच्च एन्क्रिप्शन मानक (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें Kerberos (प्रोटोकॉल) प्रोटोकॉल और सामान्य सुरक्षा सेवा अनुप्रयोग प्रोग्राम इंटरफ़ेस। नए विनसॉक एपीआई में परिवहन परत सुरक्षा और टीएलएस कनेक्शन के लिए प्रत्यक्ष समर्थन सॉकेट अनुप्रयोगों को समर्थन के लिए अतिरिक्त कोड जोड़ने के बजाय एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है (जैसे कि सुरक्षा नीति और ट्रैफ़िक के लिए आवश्यकताएं प्रदान करना, सुरक्षा सेटिंग्स की क्वेरी करना)। एक सुरक्षित कनेक्शन। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर सक्रिय निर्देशिका डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का हिस्सा हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। भले ही अन्य प्रणालियाँ भौतिक रूप से एक ही नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का हिस्सा हो सकता है। Schannel सुरक्षा सेवा प्रदाता में नए सिफर सूट सम्मिलित हैं जो अण्डाकार वक्र क्रिप्टोग्राफी का समर्थन करते हैं, इसलिए ECC सिफर सूट को मानक TLS हैंडशेक के हिस्से के रूप में बातचीत की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यक्षमता को प्रतिस्थापित कर सकते हैं।
- IPsec अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और बेहतर प्रमाणीकरण प्रदान करता है। IPsec IPv6 का समर्थन करता है, जिसमें इंटरनेट कुंजी विनिमय (IKE), AuthIP और डेटा एन्क्रिप्शन, क्लाइंट-टू-डोमेन नियंत्रक सुरक्षा, नेटवर्क एक्सेस प्रोटेक्शन और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क सपोर्ट के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और तैनाती क्षमता बढ़ाने के लिए, विंडोज विस्टा में ऑथिप सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि बातचीत और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।[17]
- IEEE 802.11i|802.11i (वाई-फ़ाई प्रोटेक्टेड एक्सेस#WPA2) जैसे नए वायरलेस मानकों के लिए बेहतर समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल #EAP-TLS (EAP-TLS) डिफॉल्ट ऑथेंटिकेशन मोड है। कनेक्शन वायरलेस एक्सेस प्वाइंट द्वारा समर्थित सबसे सुरक्षित कनेक्शन स्तर पर बनाए जाते हैं। WPA2 का उपयोग तदर्थ मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए सिंगल साइन-ऑन का उपयोग कर सकता है।[18] इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए MS-CHAP|MS-CHAP v2 प्रमाणीकरण दोनों के लिए एक ही RADIUS सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई पहुँच नहीं है। मशीन एक स्क्रिप्ट चलाएगी, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। Verisign जैसे सार्वजनिक मुख्य बुनियादी सुविधा (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
- विंडोज विस्टा में [[संरक्षित एक्स्टेंसिबल प्रमाणीकरण प्रोटोकॉल]] होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो आईईईई 802.1X|802.1X और पीपीपी जैसी सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क एक्सेस तकनीकों के लिए प्रमाणीकरण विधियों के लिए एक्स्टेंसिबिलिटी प्रदान करता है।[19] यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
- विंडोज विस्टा पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल के साथ संरक्षित एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र PEAPv0/EAP-MSCHAPv2 (पासवर्ड) और PEAP-TLS (स्मार्टकार्ड और प्रमाणपत्र) हैं।
- विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल , एक नया माइक्रोसॉफ्ट मालिकाना प्रोटोकॉल वीपीएन प्रोटोकॉल सम्मिलित है जो एक सुरक्षित सॉकेट लेयर चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को ट्रांसपोर्ट करने के लिए एक तंत्र प्रदान करता है।
x86-64-विशिष्ट विशेषताएं
- विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा निष्पादन रोकथाम (DEP) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित अपवाद हैंडलिंग है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, DEP, डिफ़ॉल्ट रूप से, सभी 64-बिट अनुप्रयोगों और सेवाओं के लिए x86-64 संस्करणों और उन 32-बिट अनुप्रयोगों के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित DEP एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक सिस्टम घटकों के लिए सक्षम है।
- एक उन्नत कर्नेल पैच सुरक्षा, जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड अनुप्रयोगों से स्वयं को छिपाने के लिए rootkit ्स द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है।[20] पैचगार्ड को पहली बार विंडोज Server 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज XP Professional x64 संस्करण में सम्मिलित किया गया था।
- विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होना चाहिए; यहां तक कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे।[21] विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट-टाइम विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
- कोड वफ़ादारी चेक-योग हस्ताक्षरित कोड। सिस्टम बायनेरिज़ लोड करने से पहले, यह सुनिश्चित करने के लिए चेक-सम के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट लोडर कर्नेल की अखंडता, हार्डवेयर एब्स्ट्रक्शन लेयर (एचएएल) और बूट-स्टार्ट ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्पेस के अतिरिक्त, कोड इंटिग्रिटी बायनेरिज़ को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित डायनेमिक लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।
अन्य विशेषताएं और परिवर्तन
कई विशिष्ट सुरक्षा और विश्वसनीयता परिवर्तन किए गए हैं:
- एलएसए रहस्य (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा नीति, ऑडिटिंग आदि) को संग्रहीत करने के लिए मजबूत एन्क्रिप्शन का उपयोग किया जाता है।[22]
- विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए IEEE 1667 प्रमाणीकरण मानक के लिए समर्थन।[23]
- करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अद्यतन किया गया है।[24] SChannel SSP में मजबूत AES एन्क्रिप्शन और एलिप्टिक कर्व क्रिप्टोग्राफी सपोर्ट भी है।[25]
- विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है।[26] मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के बजाय डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट क्रिप्टोग्राफ़िक हैश फ़ंक्शन नियम एल्गोरिथ्म को MD5 से मजबूत SHA256 में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संवाद बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
- विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है (C: ड्राइव पर राइट-क्लिक करना और प्रारूप चुनना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड प्रॉम्प्ट पर प्राप्त होगा एक संदेश कह रहा है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है)। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू आइटम रिपेयर योर कंप्यूटर फ्रॉम द एडवांस्ड सिस्टम पुनः स्थापन ऑप्शंस को कंप्यूटर चालू करने पर F8 दबाकर चुनना चाहिए।
- अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अद्यतन किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, चाहे एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड आइटम को विंडोज सर्च द्वारा अनुक्रमित किया जा सकता है या नहीं।
- संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
- समूह नीति में एक नई नीति सेटिंग अंतिम सफल इंटरैक्टिव लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पिछले सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं। नीति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
- विंडोज संसाधन संरक्षण संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को रोकता है,[27] विंडोज इंस्टालर के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को रोककर। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
- संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल हैंडलिंग सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के खिलाफ सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम अखंडता प्रक्रिया के रूप में चलते हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक पहुंच प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को दुर्भावनापूर्ण सामग्री और सुरक्षा कमजोरियों से बचाते हैं, यहां तक कि ActiveX नियंत्रणों में भी . इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (PStore) के बजाय पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एपीआई (DPAPI) का उपयोग करें।
- विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले बंदरगाहों और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के कनेक्शन के लिए उस सेटिंग को याद रखता है।
- यूजर-मोड ड्राइवर फ्रेमवर्क ड्राइवरों को सीधे कर्नेल तक पहुंचने से रोकता है, लेकिन इसके बजाय इसे एक समर्पित एपीआई के माध्यम से एक्सेस करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुचित तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।[28]
- एंटी-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की निगरानी और पुनर्स्थापित करने के लिए विंडोज सुरक्षा केंद्र को अपग्रेड किया गया है। एंटी-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ विंडोज एपीआई कॉल को जोड़ा गया है ताकि अनुप्रयोगों को विंडोज सुरक्षा केंद्र से समग्र स्वास्थ्य स्थिति पुनर्प्राप्त करने और स्वास्थ्य स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
- संरक्षित संग्रहण (PStore) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए PStore डेटा आइटम जोड़ने या सम्मिलित को प्रबंधित करने के लिए DPAPI का उपयोग करने की अनुशंसा करता है।[29] Internet Explorer 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए PStore के बजाय DPAPI का उपयोग करते हैं।
- विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता है, तब तक इसे सुरक्षित मोड से भी एक्सेस नहीं किया जा सकता है।
यह भी देखें
संदर्भ
- ↑ Steve Lipner, Michael Howard (March 2005). "The Trustworthy Computing Security Development Lifecycle". Microsoft Developer Network. Retrieved 2006-02-15.
- ↑ Charles (2007-03-05). "UAC - What. How. Why" (video). Retrieved 2007-03-23.
- ↑ "Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide". Microsoft TechNet. 2005. Retrieved 2006-04-13.
- ↑ "Windows विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल प्रबंधन चरण-दर-चरण मार्गदर्शिका". TechNet. Microsoft. Retrieved 18 November 2014.
- ↑ "Win32_Tpm class". MSDN. Microsoft. Retrieved 18 November 2014.
- ↑ "टीपीएम बेस सर्विसेज". MSDN. Microsoft. Retrieved 18 November 2014.
- ↑ The January 2006 issue of The Cable Guy covers the new features and interfaces in Windows Firewall in greater detail.
- ↑ "समूह नीति का उपयोग करके डिवाइस स्थापना को नियंत्रित करने के लिए चरण-दर-चरण मार्गदर्शिका". MSDN. Microsoft.
- ↑ "समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों का प्रबंधन". TechNet Magazine. Microsoft.
- ↑ Howard, Michael (May 26, 2006). "विंडोज विस्टा में एड्रेस स्पेस लेआउट रेंडमाइजेशन". MSDN. Microsoft. Archived from the original on May 29, 2006. Retrieved March 20, 2023.
- ↑ "Windows Vista में सुरक्षा प्रगति". Archived from the original on 2007-04-11. Retrieved 2007-04-10.
- ↑ 12.0 12.1 "Output Content Protection and Windows Vista". WHDC. Microsoft. April 27, 2005. Archived from the original on 6 August 2005. Retrieved 2006-04-30.
- ↑ Protected Processes in Windows Vista
- ↑ "Windows Vista Security and Data Protection Improvements – Windows Service Hardening". TechNet. Microsoft. June 1, 2005. Retrieved 2006-05-21.
- ↑ Impact of Session 0 Isolation on Services and Drivers in Windows Vista covers Windows Vista's session isolation changes.
- ↑ Remove Properties and Personal Information: A Misleading Feature!
- ↑ AuthIP in Windows Vista
- ↑ The Cable Guy: Wireless Single Sign-On
- ↑ EAPHost in Windows
- ↑ Field, Scott (August 11, 2006). "An Introduction to Kernel Patch Protection". Windows Vista Security blog. MSDN Blogs. Retrieved August 12, 2006.
- ↑ "Digital Signatures for Kernel Modules on x64-based Systems Running Windows Vista". WHDC. Microsoft. May 19, 2006. Archived from the original on April 12, 2006. Retrieved May 19, 2006.
- ↑ Windows LSA Secrets
- ↑ An update is available that enables the support of Enhanced Storage devices in Windows Vista and in Windows Server 2008
- ↑ Kerberos Enhancements in Windows Vista: MSDN
- ↑ TLS/SSL Cryptographic Enhancements in Windows Vista
- ↑ Using Software Restriction Policies to Protect Against Unauthorized Software
- ↑ Windows Vista Management features
- ↑ CNET.com (2007). "विंडोज विस्टा अल्टीमेट रिव्यू". Retrieved 2007-01-31.
- ↑ "SPAP मूल्यह्रास (PStore)". Archived from the original on 2008-04-21. Retrieved 2007-04-17.