विंडोज विस्टा में सुरक्षा और सुरक्षा सुविधाएँ

विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।

2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र को "डिजाइन द्वारा सुरक्षित, डिफ़ॉल्ट रूप से सुरक्षित, परिनियोजन में सुरक्षित" के अंतर्निहित नैतिकता के साथ स्वीकृत किया। विंडोज विस्टा के लिए नया कोड एसडीएल पद्धति के साथ विकसित किया गया था, और सभी सम्मिलित कोड की समीक्षा की गई और सुरक्षा में संशोधन के लिए पुन: सक्रिय किया गया।

कुछ विशिष्ट क्षेत्र जहां विंडोज विस्टा नई सुरक्षा और सुरक्षा तंत्र प्रस्तुत करता है, उनमें उपयोगकर्ता खाता नियंत्रण, अभिभावकीय नियंत्रण, नेटवर्क अभिगम्य सुरक्षा, एक अंतर्निहित मैलवेयर रोधी उपकरण और नई डिजिटल विषयवस्तु सुरक्षा तंत्र सम्मिलित हैं।

उपयोगकर्ता खाता नियंत्रण
उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लिकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।

यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लिकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लिकेशन में किरण केन्द्र (कंप्यूटिंग) नहीं है, तो इसका टास्कबार आइकन  दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लिकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है।

चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लिकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लिकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।

इस धारणा के साथ लिखे गए एप्लिकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से एचकेई स्थानीय मशीन यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लिकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा"

एन्क्रिप्शन
बिटलॉकर, जिसे पहले सिक्योर स्टार्टअप के नाम से जाना जाता था, यह सुविधा प्रणाली विस्तार के लिए पूर्ण डिस्क एन्क्रिप्शन प्रदान करती है। कमांड-लाइन उपयोगिता का उपयोग करके, अतिरिक्त विस्तार को एन्क्रिप्ट करना संभव है। बिटलॉकर अपनी एन्क्रिप्शन कुंजी को भंडारण करने के लिए टीसीजी विनिर्देशों के यूएसबी कुंजी या विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (टीपीएम) संस्करण 1.2 का उपयोग करता है। यह सुनिश्चित करता है कि विंडोज विस्टा सक्रिय करने वाला कंप्यूटर अच्छी स्थिति में प्रारंभ होता है, और यह डेटा को अनधिकृत अभिगम्य से भी संरक्षित करता है। संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।

विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एपीआई, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है। टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लिकेशन बनाना चाहते हैं।

विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज सार्वजनिक आधारिक संरचना (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज सार्वजनिक आधारिक संरचना-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए स्मार्ट कार्ड की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है।

एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चुने गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है।

विंडोज फ़ायरवॉल
विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है कॉर्पोरेट वातावरण में विंडोज फ़ायरवॉल के लचीलेपन के आसपास कई चिंताओं को दूर करने के लिए:
 * IPv6 कनेक्शन फ़िल्टरिंग
 * आउटबाउंड पैकेट फ़िल्टरिंग, स्पाइवेयर और कंप्यूटर वायरस के बारे में बढ़ती चिंताओं को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
 * उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी पते और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
 * पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चुने गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
 * IPsec पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, Kerberos (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर कनेक्शन की स्वीकृति या इनकार करने की स्वीकृति देता है। किसी भी प्रकार के कनेक्शन के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर IPsec नीतियों के जटिल कॉन्फ़िगरेशन को संभालने वाले विज़ार्ड का उपयोग करके एक कनेक्शन सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक IPsec द्वारा सुरक्षित है या नहीं।
 * एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो IPsec कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक पहुँच प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
 * जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता। सर्वर और डोमेन आइसोलेशन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन।

विंडोज डिफेंडर
विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट AntiSpyware' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए सिस्टम की स्कैनिंग की सुविधा है, बल्कि बाजार में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें रियल टाइम सुरक्षा एजेंट भी सम्मिलित हैं जो विंडोज के कई सामान्य क्षेत्रों में बदलाव के लिए निगरानी करते हैं। स्पाइवेयर के कारण हो सकता है। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, ऑटो-स्टार्ट एप्लिकेशन, सिस्टम कॉन्फ़िगरेशन सेटिंग्स और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।

विंडोज डिफ़ेंडर में स्थापित ActiveX एप्लिकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें माइक्रोसॉफ्ट स्पाइनेट नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संवाद करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लिकेशन स्वीकार्य हैं।

डिवाइस स्थापना नियंत्रण
विंडोज विस्टा व्यवस्थापकों को समूह नीति के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, डिवाइस की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की कक्षाओं तक पहुंच को प्रतिबंधित किया जा सके।

माता-पिता का नियंत्रण
विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की निगरानी और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए माता-पिता के नियंत्रण की एक श्रृंखला सम्मिलित है जो विंडोज सर्वर डोमेन का हिस्सा नहीं हैं; उपयोगकर्ता खाता नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए विनसॉक स्तरित सेवा प्रदाता फ़िल्टर के रूप में प्रयुक्त किया गया—जो सामग्री की श्रेणियों या विशिष्ट पतों के आधार पर वेबसाइटों तक पहुँच को प्रतिबंधित करता है (सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ); समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है (और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है); गेम प्रतिबंध, जो प्रशासकों को एंटरटेनमेंट सॉफ्टवेयर रेटिंग बोर्ड जैसे वीडियो गेम सामग्री रेटिंग प्रणाली द्वारा परिभाषित नाम, सामग्री, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन हल्की भाषा वाले E10+ गेम अभी भी ब्लॉक किए जाएंगे यदि हल्की भाषा स्वयं ब्लॉक की गई है); आवेदन प्रतिबंध, जो विशिष्ट अनुप्रयोगों के लिए श्वेतसूचीकरण#अनुप्रयोग श्वेतसूची का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर नज़र रखता है और रिकॉर्ड करता है।

विंडोज माता पिता द्वारा नियंत्रण में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के साथ विकल्पों का एक एक्स्टेंसिबल सेट सम्मिलित है।

शोषण सुरक्षा कार्यक्षमता
विंडोज विस्टा स्मृति में यादृच्छिक पते पर सिस्टम फ़ाइलों को लोड करने के लिए एड्रेस स्पेस लेआउट रेंडमाइजेशन (एएसएलआर) का उपयोग करता है। डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर बेतरतीब ढंग से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल|पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में थोड़ा सा सेट करना होता है, जो एएसएलआर का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल्स के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, ढेर और ढेर आवंटित बेतरतीब ढंग से तय किया गया है। रैंडम पतों पर सिस्टम फ़ाइलों को लोड करने से, दुर्भावनापूर्ण कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह रिटर्न-टू-एलआईबीसी बफ़र अधिकता  आक्षेपों को रोककर अधिकांश दूरस्थ निष्पादन आक्षेपों को रोकने में मदद करता है।

शीर्षलेख में अपवाद प्रबंधन हैंडलर पते के एम्बेडिंग का समर्थन करने के लिए पोर्टेबल निष्पादन योग्य प्रारूप को अद्यतन किया गया है। जब भी कोई अपवाद फेंका जाता है, हैंडलर का पता निष्पादन योग्य शीर्षलेख में संग्रहीत पते से सत्यापित किया जाता है। यदि वे मेल खाते हैं, तो अपवाद को संभाला जाता है, अन्यथा यह इंगित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।

फ़ंक्शन पॉइंटर्स को XOR | XOR-ing द्वारा एक यादृच्छिक संख्या के साथ अस्पष्ट किया जाता है, जिससे कि इंगित किए गए वास्तविक पते को पुनः प्राप्त करना कठिन हो। इसलिए एक पॉइंटर को मैन्युअल रूप से बदलना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ XOR-ed हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए चेक-सम बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप भ्रष्टाचार का पता लगाने के लिए किया जाता है। जब भी ढेर भ्रष्टाचार का पता चलता है, तो शोषण के सफल समापन को रोकने के लिए आवेदन को मार दिया जाता है।

विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका शोषण जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और नॉन बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मापदंडों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में शोषण करने के लिए, उन स्थानों तक पहुंच प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम आम हैं।

आवेदन अलगाव
विंडोज विस्टा प्रक्रियाओं के लिए अखंडता स्तर निर्धारित करने के लिए अनिवार्य अखंडता नियंत्रण प्रस्तुत करता है। एक कम अखंडता प्रक्रिया उच्च अखंडता प्रक्रिया के संसाधनों तक नहीं पहुंच सकती है। इस सुविधा का उपयोग अनुप्रयोग अलगाव को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम अखंडता स्तर में अनुप्रयोग, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी अनुप्रयोग सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च अखंडता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड अनुप्रयोग लेकिन हुक कर सकते हैं विंडोज इंटरनेट एक्सप्लोरर 7 या इंटरनेट एक्सप्लोरर 8 जैसी कम अखंडता प्रक्रियाओं पर। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो हैंडल सत्यापन को निष्पादित नहीं कर सकती है, मैसेज या पोस्टमेसेज को उच्च विशेषाधिकार एप्लिकेशन विंडो में नहीं भेज सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है, उच्च विशेषाधिकार प्रक्रिया की निगरानी के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए DLL-इंजेक्शन नहीं कर सकता है।

डेटा निष्पादन रोकथाम
विंडोज़ विस्टा आधुनिक प्रोसेसरों की एनएक्स बिट (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है। DEP को विंडोज XP सर्विस पैक 2 और विंडोज Server 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। AMD के AMD64 प्रोसेसर में NX (EVP) के रूप में और Intel के प्रोसेसर में XD (EDB) के रूप में मौजूद यह सुविधा, मेमोरी के कुछ हिस्सों को इसके बजाय डेटा युक्त के रूप में फ़्लैग कर सकती है। निष्पादन योग्य कोड का, जो अतिप्रवाह त्रुटियों को मनमाना कोड निष्पादन के परिणामस्वरूप रोकता है।

यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे ढेर और ढेर) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा निष्पादन रोकथाम प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह शोषण कोड को डेटा के रूप में इंजेक्ट करने और फिर निष्पादित होने से रोकता है।

यदि डीईपी सभी अनुप्रयोगों के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के शोषण के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लिकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी अपवाद उत्पन्न करेंगे। इसलिए, DEP को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी अनुप्रयोगों के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए चालू किया जाता है। हालाँकि, विंडोज विस्टा अतिरिक्त NX नीति नियंत्रण प्रस्तुत करता है जो सॉफ़्टवेयर विकासक को उनके कोड के लिए NX हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है, सिस्टम-व्यापी संगतता प्रवर्तन सेटिंग्स से स्वतंत्र। डेवलपर अपने एप्लिकेशन को निर्मित होने पर NX-अनुपालन के रूप में चिह्नित कर सकते हैं, जो उस एप्लिकेशन के इंस्टॉल होने और चलने पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारिस्थितिकी तंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता नीति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। x86-64 अनुप्रयोगों के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से DEP को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के x86-64 संस्करणों में केवल प्रोसेसर-प्रबलित DEP का उपयोग किया जाता है।

डिजिटल अधिकार प्रबंधन
डिजिटल सामग्री प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से बचाने में मदद करने के लिए विंडोज विस्टा में नए डिजिटल अधिकार प्रबंधन और सामग्री-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।
 * प्यूमा: प्रोटेक्टेड यूजर मोड ऑडियो (प्यूमा) नया यूजर मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित सामग्री के प्रकाशक द्वारा अनुमत करने के लिए प्रतिबंधित करता है।
 * पीवीपी-ओपीएम|संरक्षित वीडियो पथ - आउटपुट प्रोटेक्शन मैनेजमेंट (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की नकल को रोकती है, या वीडियो उपकरणों पर उनके प्रदर्शन को रोकती है जिसमें समकक्ष कॉपी सुरक्षा (आमतौर पर एचडीसीपी) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना सामग्री उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से इनकार करके पीसी को कॉपीराइट सामग्री सक्रिय करने से रोक सकता है। *पीवीपी-यूएबी|संरक्षित वीडियो पथ - उपयोगकर्ता-सुलभ बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, सिवाय इसके कि यह पीसीआई एक्सप्रेस बस पर संरक्षित सामग्री के एन्क्रिप्शन को प्रयुक्त करता है।
 * विंडोज Rights Management Services (RMS) समर्थन, एक ऐसी तकनीक जो निगमों को कॉर्पोरेट दस्तावेज़ों, ईमेल और इंट्रानेट पर DRM-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक ​​कि ऐसे लोगों द्वारा खोले जाने से भी बचाया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
 * विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है, जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में हेरफेर नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक पहुंच बढ़ा दी है। हालाँकि, वर्तमान में, केवल संरक्षित वीडियो पथ का उपयोग करने वाले अनुप्रयोग ही संरक्षित प्रक्रियाएँ बना सकते हैं।

नई डिजिटल राइट्स मैनेजमेंट सुविधाओं को सम्मिलित करना विंडोज विस्टा#डिजिटल राइट्स मैनेजमेंट की आलोचना का एक स्रोत रहा है।

विंडोज सर्विस हार्डनिंग
विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से समझौता किया जाता है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से हमला नहीं कर सकता है। यह विंडोज सेवाओं को फाइल सिस्टम, रजिस्ट्री या नेटवर्क पर संचालन करने से रोकता है जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र हमले की सतह कम हो जाती है और विंडोज़ सेवा का फायदा उठाकर मैलवेयर के प्रवेश को रोका जा सकता है। सेवाओं को अब एक प्रति-सेवा सुरक्षा पहचानकर्ता (SID) सौंपा गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट पहुँच के अनुसार सेवा तक पहुँच को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय ChangeServiceConfig2 एपीआई के माध्यम से या इसका उपयोग करके एक प्रति-सेवा SID असाइन किया जा सकता है  सिडटाइप क्रिया के साथ कमांड। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी पहुँच को रोकने के लिए  कंट्रोल सूची को खोलो  (ACL) का भी उपयोग कर सकती हैं।

विंडोज विस्टा में सेवाएँ सिस्टम खाते के बजाय कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी चलती हैं। विंडोज़ के पिछले संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा चलाई। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं। इसका उद्देश्य विंडोज मैसेज-पासिंग सिस्टम के शोषण के एक वर्ग को कम करने में मदद करना है, जिसे शैटर अटैक के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल HKLM\System\CurrentControlSet\Services के अंतर्गत RequiredPrivileges रजिस्ट्री मान में निर्दिष्ट विशेषाधिकार होते हैं।

सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन अनुमतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित पहुंच टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल नीति भी होगी, जो इसे ठीक से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को कठोर बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से रोकने के लिए MSRPC सर्वरों द्वारा उपयोग किए जाने वाले नामित पाइपों को भी कठोर बनाता है।

प्रमाणीकरण और लॉगऑन
चित्रमय पहचान और प्रमाणीकरण (ग्राफिकल आइडेंटिफिकेशन एंड ऑथेंटिकेशन), जिसका उपयोग सुरक्षित ऑथेंटिकेशन और इंटरेक्टिव लॉगऑन के लिए किया जाता है, को  क्रेडेंशियल सेवा प्रदाता  द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ संयुक्त, क्रेडेंशियल प्रदाता  बॉयोमेट्रिक्स  (फिंगरप्रिंट, रेटिनल, या वॉयस रिकग्निशन), पासवर्ड, व्यक्तिगत पहचान संख्या और स्मार्ट कार्ड प्रमाणपत्र, या किसी कस्टम प्रमाणीकरण पैकेज और स्कीमा थर्ड-पार्टी के माध्यम से उपयोगकर्ताओं को लॉग ऑन करने में सक्षम करने के लिए ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं। विकासक बनाना चाहते हैं। स्मार्ट कार्ड प्रमाणीकरण लचीला है क्योंकि प्रमाणपत्र आवश्यकताओं में ढील दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को केवल हस्ताक्षर के ऊपर (SSO) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित  नेटवर्क एक्सेस प्वाइंट  (RADIUS और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लिकेशन-विशिष्ट क्रेडेंशियल एकत्रण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण IPv6 या वेब सेवाओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, CredSSP सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लिकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड SSP का उपयोग करके) लक्ष्य सर्वर (सर्वर-साइड SSP के माध्यम से) को सौंपने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा सिंगल साइन-ऑन प्रदान करने के लिए भी किया जाता है।

विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा फ़ाइल सिस्टम को एन्क्रिप्ट करना कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक पहुंच योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।

तेज़ उपयोगकर्ता स्विचिंग जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में विंडोज Server 2008 में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।

क्रिप्टोग्राफी
विंडोज विस्टा क्रिप्टो एपीआई के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एपीआई: नेक्स्ट जेनरेशन (सीएनजी) के रूप में जाना जाता है। सीएनजी एपीआई एक उपयोगकर्ता मोड और कर्नेल मोड एपीआई है जिसमें अंडाकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो राष्ट्रीय सुरक्षा एजेंसी (एनएसए) का हिस्सा हैं /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी। यह एक्स्टेंसिबल है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एपीआई प्लगिंग के लिए समर्थन सम्मिलित है। यह बेस क्रिप्टोग्राफिक सेवा प्रदाता  मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड सबसिस्टम के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक कार्यों को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण ECC प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट ECC और SHA-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।

निरसन संशोधन में ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और CAPI2 डायग्नोस्टिक्स प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। CertEnroll, एक नया COM-आधारित नामांकन एपीआई लचीली प्रोग्रामेबिलिटी के लिए XEnroll लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी जोड़े, प्रमाणपत्र और प्रमाणपत्र को दोहराती हैं।

मेटाडेटा हटाना
गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी गोपनीयता की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर डेवलपर के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।

नेटवर्क एक्सेस प्रोटेक्शन
विंडोज विस्टा ने नेटवर्क एक्सेस प्रोटेक्शन (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित नीति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और पहुंच प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक पहुंच की स्वीकृति दी जाएगी, या पूरी तरह से पहुंच से इंकार कर दिया जाएगा। एनएपी वैकल्पिक रूप से एक गैर-अनुपालन वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप ग्राहक को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।

विंडोज Server 2008 सक्रिय करने वाला एक नेटवर्क नीति सर्वर स्वास्थ्य नीति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज XP#सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक वीपीएन सर्वर, रेडियस सर्वर या डीएचसीपी सर्वर भी स्वास्थ्य नीति सर्वर के रूप में कार्य कर सकता है।

अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं

 * TCP/IP सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज विंडोज फ़िल्टरिंग प्लेटफ़ॉर्मWFP) के रूप में ज्ञात एक नए ढाँचे से बदल दिया गया है। WFP TCP/IP प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। WFP स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और अनुप्रयोगों का निर्माण करना आसान है, जिन्हें TCP/IP ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
 * किसी नेटवर्क पर डेटा स्थानांतरित करते समय बेहतर सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट एलिप्टिक कर्व डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट उच्च एन्क्रिप्शन मानक (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें Kerberos (प्रोटोकॉल) प्रोटोकॉल और सामान्य सुरक्षा सेवा अनुप्रयोग प्रोग्राम इंटरफ़ेस। नए विनसॉक एपीआई में परिवहन परत सुरक्षा  और टीएलएस कनेक्शन के लिए प्रत्यक्ष समर्थन सॉकेट अनुप्रयोगों को समर्थन के लिए अतिरिक्त कोड जोड़ने के बजाय एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है (जैसे कि सुरक्षा नीति और ट्रैफ़िक के लिए आवश्यकताएं प्रदान करना, सुरक्षा सेटिंग्स की क्वेरी करना)। एक सुरक्षित कनेक्शन। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर सक्रिय निर्देशिका डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का हिस्सा हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। भले ही अन्य प्रणालियाँ भौतिक रूप से एक ही नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का हिस्सा हो सकता है। Schannel सुरक्षा सेवा प्रदाता में नए सिफर सूट सम्मिलित हैं जो अण्डाकार वक्र क्रिप्टोग्राफी का समर्थन करते हैं, इसलिए ECC सिफर सूट को मानक TLS हैंडशेक के हिस्से के रूप में बातचीत की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यक्षमता को प्रतिस्थापित कर सकते हैं।
 * IPsec अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और बेहतर प्रमाणीकरण प्रदान करता है। IPsec IPv6 का समर्थन करता है, जिसमें इंटरनेट कुंजी विनिमय (IKE), AuthIP और डेटा एन्क्रिप्शन, क्लाइंट-टू- डोमेन नियंत्रक सुरक्षा, नेटवर्क एक्सेस प्रोटेक्शन और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क सपोर्ट के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और तैनाती क्षमता बढ़ाने के लिए, विंडोज विस्टा में ऑथिप सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि बातचीत और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।
 * IEEE 802.11i|802.11i (वाई-फ़ाई प्रोटेक्टेड एक्सेस#WPA2) जैसे नए वायरलेस मानकों के लिए बेहतर समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल #EAP-TLS (EAP-TLS) डिफॉल्ट ऑथेंटिकेशन मोड है। कनेक्शन वायरलेस एक्सेस प्वाइंट द्वारा समर्थित सबसे सुरक्षित कनेक्शन स्तर पर बनाए जाते हैं। WPA2 का उपयोग तदर्थ मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए सिंगल साइन-ऑन का उपयोग कर सकता है। इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए MS-CHAP|MS-CHAP v2 प्रमाणीकरण दोनों के लिए एक ही RADIUS सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई पहुँच नहीं है। मशीन एक स्क्रिप्ट चलाएगी, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। Verisign  जैसे सार्वजनिक मुख्य बुनियादी सुविधा (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
 * विंडोज विस्टा में संरक्षित [[एक्स्टेंसिबल प्रमाणीकरण प्रोटोकॉल]] होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो आईईईई 802.1X|802.1X और पीपीपी जैसी सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क एक्सेस तकनीकों के लिए प्रमाणीकरण विधियों के लिए एक्स्टेंसिबिलिटी प्रदान करता है। यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
 * विंडोज विस्टा पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल के साथ संरक्षित एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र PEAPv0/EAP-MSCHAPv2 (पासवर्ड) और PEAP-TLS (स्मार्टकार्ड और प्रमाणपत्र) हैं।
 * विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल, एक नया माइक्रोसॉफ्ट  मालिकाना प्रोटोकॉल  वीपीएन प्रोटोकॉल सम्मिलित है जो एक  सुरक्षित सॉकेट लेयर  चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को ट्रांसपोर्ट करने के लिए एक तंत्र प्रदान करता है।

x86-64-विशिष्ट विशेषताएं

 * विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा निष्पादन रोकथाम (DEP) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित अपवाद हैंडलिंग है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, DEP, डिफ़ॉल्ट रूप से, सभी 64-बिट अनुप्रयोगों और सेवाओं के लिए x86-64 संस्करणों और उन 32-बिट अनुप्रयोगों के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित DEP एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक सिस्टम घटकों के लिए सक्षम है।
 * एक उन्नत कर्नेल पैच सुरक्षा, जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड अनुप्रयोगों से स्वयं को छिपाने के लिए rootkit ्स द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है। पैचगार्ड को पहली बार विंडोज Server 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज XP Professional x64 संस्करण में सम्मिलित किया गया था।
 * विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होना चाहिए; यहां तक ​​कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे। विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट-टाइम विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
 * कोड वफ़ादारी चेक-योग हस्ताक्षरित कोड। सिस्टम बायनेरिज़ लोड करने से पहले, यह सुनिश्चित करने के लिए चेक-सम के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट लोडर कर्नेल की अखंडता, हार्डवेयर एब्स्ट्रक्शन लेयर (एचएएल) और बूट-स्टार्ट ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्पेस के अतिरिक्त, कोड इंटिग्रिटी बायनेरिज़ को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित डायनेमिक लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।

अन्य विशेषताएं और परिवर्तन
कई विशिष्ट सुरक्षा और विश्वसनीयता परिवर्तन किए गए हैं:
 * एलएसए रहस्य (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा नीति, ऑडिटिंग आदि) को संग्रहीत करने के लिए मजबूत एन्क्रिप्शन का उपयोग किया जाता है।
 * विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए IEEE 1667 प्रमाणीकरण मानक के लिए समर्थन।
 * करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अद्यतन किया गया है। SChannel SSP में मजबूत AES एन्क्रिप्शन और एलिप्टिक कर्व क्रिप्टोग्राफी सपोर्ट भी है।
 * विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है। मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के बजाय डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट क्रिप्टोग्राफ़िक हैश फ़ंक्शन नियम एल्गोरिथ्म को MD5 से मजबूत SHA256 में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संवाद बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
 * विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है (C: ड्राइव पर राइट-क्लिक करना और प्रारूप चुनना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड प्रॉम्प्ट पर प्राप्त होगा एक संदेश कह रहा है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है)। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू आइटम रिपेयर योर कंप्यूटर फ्रॉम द एडवांस्ड सिस्टम पुनः स्थापन ऑप्शंस को कंप्यूटर चालू करने पर F8 दबाकर चुनना चाहिए।
 * अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अद्यतन किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, चाहे एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड आइटम को विंडोज सर्च द्वारा अनुक्रमित किया जा सकता है या नहीं।
 * संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
 * समूह नीति में एक नई नीति सेटिंग अंतिम सफल इंटरैक्टिव लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पिछले सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं। नीति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
 * विंडोज संसाधन संरक्षण संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को रोकता है, विंडोज इंस्टालर के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को रोककर। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
 * संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल हैंडलिंग सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के खिलाफ सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम अखंडता प्रक्रिया के रूप में चलते हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक पहुंच प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को दुर्भावनापूर्ण सामग्री और सुरक्षा कमजोरियों से बचाते हैं, यहां तक ​​​​कि ActiveX नियंत्रणों में भी . इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (PStore) के बजाय पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एपीआई (DPAPI) का उपयोग करें।
 * विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले बंदरगाहों और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के कनेक्शन के लिए उस सेटिंग को याद रखता है।
 * यूजर-मोड ड्राइवर फ्रेमवर्क ड्राइवरों को सीधे कर्नेल तक पहुंचने से रोकता है, लेकिन इसके बजाय इसे एक समर्पित एपीआई के माध्यम से एक्सेस करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुचित तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।
 * एंटी-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की निगरानी और पुनर्स्थापित करने के लिए विंडोज सुरक्षा केंद्र को अपग्रेड किया गया है। एंटी-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ विंडोज एपीआई कॉल को जोड़ा गया है ताकि अनुप्रयोगों को विंडोज सुरक्षा केंद्र से समग्र स्वास्थ्य स्थिति पुनर्प्राप्त करने और स्वास्थ्य स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
 * संरक्षित संग्रहण (PStore) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए PStore डेटा आइटम जोड़ने या सम्मिलित को प्रबंधित करने के लिए DPAPI का उपयोग करने की अनुशंसा करता है। Internet Explorer 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए PStore के बजाय DPAPI का उपयोग करते हैं।
 * विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता है, तब तक इसे सुरक्षित मोड से भी एक्सेस नहीं किया जा सकता है।

यह भी देखें

 * कंप्यूटर सुरक्षा

बाहरी संबंध

 * Vista vulnerabilities from SecurityFocus