विंडोज विस्टा में सुरक्षा और सुरक्षा सुविधाएँ

विंडोज विस्टा में कई सुरक्षा और सुरक्षा सुविधाएँ नई हैं, जिनमें से अधिकांश किसी भी पूर्व माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम रिलीज़ में उपलब्ध नहीं हैं।

2002 के प्रारंभ में माइक्रोसॉफ्ट की विश्वसनीय कंप्यूटिंग उपक्रम की घोषणा के साथ, विंडोज़ विस्टा को अपने पूर्ववर्तियों की तुलना में अधिक सुरक्षित ऑपरेटिंग सिस्टम बनाने में अपेक्षाकृत अधिक काम किया गया है। आंतरिक रूप से, माइक्रोसॉफ्ट ने सुरक्षा विकास जीवनचक्र को "डिजाइन द्वारा सुरक्षित, डिफ़ॉल्ट रूप से सुरक्षित, परिनियोजन में सुरक्षित" के अंतर्निहित नैतिकता के साथ स्वीकृत किया। विंडोज विस्टा के लिए नया कोड एसडीएल पद्धति के साथ विकसित किया गया था, और सभी सम्मिलित कोड की समीक्षा की गई और सुरक्षा में संशोधन के लिए पुन: सक्रिय किया गया।

कुछ विशिष्ट क्षेत्र जहां विंडोज विस्टा नई सुरक्षा और सुरक्षा तंत्र प्रस्तुत करता है, उनमें उपयोगकर्ता खाता नियंत्रण, अभिभावकीय नियंत्रण, नेटवर्क अभिगम्य सुरक्षा, एक अंतर्निहित मैलवेयर रोधी उपकरण और नई डिजिटल विषयवस्तु सुरक्षा तंत्र सम्मिलित हैं।

उपयोगकर्ता खाता नियंत्रण
उपयोगकर्ता खाता नियंत्रण एक नया आधारिक संरचना है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता वाली किसी भी प्रक्रिया की स्वीकृति देने से पहले उपयोगकर्ता की सहमति की आवश्यकता होती है। इस सुविधा के साथ, प्रशासनिक विशेषाधिकार वाले उपयोगकर्ताओं सहित सभी उपयोगकर्ता डिफ़ॉल्ट रूप से एक मानक उपयोगकर्ता मोड में चलते हैं, क्योंकि अधिकांश एप्लीकेशन को उच्च विशेषाधिकारों की आवश्यकता नहीं होती है। जब कुछ प्रक्रिया का प्रयास किया जाता है जिसके लिए प्रशासनिक विशेषाधिकारों की आवश्यकता होती है, जैसे कि नया सॉफ़्टवेयर स्थापित करना या प्रणाली या सुरक्षा संस्थापन बदलना, तो विंडोज़ उपयोगकर्ता को संकेत देगा कि प्रक्रिया की स्वीकृति दें या नहीं दे। यदि उपयोगकर्ता स्वीकृति देना चयन करता है, तो प्रक्रिया प्रारंभ करने की प्रक्रिया को जारी रखने के लिए एक उच्च विशेषाधिकार संदर्भ में उन्नत किया जाता है। जबकि मानक उपयोगकर्ताओं को एक प्रक्रिया को उन्नत (ओवर-द-शोल्डर प्रत्ययपत्र) प्राप्त करने के लिए एक प्रशासनिक खाते का उपयोगकर्ता नाम और पासवर्ड प्रविष्ट करने की आवश्यकता होती है, एक व्यवस्थापक केवल सहमति के लिए संकेत देने या प्रमाणपत्र (क्रेडेंशियल्स) के लिए पूछने का विकल्प चयन कर सकता है। यदि उपयोगकर्ता हाँ क्लिक नहीं करता है, तो 30 सेकंड के बाद संकेत अस्वीकार कर दिया जाता है।

यूएसी एक सुरक्षित डेस्कटॉप मोड में प्रमाणपत्र के लिए पूछता है, जहां पूरी स्क्रीन अस्पष्ट हो जाती है और केवल एलिवेशन यूआई प्रस्तुत करने के लिए अस्थायी रूप से अक्षम हो जाती है। यह उन्नयन का अनुरोध करने वाले एप्लीकेशन द्वारायूआई या माउस के स्पूफिंग को रोकने के लिए है। यदि सुरक्षित डेस्कटॉप पर स्विच करने से पहले उन्नयन का अनुरोध करने वाले एप्लीकेशन में किरण केन्द्र (कंप्यूटिंग) नहीं है, तो इसका टास्कबार आइकन दिशा संकेतक करता है, और जब फोकस किया जाता है, तो एलिवेशन यूआई प्रस्तुत किया जाता है हालांकि, किसी मेलिसियस (विद्वेषपूर्ण) एप्लीकेशन को बिना ध्वनि के फोकस प्राप्त करने से रोकना संभव नहीं है।

चूंकि सुरक्षित डेस्कटॉप केवल उच्चतम विशेषाधिकार वाले प्रणाली एप्लीकेशन को सक्रिय करने की स्वीकृति देता है, इसलिए कोई भी उपयोगकर्ता मोड एप्लीकेशन उस डेस्कटॉप पर अपने डायलॉग बॉक्स प्रस्तुत नहीं कर सकता है, इसलिए उन्नयन सहमति के लिए किसी भी संकेत को सुरक्षित रूप से वास्तविक माना जा सकता है। इसके अतिरिक्त, यह नष्ट करने वाले आक्षेपों से संरक्षण करने में भी सहायता कर सकता है, जो अनधिकृत प्रक्रियाओं को उच्च विशेषाधिकार प्रक्रियाओं को संदेश भेजने से रोककर मेलिसियस कोड सक्रिय करने या उपयोगकर्ता इंटरफ़ेस को विकृत करने के लिए विंडोज अंतर-प्रक्रिया संदेशों को रोकता है। कोई भी प्रक्रिया जो एक उच्च विशेषाधिकार प्रक्रिया को संदेश प्रेषित करना चाहती है, उसे यूएसी के माध्यम से स्वयं को उच्च विशेषाधिकार संदर्भ में उन्नत करना होगा।

इस धारणा के साथ लिखे गए एप्लीकेशन कि उपयोगकर्ता प्रशासक विशेषाधिकारों के साथ सक्रिय रहेंगे, सीमित उपयोगकर्ता खातों से सक्रिय रहने पर विंडोज़ के पुराने संस्करणों में समस्याओं का अनुभव होगा, प्रायः क्योंकि उन्होंने मशीन-वाइड या प्रणाली निर्देशिकाओं (जैसे प्रोग्राम फाइल्स) या रजिस्ट्री कुंजियों को लिखने का प्रयास किया था। विशेष रूप से एचकेई स्थानीय मशीन यूएसी फ़ाइल और रजिस्ट्री वर्चुअलाइज़ेशन (आभासीकरण) का उपयोग करके इसे कम करने का प्रयास करता है, जो उपयोगकर्ता के प्रोफ़ाइल के अंदर प्रति-उपयोगकर्ता स्थान पर पुनर्निर्देशित करता है और बाद में पढ़ता है। उदाहरण के लिए, यदि कोई एप्लीकेशन "C:\program files\appname\settings.ini" पर लिखने का प्रयास करता है और उपयोगकर्ता के पास उस निर्देशिका में लिखने की स्वीकृति नहीं है, तो लेखन "C:\Users\username" पर \AppData\Local\VirtualStore\Program Files\appname\ पुनर्निर्देशित हो जाएगा"

एन्क्रिप्शन
बिटलॉकर, जिसे पहले सिक्योर स्टार्टअप के नाम से जाना जाता था, यह सुविधा प्रणाली विस्तार के लिए पूर्ण डिस्क एन्क्रिप्शन प्रदान करती है। कमांड-लाइन उपयोगिता का उपयोग करके, अतिरिक्त विस्तार को एन्क्रिप्ट करना संभव है। बिटलॉकर अपनी एन्क्रिप्शन कुंजी को भंडारण करने के लिए टीसीजी विनिर्देशों के यूएसबी कुंजी या विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (टीपीएम) संस्करण 1.2 का उपयोग करता है। यह सुनिश्चित करता है कि विंडोज विस्टा सक्रिय करने वाला कंप्यूटर अच्छी स्थिति में प्रारंभ होता है, और यह डेटा को अनधिकृत अभिगम्य से भी संरक्षित करता है। संस्करण पर डेटा को पूर्ण संस्करण एन्क्रिप्शन कुंजी (एफवीईके) के साथ एन्क्रिप्ट किया गया है, जिसे आगे संस्करण मास्टर कुंजी (वीएमके) के साथ एन्क्रिप्ट किया गया है और डिस्क पर ही संग्रहीत किया गया है।

विंडोज विस्टा पहला माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम है जो विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के उपयोग और प्रबंधन के लिए एप्लिकेशन प्रोग्राम इंटरफ़ेस, कमांड, वर्ग और सेवाओं का एक सेट प्रदान करके विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल 1.2 के लिए मूल समर्थन प्रदान करता है। टीपीएम आधार सेवा के रूप में संदर्भित एक नई प्रणाली सेवा, उन विकासक के लिए टीपीएम संसाधनों तक अभिगम्य और साझा करने में सक्षम बनाती है जो डिवाइस के समर्थन के साथ एप्लीकेशन बनाना चाहते हैं।

विंडोज़ विस्टा में एनक्रिप्टिंग फाइल प्रणाली (ईएफएस) का उपयोग प्रणाली पेज फाइल और प्रति-उपयोगकर्ता ऑफलाइन फाइल कैश को एन्क्रिप्ट करने के लिए किया जा सकता है। ईएफएस एंटरप्राइज सार्वजनिक आधारिक संरचना (पीकेआई) के साथ अधिक प्रबलता से एकीकृत है, और एंटरप्राइज सार्वजनिक आधारिक संरचना-आधारित कुंजी पुनः स्थापन, ईएफएस पुनः स्थापन प्रमाणपत्र के माध्यम से डेटा पुनः स्थापन या दोनों के संयोजन का समर्थन करता है। एनक्रिप्टिंग फाइल सिस्टम के लिए स्मार्ट कार्ड की आवश्यकता, पेज फ़ाइल एन्क्रिप्शन प्रयुक्त करने, एनक्रिप्टिंग फाइल प्रणाली के लिए न्यूनतम कुंजी लंबाई निर्धारित करने, उपयोगकर्ता के स्व-हस्ताक्षरित प्रमाणपत्रों को प्रतिबंधित करने के लिए नई समूह नीतियां भी हैं। ईएफएस एन्क्रिप्शन कुंजी कैश को तब संशोधित किया जा सकता है जब उपयोगकर्ता अपने वर्कस्टेशन को लॉक करता है या एक निश्चित समय सीमा के बाद ईएफएस एन्क्रिप्शन कुंजी कैश को संशोधित किया जा सकता है।

एनक्रिप्टिंग फाइल सिस्टम पुनः कुंजीयन विज़ार्ड उपयोगकर्ता को एनक्रिप्टिंग फाइल सिस्टम के लिए एक प्रमाणपत्र चयन करने और सम्मिलित फ़ाइलों को चयन करने और स्थानांतरण करने की स्वीकृति देता है जो नए चयन किए गए प्रमाणपत्र का उपयोग करेंगे। प्रमाणपत्र प्रबंधक भी उपयोगकर्ताओं को उनके एनक्रिप्टिंग फाइल प्रणाली पुनर्प्राप्ति प्रमाणपत्र और निजी कुंजियों को निर्यात करने की स्वीकृति देता है। उपयोगकर्ताओं को पहली बार उपयोग करने पर बलून अधिसूचना के माध्यम से अपनी एनक्रिप्टिंग फाइल सिस्टम कुंजियों का बैकअप लेने के लिए याद दिलाया जाता है। रीकीइंग विजार्ड का उपयोग सॉफ्टवेयर प्रमाणपत्र से स्मार्ट कार्ड में सम्मिलित इंस्टॉलेशन (संस्थापन) में उपयोगकर्ताओं को स्थानांतरण करने के लिए भी किया जा सकता है। पुनर्प्राप्ति स्थितियों में विज़ार्ड का उपयोग व्यवस्थापक या स्वयं उपयोगकर्ताओं द्वारा भी किया जा सकता है। यह विधि फ़ाइलों को डिक्रिप्ट करने और पुन: एन्क्रिप्ट करने की तुलना में अधिक सक्षम है।

विंडोज फ़ायरवॉल
विंडोज विस्टा फ़ायरवॉल में महत्वपूर्ण रूप से संशोधन करता है निगमित वातावरण में विंडोज फ़ायरवॉल के नम्यता के आसपास कई समस्याओ को दूर करने के लिए:
 * आईपीवी 6 संपर्क फ़िल्टरिंग
 * आउटबाउंड पैकेट फ़िल्टरिंग, स्पाइवेयर और कंप्यूटर वायरस के बारे में बढ़ती समस्याओ को दर्शाता है जो घर पर फोन करने का प्रयास करते हैं।
 * उन्नत पैकेट फिल्टर के साथ, स्रोत और गंतव्य आईपी एड्रैस और पोर्ट रेंज के लिए नियम भी निर्दिष्ट किए जा सकते हैं।
 * पूर्ण पथ फ़ाइल नाम निर्दिष्ट करने की आवश्यकता के बिना, सूची द्वारा चयन किए गए सेवा नाम द्वारा सेवाओं के लिए नियमों को कॉन्फ़िगर किया जा सकता है।
 * इंटरनेट प्रोटोकॉल सुरक्षा पूरी तरह से एकीकृत है, सुरक्षा प्रमाणपत्रों, करबरोस (प्रोटोकॉल) प्रमाणीकरण, आदि के आधार पर संपर्क की स्वीकृति या संपर्क नहीं करने की स्वीकृति देता है। किसी भी प्रकार के संपर्क के लिए एन्क्रिप्शन की भी आवश्यकता हो सकती है। मशीन पर इंटरनेट प्रोटोकॉल सुरक्षा नीतियों के जटिल कॉन्फ़िगरेशन को नियंत्रण करने वाले विज़ार्ड का उपयोग करके एक संपर्क सुरक्षा नियम बनाया जा सकता है। विंडोज फ़ायरवॉल इस आधार पर ट्रैफ़िक की स्वीकृति दे सकता है कि ट्रैफ़िक इंटरनेट प्रोटोकॉल सुरक्षा द्वारा सुरक्षित है या नहीं है।
 * एक नया माइक्रोसॉफ्ट प्रबंधन कंसोल स्नैप-इन जिसका नाम उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल है जो इंटरनेट प्रोटोकॉल सुरक्षा कॉन्फ़िगरेशन सहित कई उन्नत विकल्पों तक अभिगम्य प्रदान करता है, और दूरस्थ प्रशासन को सक्षम बनाता है।
 * जब कंप्यूटर डोमेन से जुड़े हों या किसी निजी या सार्वजनिक नेटवर्क से जुड़े हों, तो उनके लिए अलग फ़ायरवॉल प्रोफ़ाइल रखने की क्षमता रखता है। सर्वर और डोमेन वियोजन नीतियों को प्रयुक्त करने के लिए नियमों के निर्माण के लिए समर्थन करता है।

विंडोज डिफेंडर ( प्रतिरक्षक)
विंडोज विस्टा में विंडोज डिफेंडर, माइक्रोसॉफ्ट की एंटी-स्पाइवेयर उपयोगिता सम्मिलित है। माइक्रोसॉफ्ट के अनुसार, इसका नाम बदलकर 'माइक्रोसॉफ्ट एंटी-स्पाईवेयर' कर दिया गया था क्योंकि इसमें न केवल स्पाइवेयर के लिए प्रणाली की स्कैनिंग की सुविधा है, बल्कि विक्रय में अन्य मुफ्त उत्पादों के समान है, बल्कि इसमें वास्तविक समय सुरक्षा कारक भी सम्मिलित हैं जो स्पाइवेयर के कारण होने वाले परिवर्तनों के लिए विंडोज़ के कई सामान्य क्षेत्रों की संरक्षण करते हैं। इन क्षेत्रों में इंटरनेट एक्सप्लोरर कॉन्फ़िगरेशन और डाउनलोड, स्वतः प्रारंभ एप्लीकेशन, सिस्टम कॉन्फ़िगरेशन संस्थापन और विंडोज में ऐड-ऑन जैसे विंडोज शेल एक्सटेंशन सम्मिलित हैं।

विंडोज डिफ़ेंडर में स्थापित एक्टिवेक्स एप्लीकेशन को निकालने और स्टार्टअप प्रोग्राम को ब्लॉक करने की क्षमता भी सम्मिलित है। इसमें माइक्रोसॉफ्ट स्पाइनेट नेटवर्क भी सम्मिलित है, जो उपयोगकर्ताओं को माइक्रोसॉफ्ट के साथ संचार करने की स्वीकृति देता है, जिसे वे स्पाइवेयर मानते हैं उसे भेजते हैं, और यह जांचते हैं कि कौन से एप्लीकेशन स्वीकार्य हैं।

डिवाइस स्थापना नियंत्रण
विंडोज विस्टा व्यवस्थापकों को समूह युक्ति के माध्यम से हार्डवेयर प्रतिबंधों को प्रयुक्त करने की स्वीकृति देता है ताकि उपयोगकर्ताओं को उपकरणों को स्थापित करने से रोका जा सके, उपकरण की स्थापना को पूर्वनिर्धारित श्वेत सूची में प्रतिबंधित किया जा सके, या हटाने योग्य मीडिया और उपकरणों की श्रेणी तक अभिगम्य को प्रतिबंधित किया जा सके।

पैरेंटल (अभिभावकीय) का नियंत्रण
विंडोज विस्टा में मानक उपयोगकर्ता खातों की कंप्यूटर गतिविधि की संरक्षण और प्रतिबंधित करने के लिए व्यवस्थापकों के लिए पैरेंटल के नियंत्रण की एक श्रेणी सम्मिलित है जो विंडोज सर्वर डोमेन का भाग नहीं हैं; उपयोगकर्ता अकाउंट (खाता) नियंत्रण प्रशासनिक प्रतिबंध प्रयुक्त करता है। विशेषताओं में सम्मिलित हैं: विन्डोज़ विस्टा वेब फ़िल्टर—सभी वेब ब्राउज़रों पर काम करने के लिए विनसॉक स्तरित सेवा प्रदाता फ़िल्टर के रूप में प्रयुक्त किया गया—जो वस्तु की श्रेणियों या विशिष्ट एड्रैस के आधार पर वेबसाइटों तक अभिगम्य को प्रतिबंधित करता है सभी फ़ाइल डाउनलोड को ब्लॉक करने के विकल्प के साथ; समय सीमा, जो मानक उपयोगकर्ताओं को किसी व्यवस्थापक द्वारा निर्दिष्ट दिनांक या समय के समय लॉग इन करने से रोकता है और जो ऐसे समय के समय पहले से लॉग इन प्रतिबंधित खातों को लॉक करता है; गेम प्रतिबंध, जो प्रशासकों को मनोरंजन सॉफ़्टवेयर रेटिंग बोर्ड जैसे वीडियो गेम प्रकरण रेटिंग प्रणाली द्वारा परिभाषित नाम, वस्तु, या रेटिंग के आधार पर गेम को ब्लॉक करने की स्वीकृति देता है। उदाहरण के लिए, हर कोई 10+ (E10+) गेम्स को सामान्य रूप से सक्रिय करने की स्वीकृति दी जा सकती है, लेकिन सामान्य भाषा वाले E10+ गेम अभी भी ब्लॉक किए जाएंगे यदि सामान्य भाषा स्वयं ब्लॉक की गई है; प्लिकेशन प्रतिबंध, जो विशिष्ट एप्लीकेशन के लिए एप्लीकेशन व्हाइटलिस्ट (श्वेतसूची) का उपयोग करता है; और गतिविधि रिपोर्ट, जो प्रतिबंधित मानक उपयोगकर्ता खातों की गतिविधियों पर दृष्टि रखता है और रिकॉर्ड करता है।

विंडोज पैरेंटल द्वारा नियंत्रण में विकासक के लिए बंडल किए गए फीचर्स को अपने स्वयं के साथ बदलने के लिए एप्लीकेशन प्रोग्रामिंग इंटरफेस (एप्लिकेशन प्रोग्राम इंटरफ़ेस) के साथ विकल्पों का एक प्रसारणीय सेट सम्मिलित है।

सुरक्षा कार्यात्मकता का समुपयोजन
विंडोज विस्टा मेमोरी में यादृच्छिक एड्रैस पर प्रणाली फ़ाइलों को लोड करने के लिए एड्रेस स्थान लेआउट यादृच्छिकरण (एएसएलआर) का उपयोग करता है। डिफ़ॉल्ट रूप से, सभी सिस्टम फ़ाइलें संभावित 256 स्थानों में से किसी पर अच्छे तरीके से लोड की जाती हैं। अन्य निष्पादकों को विशेष रूप से पोर्टेबल एक्ज़ीक्यूटेबल (पीई) फ़ाइल के हेडर में आंशिक स्थापित करना होता है, जो एड्रेस स्थान लेआउट यादृच्छिकरण का उपयोग करने के लिए विंडोज़ एक्ज़ीक्यूटेबल (निष्पादन योग्य) के लिए फ़ाइल स्वरूप है। ऐसे निष्पादकों के लिए, स्टैक और हीप यादृच्छिक रूप से निर्धारित किया जाता है। रैंडम एड्रैस पर सिस्टम फ़ाइलों को लोड करने से, मेलिसियस कोड के लिए यह जानना कठिन हो जाता है कि विशेषाधिकार प्राप्त सिस्टम फ़ंक्शंस कहाँ स्थित हैं, जिससे उनके लिए उनका अनुमान लगाने की संभावना कम हो जाती है। यह एलआईबीसी पर वापस जाने पर बफर ओवरफ्लो आक्षेपों को रोककर अधिकांश दूरस्थ कार्यान्वयन आक्षेपों को रोकने में सहायता करता है।

हैडर में आक्षेप प्रबंधन हैंडलर एड्रैस के अन्तः स्थापित करने का समर्थन करने के लिए पोर्टेबल निष्पादन योग्य प्रारूप को अपडेट किया गया है। जब भी कोई आक्षेप निर्दिष्ट किया जाता है, हैंडलर का एड्रैस निष्पादन योग्य हैडर में संग्रहीत एड्रैस से सत्यापित किया जाता है। यदि वे समान नहीं हैं, तो आक्षेप को नियंत्रित किया जाता है, अन्यथा यह प्रदर्शित करता है कि रन-टाइम स्टैक से समझौता किया गया है, और इसलिए प्रक्रिया समाप्त हो गई है।

फंक्शन पॉइंटर्स को एक्सओआर-आईएनजी द्वारा एक यादृच्छिक संख्या के साथ भ्रमित किया जाता है, जिससे कि वास्तविक एड्रैस को पुनः प्राप्त करना कठिन हो जाता है। इसलिए एक पॉइंटर को मैन्युअल रूप से परिवर्तित करना होगा, क्योंकि पॉइंटर के लिए उपयोग की जाने वाली ऑबफसकेशन कुंजी को पुनः प्राप्त करना बहुत कठिन होगा। इस प्रकार, फ़ंक्शन पॉइंटर के किसी भी अनधिकृत उपयोगकर्ता के लिए वास्तव में इसका उपयोग करने में सक्षम होना कठिन बना दिया गया है। हीप ब्लॉक के लिए भी मेटाडेटा यादृच्छिक संख्या के साथ एक्सओआर-एड हैं। इसके अतिरिक्त, हीप ब्लॉक के लिए जाँच योग बनाए रखा जाता है, जिसका उपयोग अनधिकृत परिवर्तनों और हीप विकृती का पता लगाने के लिए किया जाता है। जब भी हीप विकृती का पता चलता है, तो समुपयोजन के सफल समापन को रोकने के लिए एप्लीकेशन को नष्ट कर दिया जाता है।

विंडोज विस्टा बायनेरिज़ में स्टैक-ओवरफ्लो का पता लगाने के लिए आंतरिक समर्थन सम्मिलित है। जब विंडोज विस्टा बायनेरिज़ में स्टैक ओवरफ़्लो का पता चलता है, तो प्रक्रिया समाप्त हो जाती है ताकि इसका समुपयोजन जारी रखने के लिए उपयोग नहीं किया जा सके। साथ ही विन्डोज़ विस्टा बायनेरिज़ बफ़र्स को मेमोरी में उच्च और गैर- बफ़र्स, जैसे पॉइंटर्स और आपूर्ति किए गए मानकों को कम मेमोरी क्षेत्र में रखते हैं। तो वास्तव में समुपयोजन करने के लिए, उन स्थानों तक अभिगम्य प्राप्त करने के लिए एक बफर अंडररन की आवश्यकता होती है। हालाँकि, बफ़र अंडररन बफ़र ओवररन की तुलना में बहुत कम सामान्य हैं।

एप्लीकेशन वियोजन
विंडोज विस्टा प्रक्रियाओं के लिए समाग्रता स्तर निर्धारित करने के लिए अनिवार्य समाग्रता नियंत्रण प्रस्तुत करता है। एक कम समाग्रता प्रक्रिया उच्च समाग्रता प्रक्रिया के संसाधनों तक अभिगम्य नहीं कर सकती है। इस सुविधा का उपयोग एप्लीकेशन वियोजन को प्रयुक्त करने के लिए किया जा रहा है, जहां एक मध्यम समाग्रता स्तर में एप्लीकेशन, जैसे कि मानक उपयोगकर्ता संदर्भ में चल रहे सभी एप्लीकेशन सिस्टम स्तर की प्रक्रियाओं में सम्मिलित नहीं हो सकते हैं जो उच्च समाग्रता स्तर में चलती हैं, जैसे कि व्यवस्थापक मोड एप्लीकेशन विंडोज इंटरनेट एक्सप्लोरर 7 या इंटरनेट एक्सप्लोरर 8 जैसी कम समाग्रता प्रक्रियाओं पर हुक कर सकते हैं। एक कम विशेषाधिकार प्रक्रिया उच्च प्रक्रिया विशेषाधिकार के विंडो नियंत्रण सत्यापन को निष्पादित नहीं कर सकती है, संदेश या पोस्टमेसेज को उच्च विशेषाधिकार एप्लीकेशन विंडो में नहीं प्रेषित कर सकती है, उच्च विशेषाधिकार प्रक्रिया से जुड़ने के लिए थ्रेड हुक का उपयोग नहीं कर सकती है, उच्च विशेषाधिकार प्रक्रिया की संरक्षण के लिए जर्नल हुक का उपयोग नहीं कर सकता है और उच्च विशेषाधिकार प्रक्रिया के लिए डीएलएल-इंजेक्शन नहीं कर सकता है।

डेटा कार्यान्वयन प्रतिबंध
विंडोज़ विस्टा आधुनिक प्रोसेसरों की एनएक्स बिट (नो-एक्ज़ीक्यूट) सुविधा के लिए पूर्ण समर्थन प्रदान करता है। डेटा कार्यान्वयन प्रतिबंध को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 2 और विंडोज सर्वर 2003 सर्विस पैक 1 में प्रस्तुत किया गया था। एएमडी के एएमडी64 प्रोसेसर में एनएक्स (ईवीपी) के रूप में और इंटेल के प्रोसेसर में एक्सडी (ईडीबी) के रूप में सम्मिलित यह सुविधा, मेमोरी के कुछ भागों को इसके अतिरिक्त डेटा युक्त के रूप में फ़्लैग (चिन्हित) कर सकती है। निष्पादन योग्य कोड का, जो ओवेरफ़्लो त्रुटियों को यादृच्छिक कोड कार्यान्वयन के परिणामस्वरूप प्रतिबंध करता है।

यदि प्रोसेसर एनएक्स-बिट का समर्थन करता है, तो विंडोज विस्टा स्वचालित रूप से कुछ मेमोरी पेजों को गैर-निष्पादन योग्य डेटा सेगमेंट (जैसे स्टैक और हीप) के रूप में चिह्नित करने के लिए सभी प्रक्रियाओं पर हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध प्रयुक्त करता है, और बाद में किसी भी डेटा को व्याख्या करने से रोका जाता है। और कोड के रूप में निष्पादित किया गया। यह समुपयोजन कोड को डेटा के रूप में अन्तः क्षिप्त करने और फिर निष्पादित होने से रोकता है।

यदि डीईपी सभी एप्लीकेशन के लिए सक्षम है, तो उपयोगकर्ता शून्य-दिन के समुपयोजन के खिलाफ अतिरिक्त प्रतिरोध प्राप्त करते हैं। लेकिन सभी एप्लीकेशन डीईपी-अनुरूप नहीं हैं और कुछ डीईपी आक्षेप उत्पन्न करेंगे। इसलिए, डेटा कार्यान्वयन प्रतिबंध को विंडोज के 32-बिट संस्करणों में डिफ़ॉल्ट रूप से सभी एप्लीकेशन के लिए प्रयुक्त नहीं किया जाता है और केवल महत्वपूर्ण सिस्टम घटकों के लिए सक्रिय किया जाता है। हालांकि, विंडोज विस्टा अतिरिक्त एनएक्स युक्ति नियंत्रण प्रस्तुत करता है जो सॉफ्टवेयर विकासक को सिस्टम-विस्तृत संगतता प्रयुक्त सेटिंग्स से स्वतंत्र अपने कोड के लिए एनएक्स हार्डवेयर सुरक्षा को सक्षम करने की स्वीकृति देता है। विकासक अपने एप्लीकेशन को निर्मित होने पर एनएक्स-अनुवर्ती के रूप में चिह्नित कर सकते हैं, जो उस एप्लीकेशन के इंस्टॉल होने और संचालन पर सुरक्षा को प्रयुक्त करने की स्वीकृति देता है। यह 32-बिट प्लेटफॉर्म पर सॉफ्टवेयर पारितंत्र में एनएक्स-संरक्षित कोड के उच्च प्रतिशत को सक्षम करता है, जहां एनएक्स के लिए डिफ़ॉल्ट सिस्टम संगतता युक्ति केवल ऑपरेटिंग सिस्टम घटकों की सुरक्षा के लिए कॉन्फ़िगर की गई है। एक्स86-64 एप्लीकेशन के लिए, पश्चगामी संगतता कोई समस्या नहीं है और इसलिए सभी 64-बिट प्रोग्रामों के लिए डिफ़ॉल्ट रूप से डेटा कार्यान्वयन प्रतिबंध को प्रयुक्त किया जाता है। साथ ही, अधिक सुरक्षा के लिए विंडोज विस्टा के एक्स86-64 संस्करणों में केवल प्रोसेसर-प्रबलित डेटा कार्यान्वयन प्रतिबंध का उपयोग किया जाता है।

डिजिटल अधिकार प्रबंधन
डिजिटल वस्तु प्रदाताओं और निगमों को अपने डेटा को कॉपी होने से संरक्षित करने में सहायता करने के लिए विंडोज विस्टा में नए डिजिटल अधिकार प्रबंधन और वस्तु-सुरक्षा सुविधाओं को प्रस्तुत किया गया है।
 * प्यूमा: संरक्षित उपयोगकर्ता मोड ऑडियो (प्यूमा) नया उपयोगकर्ता मोड ऑडियो (यूएमए) ऑडियो स्टैक है। इसका उद्देश्य ऑडियो प्लेबैक के लिए एक वातावरण प्रदान करना है जो कॉपीराइट किए गए ऑडियो की प्रतिलिपि को प्रतिबंधित करता है, और सक्षम ऑडियो आउटपुट को संरक्षित वस्तु के प्रकाशक द्वारा स्वीकृत करने के लिए प्रतिबंधित करता है।
 * पीवीपी (संरक्षित वीडियो पथ) - आउटपुट सुरक्षा प्रबंधन (पीवीपी-ओपीएम) एक ऐसी तकनीक है जो सुरक्षित डिजिटल वीडियो स्ट्रीम की कॉपी करने को प्रतिबंधित करती है, या वीडियो उपकरणों पर उनके प्रदर्शन को प्रतिबंधित करती है जिसमें समकक्ष कॉपी सुरक्षा (सामान्य रूप से एचडीसीपी) की कमी होती है। माइक्रोसॉफ्ट का दावा है कि इन प्रतिबंधों के बिना वस्तु उद्योग एचडी डीवीडी, ब्लू-रे डिस्क, या अन्य प्रति-संरक्षित प्रणालियों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन के लिए लाइसेंस कुंजी जारी करने से अस्वीकृति करके पीसी को कॉपीराइट वस्तु सक्रिय करने से प्रतिबंधित कर सकता है।
 * संरक्षित वीडियो पथ - उपयोगकर्ता-अभिगम्य योग्य बस (पीवीपी-यूएबी) पीवीपी-ओपीएम के समान है, इसके अतिरिक्त कि यह पीसीआई एक्सप्रेस बस पर संरक्षित वस्तु के एन्क्रिप्शन को प्रयुक्त करता है।
 * विंडोज अधिकार प्रबंधन सेवा (आरएमएस) समर्थन, एक ऐसी तकनीक जो निगमों को निगमित दस्तावेज़ों, ईमेल और इंट्रानेट पर डीआरएम-जैसे प्रतिबंध प्रयुक्त करने की स्वीकृति देगी ताकि उन्हें कॉपी किए जाने, प्रिंट किए जाने या यहां तक ​​कि ऐसे लोगों द्वारा खोले जाने से भी संरक्षित किया जा सके जो ऐसा करने के लिए अधिकृत नहीं हैं।
 * विंडोज विस्टा एक संरक्षित प्रक्रिया प्रस्तुत करता है, जो सामान्य प्रक्रियाओं से इस अर्थ में भिन्न है कि अन्य प्रक्रियाएं ऐसी प्रक्रिया की स्थिति में कुशलता पूर्वक प्रयोग नहीं कर सकती हैं, और न ही अन्य प्रक्रियाओं से थ्रेड्स को इसमें प्रस्तुत किया जा सकता है। एक संरक्षित प्रक्रिया ने विंडोज विस्टा के डीआरएम-फ़ंक्शंस तक अभिगम बढ़ा दी है। हालाँकि, वर्तमान में, केवल संरक्षित वीडियो पथ का उपयोग करने वाले एप्लीकेशन ही संरक्षित प्रक्रियाएँ बना सकते हैं।

नई डिजिटल अधिकार प्रबंधन सुविधाओं को सम्मिलित करना विंडोज विस्टा की विवेचना का एक स्रोत रहा है।

विंडोज सर्विस हार्डनिंग
विंडोज सर्विस हार्डनिंग सेवाओं को इस तरह विभाजित करता है कि यदि एक सेवा से सहमति की जाती है, तो यह सिस्टम पर अन्य सेवाओं पर आसानी से आक्षेप नहीं कर सकता है। यह विंडोज सेवाओं को फाइल प्रणाली, रजिस्ट्री या नेटवर्क पर संचालन करने से प्रतिबंधित करता है जिससे उन्हें ऐसा नहीं करना चाहिए था, जिससे सिस्टम पर समग्र आक्षेप कम हो जाता है और विंडोज़ सेवा का लाभ उठाकर मैलवेयर के प्रवेश को प्रतिबंधित किया जा सकता है। सेवाओं को एक प्रति-सेवा सुरक्षा पहचानकर्ता (एसआईडी) नियुक्त किया गया है, जो सुरक्षा पहचानकर्ता द्वारा निर्दिष्ट अभिगम्य के अनुसार सेवा तक अभिगम्य को नियंत्रित करने की स्वीकृति देता है। सेवा स्थापना के समय चेंजसर्विसकॉन्फिग2 एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से माध्यम से या सिडटाइप क्रिया के साथ  कमांड का उपयोग करके एक प्रति-सेवा एसआईडी निर्दिष्ट किया जा सकता है।। सेवाएँ स्वयं के लिए निजी संसाधनों तक बाहरी अभिगम्य को रोकने के लिए अभिगम्य नियंत्रण सूची (एसीएल) का भी उपयोग कर सकती हैं।

विंडोज विस्टा में सेवाएँ सिस्टम खाते के अतिरिक्त कम विशेषाधिकार प्राप्त खाते जैसे स्थानीय सेवा या नेटवर्क सेवा में भी सक्रिय हैं। विंडोज़ के पूर्व संस्करणों ने उसी लॉगिन सत्र में स्थानीय रूप से लॉग-इन उपयोगकर्ता (सत्र 0) के रूप में विंडोज़ सेवा संचालित की है। विंडोज विस्टा में, सत्र 0 अब इन सेवाओं के लिए आरक्षित है, और सभी सहभागी लॉगिन अन्य सत्रों में किए जाते हैं। इसका उद्देश्य विंडोज संदेश-प्रेषण सिस्टम के समुपयोजन के एक वर्ग को कम करने में सहायता करना है, जिसे शैटर आक्षेप के रूप में जाना जाता है। किसी सेवा को होस्ट करने वाली प्रक्रिया में केवल एचकेएलएम\सिस्टम\करंटकंट्रोलसेट\सर्विसेज के अंतर्गत आवश्यक-विशेषाधिकार रजिस्ट्री (पंजीकृत) मान में निर्दिष्ट विशेषाधिकार होते हैं।

सेवाओं को प्रति-सेवा के आधार पर संसाधनों को लिखने के लिए स्पष्ट लेखन स्वीकृतियों की भी आवश्यकता होती है। लेखन-प्रतिबंधित अभिगम्य टोकन का उपयोग करके, केवल उन संसाधनों को लिखने की स्वीकृति दी जाती है जिन्हें किसी सेवा द्वारा संशोधित किया जाना है, इसलिए किसी अन्य संसाधन को संशोधित करने का प्रयास विफल हो जाता है। सेवाओं में पूर्व-कॉन्फ़िगर फ़ायरवॉल युक्ति भी होगी, जो इसे सही से काम करने के लिए केवल उतना ही विशेषाधिकार प्रदान करती है जितनी आवश्यक है। स्वतंत्र सॉफ़्टवेयर विक्रेता भी अपनी स्वयं की सेवाओं को दृढ़ बनाने के लिए विंडोज सर्विस हार्डनिंग का उपयोग कर सकते हैं। विंडोज विस्टा अन्य प्रक्रियाओं को हाइजैक करने से प्रतिबंधित करने के लिए एमएसआरपीसी सर्वरों द्वारा उपयोग किए जाने वाले नामित पाइप को भी दृढ़ बनाता है।

प्रमाणीकरण और लॉगऑन
चित्रमय पहचान और प्रमाणीकरण (जीआईएनए), सुरक्षित प्रमाणीकरण और परस्पर संवादात्मक लॉगऑन के लिए उपयोग किया जाता है, इसे क्रेडेंशियल (प्रमाणपत्र) प्रदाता द्वारा बदल दिया गया है। सहायक हार्डवेयर के साथ क्रेडेंशियल प्रदाता ऑपरेटिंग सिस्टम का विस्तार कर सकते हैं ताकि उपयोगकर्ताओं को बायोमेट्रिक (जीवमिति) उपकरण (फिंगरप्रिंट, रेटिनल, या ध्वनि पहचान) पासवर्ड, पिन और स्मार्ट कार्ड सर्टिफिकेट या किसी भी कस्टम प्रमाणीकरण पैकेज और स्कीमा के माध्यम से लॉग ऑन करने में सक्षम बनाया जा सके। स्मार्ट कार्ड प्रमाणीकरण उपयोगी होता है क्योंकि प्रमाणपत्र आवश्यकताओं में छूट दी गई है। उद्यम सभी डोमेन उपयोगकर्ताओं के लिए कस्टम प्रमाणीकरण तंत्र विकसित, परिनियोजित और वैकल्पिक रूप से प्रयुक्त कर सकते हैं। क्रेडेंशियल प्रदाताओं को एकल साइन ऑन (एसएसओ) का समर्थन करने के लिए डिज़ाइन किया जा सकता है, जो उपयोगकर्ताओं को एक सुरक्षित नेटवर्क अभिगम बिन्दु (दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा और अन्य तकनीकों का लाभ उठाने) के साथ-साथ मशीन लॉगऑन के लिए प्रमाणित करता है। क्रेडेंशियल प्रदाता भी एप्लीकेशन-विशिष्ट क्रेडेंशियल संग्रहण का समर्थन करने के लिए डिज़ाइन किए गए हैं, और नेटवर्क संसाधनों के प्रमाणीकरण के लिए उपयोग किया जा सकता है, मशीनों को एक डोमेन से जोड़ सकता है, या उपयोगकर्ता खाता नियंत्रण के लिए व्यवस्थापक सहमति प्रदान कर सकता है। प्रमाणीकरण आईपीवी6 या वेब सेवाओं का उपयोग करके भी समर्थित है। एक नया सुरक्षा सेवा प्रदाता, क्रेडएसएसपी सुरक्षा समर्थन प्रदाता इंटरफ़ेस के माध्यम से उपलब्ध है जो किसी एप्लीकेशन को क्लाइंट से उपयोगकर्ता के प्रमाणपत्र (क्लाइंट-साइड एसएसपी का उपयोग करके) लक्ष्य सर्वर (सर्वर-पक्ष एसएसपी के माध्यम से) को निर्दिष्ट करने में सक्षम बनाता है। क्रेडएसएसपी का उपयोग टर्मिनल सर्विसेज द्वारा एकल साइन-ऑन प्रदान करने के लिए भी किया जाता है।

विंडोज विस्टा स्मार्ट कार्ड या पासवर्ड और स्मार्ट कार्ड के संयोजन (दो-कारक प्रमाणीकरण) का उपयोग करके उपयोगकर्ता खातों को प्रमाणित कर सकता है। विंडोज विस्टा फ़ाइल सिस्टम को एन्क्रिप्ट करना कुंजियों को भंडारण करने के लिए स्मार्ट कार्ड का भी उपयोग कर सकता है। यह सुनिश्चित करता है कि एन्क्रिप्टेड फ़ाइलें केवल तब तक अभिगम्य योग्य हैं जब तक स्मार्ट कार्ड भौतिक रूप से उपलब्ध है। यदि लॉगऑन के लिए स्मार्ट कार्ड का उपयोग किया जाता है, तो ईएफएस एकल साइन-ऑन मोड में काम करता है, जहां यह पिन के लिए आगे संकेत किए बिना फ़ाइल एन्क्रिप्शन के लिए लॉगऑन स्मार्ट कार्ड का उपयोग करता है।

तेज़ उपयोगकर्ता स्विचिंग जो विंडोज एक्सपी पर वर्कग्रुप कंप्यूटरों तक सीमित थी, अब विंडोज विस्टा से प्रारंभ होने वाले डोमेन में सम्मिलित कंप्यूटरों के लिए भी सक्षम किया जा सकता है। विंडोज विस्टा में विंडोज सर्वर 2008 में प्रस्तुत किए गए रीड-ओनली डोमेन नियंत्रकों के लिए प्रमाणीकरण समर्थन भी सम्मिलित है।

क्रिप्टोग्राफी
विंडोज विस्टा क्रिप्टो एप्लिकेशन प्रोग्राम इंटरफ़ेस के लिए एक अपडेट प्रस्तुत करता है जिसे क्रिप्टोग्राफी एप्लिकेशन प्रोग्राम इंटरफ़ेस: अगली पीढ़ी (सीएनजी) के रूप में जाना जाता है। सीएनजी एप्लिकेशन प्रोग्राम इंटरफ़ेस एक उपयोगकर्ता मोड और कर्नेल मोड एप्लिकेशन प्रोग्राम इंटरफ़ेस है जिसमें दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी (ईसीसी) और कई नए एल्गोरिदम के लिए समर्थन सम्मिलित है जो राष्ट्रीय सुरक्षा एजेंसी (एनएसए) /उद्योग/क्रिप्टो_सुइट_बी.सीएफएम सुइट बी का भाग हैं। यह प्रसारणीय है, जिसमें सीएनजी रनटाइम में कस्टम क्रिप्टोग्राफिक एप्लिकेशन प्रोग्राम इंटरफ़ेस प्लगिंग के लिए समर्थन सम्मिलित है। यह आधार क्रिप्टोग्राफिक सेवा प्रदाता मॉड्यूल को सम्मिलित करके स्मार्ट कार्ड उप-प्रणाली के साथ भी एकीकृत होता है, जो विकासक और स्मार्ट कार्ड निर्माताओं की आवश्यकता के सभी मानक बैकएंड क्रिप्टोग्राफिक फ़ंक्शन को प्रयुक्त करता है, ताकि उन्हें जटिल क्रिप्टोग्राफिक सर्विस प्रोवाइडर लिखने की आवश्यकता न पड़े। माइक्रोसॉफ्ट प्रमाणपत्र प्राधिकरण विशेषज्ञ कंप्यूटर कोर्स प्रमाणपत्र जारी कर सकता है और प्रमाणपत्र क्लाइंट विशेषज्ञ कंप्यूटर कोर्स और एसएचए-2 आधारित प्रमाणपत्रों का नामांकन और सत्यापन कर सकता है।

निरसन संशोधन में ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (ओसीएसपी) के लिए मूल समर्थन सम्मिलित है जो वास्तविक समय प्रमाणपत्र वैधता जाँच, प्रमाणपत्र निरस्तीकरण सूची प्रीफ़ेचिंग और सीएपीआई2 डायग्नोस्टिक प्रदान करता है। प्रमाणपत्र नामांकन विज़ार्ड-आधारित है, उपयोगकर्ताओं को नामांकन के समय डेटा इनपुट करने की स्वीकृति देता है और असफल नामांकन और समाप्त प्रमाणपत्रों पर स्पष्ट जानकारी प्रदान करता है। प्रमाणपत्र नामांकन, एक नया सीओएम-आधारित नामांकन एप्लिकेशन प्रोग्राम इंटरफ़ेस उपयुक्त प्रोग्राम-योग्यता के लिए एक्सएनरोल लाइब्रेरी को प्रतिस्थापित करता है। क्रेडेंशियल रोमिंग क्षमताएं नेटवर्क के अंदर संग्रहीत उपयोगकर्ता नाम और पासवर्ड में संग्रहीत सक्रिय निर्देशिका कुंजी युग्म, प्रमाणपत्र और क्रेडेंशियल्स को पुनरावृत्ति करता हैं।

मेटाडेटा हटाना
गुण निकालें और व्यक्तिगत जानकारी सुविधा उपयोगकर्ताओं को उनकी गोपनीयता की रक्षा के लिए फ़ाइलों को साझा करने से पहले मेटाडेटा हटाने के उपकरण की स्वीकृति देती है। यह कम संख्या में फ़ाइल स्वरूपों और सीमित संख्या में गुणों को हटाने का समर्थन करता है। हालाँकि, सॉफ़्टवेयर विकासक के लिए इस सुविधा के लिए एक्सटेंशन विकसित करना संभव है, ताकि इसे अतिरिक्त फ़ाइल स्वरूपों और गुणों का समर्थन किया जा सके। फ़ाइल स्वरूपों और मेटाडेटा तत्वों के बहुत सीमित समर्थन और भ्रामक उपयोगकर्ता इंटरफ़ेस होने के लिए इसकी आलोचना की गई है।

नेटवर्क अभिगम्य सुरक्षा
विंडोज विस्टा ने नेटवर्क अभिगम्य सुरक्षा (एनएपी) प्रस्तुत किया है, जो यह सुनिश्चित करता है कि नेटवर्क से जुड़ने या संचार करने वाले कंप्यूटर नेटवर्क के व्यवस्थापक द्वारा निर्धारित सिस्टम स्वास्थ्य के आवश्यक स्तर के अनुरूप हों। व्यवस्थापक द्वारा निर्धारित युक्ति के आधार पर, जो कंप्यूटर आवश्यकताओं को पूरा नहीं करते हैं उन्हें या तो चेतावनी दी जाएगी और अभिगम्य प्रदान की जाएगी, सीमित नेटवर्क संसाधनों तक अभिगम्य की स्वीकृति दी जाएगी, या पूरी तरह से अभिगम्य से अस्वीकृत कर दिया जाएगा। नेटवर्क अभिगम्य सुरक्षा वैकल्पिक रूप से एक गैर-अनुवर्ती वाले कंप्यूटर को सॉफ़्टवेयर अपडेट प्रदान कर सकता है ताकि वह सुधारात्मक सर्वर का उपयोग करके नेटवर्क तक पहुंचने के लिए आवश्यक स्तर पर स्वयं को अपग्रेड कर सके। एक अनुरूप क्लाइंट को एक स्वास्थ्य प्रमाणपत्र दिया जाता है, जिसका उपयोग वह नेटवर्क पर संरक्षित संसाधनों तक पहुँचने के लिए करता है।

विंडोज सर्वर 2008 सक्रिय करने वाला एक नेटवर्क युक्ति सर्वर स्वास्थ्य युक्ति सर्वर के रूप में कार्य करता है और क्लाइंट को विंडोज एक्सट्रीम प्रोग्रामिंग सर्विस पैक 3 या बाद के संस्करण का उपयोग करने की आवश्यकता होती है। एक वीपीएन सर्वर, रेडियस सर्वर या डीएचसीपी सर्वर भी स्वास्थ्य योजना सर्वर के रूप में कार्य कर सकता है।

अन्य नेटवर्किंग से संबंधित सुरक्षा विशेषताएं

 * टीसीपी/आईपी सुरक्षा (स्थानीय होस्ट ट्रैफ़िक के लिए फ़िल्टरिंग), फ़ायरवॉल हुक, फ़िल्टर हुक और पैकेट फ़िल्टर जानकारी के संग्रहण के लिए इंटरफ़ेस को विंडोज फ़िल्टरिंग प्लेटफ़ॉर्म (डब्ल्यूएफपी) के रूप में ज्ञात एक नए रूपरेखा से बदल दिया गया है। डब्ल्यूएफपी टीसीपी/आईपी प्रोटोकॉल स्टैक की सभी परतों पर फ़िल्टरिंग क्षमता प्रदान करता है। डब्ल्यूएफपी स्टैक में एकीकृत है, और विकासक के लिए ड्राइवरों, सेवाओं और एप्लीकेशन का निर्माण करना आसान है, जिन्हें टीसीपी/आईपी ट्रैफ़िक को फ़िल्टर, विश्लेषण या संशोधित करना चाहिए।
 * किसी नेटवर्क पर डेटा स्थानांतरित करते समय अधिकतम सुरक्षा प्रदान करने के लिए, विंडोज विस्टा डेटा को अस्पष्ट करने के लिए उपयोग किए जाने वाले क्रिप्टोग्राफ़िक एल्गोरिदम में संवर्द्धन प्रदान करता है। 256-बिट और 384-बिट दीर्घवृत्तीय वक्र डिफी-हेलमैन (डीएच) एल्गोरिदम के साथ-साथ 128-बिट, 192-बिट और 256-बिट उच्च एन्क्रिप्शन मानक (एईएस) के लिए समर्थन नेटवर्क स्टैक में ही सम्मिलित है और इसमें करबरोस प्रोटोकॉल और सामान्य सुरक्षा सेवा एप्लीकेशन प्रोग्राम इंटरफ़ेस सम्मिलित है। नए विंसॉक एपीआई में एसएसएल और टीएलएस संपर्क के लिए प्रत्यक्ष समर्थन सॉकेट एप्लीकेशन को एक सुरक्षित संपर्क का समर्थन करने के लिए अतिरिक्त कोड जोड़ने के अतिरिक्त एक नेटवर्क पर अपने ट्रैफ़िक की सुरक्षा को सीधे नियंत्रित करने की स्वीकृति देता है जैसे सुरक्षा नीति और ट्रैफ़िक जांच सुरक्षा संस्थापन प्रदान करना। विंडोज विस्टा सक्रिय करने वाले कंप्यूटर सक्रिय निर्देशिका डोमेन के अंदर तार्किक रूप से पृथक नेटवर्क का भाग हो सकते हैं। केवल वे कंप्यूटर जो समान तार्किक नेटवर्क विभाजन में हैं, और डोमेन में संसाधनों तक पहुँचने में सक्षम होंगे। तथापि अन्य प्रणालियाँ भौतिक रूप से समान नेटवर्क पर हों, जब तक कि वे समान तार्किक विभाजन में न हों, वे विभाजित संसाधनों तक पहुँचने में सक्षम नहीं होंगे। एक सिस्टम कई नेटवर्क विभाजन का भाग हो सकता है। स्कनेल सुरक्षा सेवा प्रदाता में नए सिफर सुइट्स सम्मिलित हैं जो दीर्घवृत्ताकार वक्र क्रिप्टोग्राफी का समर्थन करते हैं, इसलिए विशेषज्ञ कंप्यूटर कोर्स सिफर सूट को मानक टीएलएस हैंडशेक के भाग के रूप में परस्पर क्रिया की जा सकती है। चैनल इंटरफ़ेस प्लग करने योग्य है इसलिए सिफर सुइट्स के उन्नत संयोजन उच्च स्तर की कार्यात्मकता को प्रतिस्थापित कर सकते हैं।
 * इंटरनेट प्रोटोकॉल सुरक्षा अब पूरी तरह से विंडोज फ़ायरवॉल के साथ एकीकृत है और सरल कॉन्फ़िगरेशन और अधिकतम प्रमाणीकरण प्रदान करता है। इंटरनेट प्रोटोकॉल सुरक्षा आईपीवी6 का समर्थन करता है, जिसमें इंटरनेट कुंजी विनिमय (आइक), प्रमाणित इंटरनेट प्रोटोकॉल और डेटा एन्क्रिप्शन, क्लाइंट-से- डोमेन नियंत्रक सुरक्षा, नेटवर्क अभिगम्य सुरक्षा और नेटवर्क डायग्नोस्टिक्स फ्रेमवर्क समर्थन के साथ एकीकरण सम्मिलित है। आईपीसीईसी वीपीएन की सुरक्षा और नियोजित क्षमता बढ़ाने के लिए, विंडोज विस्टा में प्रमाणित इंटरनेट प्रोटोकॉल सम्मिलित है जो इंटरनेट कुंजी एक्सचेंज क्रिप्टोग्राफिक प्रोटोकॉल को कई प्रमाण-पत्रों के साथ प्रमाणीकरण, वैकल्पिक विधि परस्पर क्रिया और असममित प्रमाणीकरण जैसी सुविधाओं को जोड़ने के लिए विस्तारित करता है।
 * 802.11i (वाई-फाई संरक्षित एक्सेस2) जैसे नए वायरलेस मानकों के लिए अधिकतम समर्थन के साथ वायरलेस नेटवर्क की सुरक्षा में संशोधन किया जा रहा है। प्रसारणीय प्रमाणीकरण प्रोटोकॉल अभिगमन स्तर सुरक्षा (ईएपी-टीएलएस) डिफ़ॉल्ट प्रमाणीकरण मोड है। संपर्क वायरलेस अभिगम बिन्दु द्वारा समर्थित सबसे सुरक्षित संपर्क स्तर पर बनाए जाते हैं। वाई-फाई संरक्षित अभिगम्य2 का उपयोग अनौपचारिक मोड में भी किया जा सकता है। विंडोज विस्टा वायरलेस नेटवर्क पर डोमेन में सम्मिलित होने पर सुरक्षा बढ़ाता है। यह एक वायरलेस नेटवर्क के साथ-साथ नेटवर्क के अंदर स्थित डोमेन में सम्मिलित होने के लिए समान प्रमाणपत्र का उपयोग करने के लिए एकल साइन-ऑन का उपयोग कर सकता है। इस स्थिति में, नेटवर्क में सम्मिलित होने के लिए संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल प्रमाणीकरण और डोमेन में लॉग इन करने के लिए एमएस-सीएचएपी वी2 प्रमाणीकरण दोनों के लिए समान दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा सर्वर का उपयोग किया जाता है। वायरलेस क्लाइंट पर एक बूटस्ट्रैप वायरलेस प्रोफाइल भी बनाया जा सकता है, जो पहले कंप्यूटर को वायरलेस नेटवर्क से प्रमाणित करता है और नेटवर्क से जुड़ता है। इस स्तर पर, मशीन के पास अभी भी डोमेन संसाधनों तक कोई अभिगम्य नहीं है। मशीन एक स्क्रिप्ट संचलित करती है, जो या तो सिस्टम पर या यूएसबी थंब ड्राइव पर संग्रहीत होती है, जो इसे डोमेन के लिए प्रमाणित करती है। वेरीसाइन जैसे सार्वजनिक कुंजी आधारिक संरचना (पीकेआई) विक्रेता से उपयोगकर्ता नाम और पासवर्ड संयोजन या सुरक्षा प्रमाणपत्र का उपयोग करके प्रमाणीकरण किया जा सकता है।
 * विंडोज विस्टा में संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल होस्ट (ईएपीहोस्ट) फ्रेमवर्क भी सम्मिलित है जो सामान्य रूप से उपयोग की जाने वाली संरक्षित नेटवर्क अभिगम्य तकनीकों जैसे 802.1X और पीपीपी के लिए प्रमाणीकरण विधियों के लिए प्रसारण क्षमता प्रदान करती है। यह नेटवर्किंग विक्रेताओं को ईएपी विधियों के रूप में जानी जाने वाली नई प्रमाणीकरण विधियों को विकसित करने और आसानी से स्थापित करने की स्वीकृति देता है।
 * विंडोज विस्टा पॉइंट-टू-पॉइंट टनलिंग प्रोटोकॉल के साथ संरक्षित प्रसारणीय प्रमाणीकरण प्रोटोकॉल के उपयोग का समर्थन करता है। समर्थित प्रमाणीकरण तंत्र पीईएपीवी0/ईएपी-एमएससीएपीवी2 (पासवर्ड) और पीईएपी-टीएलएस (स्मार्टकार्ड और प्रमाणपत्र) हैं।
 * विंडोज विस्टा सर्विस पैक 1 में सुरक्षित सॉकेट टनलिंग प्रोटोकॉल, एक नया माइक्रोसॉफ्ट स्वामित्व वीपीएन प्रोटोकॉल सम्मिलित है जो एसएसएल चैनल के माध्यम से पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) ट्रैफिक (आईपीवी6 ट्रैफिक सहित) को अभिगमन करने के लिए एक तंत्र प्रदान करता है।

एक्स86-64-विशिष्ट विशेषताएं

 * विंडोज विस्टा के 64-बिट संस्करण हार्डवेयर-आधारित डेटा कार्यान्वयन प्रतिबंध (डीईपी) को प्रयुक्त करते हैं, जिसमें कोई फ़ॉलबैक सॉफ़्टवेयर एमुलेशन नहीं है। यह सुनिश्चित करता है कि कम प्रभावी सॉफ्टवेयर-प्रवर्तित डीईपी (जो केवल सुरक्षित आक्षेप नियंत्रण है और एनएक्स बिट से असंबंधित है) का उपयोग नहीं किया जाता है। इसके अतिरिक्त, डेटा कार्यान्वयन प्रतिबंध, डिफ़ॉल्ट रूप से, सभी 64-बिट एप्लीकेशन और सेवाओं के लिए एक्स86-64 संस्करणों और उन 32-बिट एप्लीकेशन के लिए प्रयुक्त किया जाता है जो ऑप्ट इन करते हैं। इसके विपरीत, 32-बिट संस्करणों में, सॉफ़्टवेयर-प्रवर्तित डेटा कार्यान्वयन प्रतिबंध एक उपलब्ध विकल्प है और डिफ़ॉल्ट रूप से केवल आवश्यक प्रणाली घटकों के लिए सक्षम है।
 * उन्नत कर्नेल पैच सुरक्षा, जिसे पैचगार्ड भी कहा जाता है, कर्नेल-मोड ड्राइवरों सहित तृतीय-पक्ष सॉफ़्टवेयर को कर्नेल, या कर्नेल द्वारा उपयोग की जाने वाली किसी भी डेटा संरचना को किसी भी तरह से संशोधित करने से रोकता है; यदि कोई संशोधन पाया जाता है, तो सिस्टम बंद हो जाता है। यह उपयोगकर्ता-मोड एप्लीकेशन से स्वयं को छिपाने के लिए रूटकिट द्वारा उपयोग की जाने वाली एक सामान्य रणनीति को कम करता है। पैचगार्ड को पहली बार विंडोज सर्वर 2003 सर्विस पैक 1 के x64 संस्करण में प्रस्तुत किया गया था, और इसे विंडोज एक्सट्रीम प्रोग्रामिंग व्यावसायिक x64 संस्करण में सम्मिलित किया गया था।
 * विंडोज विस्टा के 64-बिट संस्करणों पर कर्नेल-मोड ड्राइवरों को डिजिटल रूप से साइनअप होना चाहिए; यहां तक ​​कि प्रशासक भी अहस्ताक्षरित कर्नेल-मोड ड्राइवर स्थापित करने में सक्षम नहीं होंगे। विंडोज के एक सत्र के लिए इस चेक को निष्क्रिय करने के लिए बूट समय विकल्प उपलब्ध है। 64-बिट उपयोगकर्ता-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता नहीं है।
 * कोड प्रामाणिकता जांच-योग साइन कोड है। सिस्टम बाइनरी लोड करने से पहले, यह सुनिश्चित करने के लिए जांच योग के विरुद्ध सत्यापित किया जाता है कि यह संशोधित नहीं हुआ है। बायनेरिज़ को सिस्टम कैटलॉग में उनके हस्ताक्षरों को देखकर सत्यापित किया जाता है। विंडोज विस्टा बूट भारक कर्नेल की प्रामाणिकता, हार्डवेयर अमूर्त परत (एचएएल) और बूट-प्रारंभ ड्राइवरों की जांच करता है। कर्नेल मेमोरी स्थान के अतिरिक्त, कोड प्रामाणिकता बाइनरी को संरक्षित प्रक्रिया में लोड किया गया है और सिस्टम स्थापित गतिशील लाइब्रेरी जो कोर क्रिप्टोग्राफ़िक फ़ंक्शंस को प्रयुक्त करता है।

अन्य विशेषताएं और परिवर्तन
सुरक्षा और विश्वसनीयता में कई विशिष्ट परिवर्तन किए गए हैं:
 * एलएसए गुप्ततः (कैश किए गए डोमेन रिकॉर्ड, पासवर्ड, ईएफएस एन्क्रिप्शन कुंजी, स्थानीय सुरक्षा युक्ति, ऑडिटिंग आदि) को संग्रहीत करने के लिए प्रबल एन्क्रिप्शन का उपयोग किया जाता है।
 * विंडोज विस्टा सर्विस पैक 2 के लिए हॉटफिक्स के साथ यूएसबी फ्लैश ड्राइव के लिए विद्युत और इलेक्ट्रॉनिक्स इंजीनियर्स संस्थान 1667 प्रमाणीकरण मानक के लिए समर्थन करता है।
 * करबरोस एसएसपी को उन्नत एन्क्रिप्शन मानक एन्क्रिप्शन का समर्थन करने के लिए अपडेट किया गया है। स्कनेल एसएसपी में प्रबल एईएस एन्क्रिप्शन और दीर्घवृत्तीय वक्र क्रिप्टोग्राफी समर्थन करता है।
 * विंडोज एक्सपी में प्रारंभ की गई सॉफ्टवेयर प्रतिबंध नीतियों को विंडोज विस्टा में सुधारा गया है। मूल उपयोगकर्ता सुरक्षा स्तर छुपाए जाने के अतिरिक्त डिफ़ॉल्ट रूप से प्रकट होता है। डिफ़ॉल्ट क्रिप्टोग्राफ़िक हैश फ़ंक्शन नियम एल्गोरिथ्म को एमडी5 से प्रबल एसएचA256 में अपग्रेड किया गया है। प्रमाणपत्र नियम अब सॉफ़्टवेयर प्रतिबंध नीतियां स्नैप-इन एक्सटेंशन के अंदर से प्रवर्तन गुण संचार बॉक्स के माध्यम से सक्षम किए जा सकते हैं।
 * विंडोज़ के आकस्मिक विलोपन को रोकने के लिए, विस्टा सक्रिय होने पर बूट विभाजन को स्वरूपित करने की स्वीकृति नहीं देता है C ड्राइव पर दायें-क्लिक करना और प्रारूप चयन करना, या प्रारूप C में टाइप करना: (w/o उद्धरण) कमांड संकेत पर प्राप्त होगा एक संदेश है कि इस संस्करण को स्वरूपित करने की स्वीकृति नहीं है। मुख्य हार्ड ड्राइव (विंडोज युक्त ड्राइव) को प्रारूपित करने के लिए, उपयोगकर्ता को कंप्यूटर को विंडोज इंस्टॉलेशन डिस्क से बूट करना चाहिए या मेनू वस्तु संशोधन अपने कंप्यूटर उन्नत सिस्टम पुनः स्थापन विकल्प को कंप्यूटर सक्रिय करने पर F8 दबाकर चयन करना चाहिए।
 * अतिरिक्त ईएफएस सेटिंग्स एन्क्रिप्शन नीतियों को अपडेट किए जाने पर कॉन्फ़िगर करने की स्वीकृति देती हैं, फिर एन्क्रिप्टेड फ़ोल्डर्स में स्थानांतरित की गई फ़ाइलें एन्क्रिप्ट की गई हों, ऑफ़लाइन फ़ाइलें कैश फ़ाइल एन्क्रिप्शन और एन्क्रिप्टेड वस्तु को विंडोज खोज द्वारा अनुक्रमित किया जा सकता है या नहीं किया जा सकता है।
 * संग्रहीत उपयोगकर्ता नाम और पासवर्ड (प्रमाणपत्र मैनेजर) सुविधा में एक फ़ाइल में उपयोगकर्ता नाम और पासवर्ड का बैकअप लेने और उन्हें विंडोज विस्टा या बाद के ऑपरेटिंग सिस्टम सक्रिय करने वाले सिस्टम पर पुनर्स्थापित करने के लिए एक नया विज़ार्ड सम्मिलित है।
 * समूह युक्ति में एक नई युक्ति सेटिंग अंतिम सफल परस्पर क्रिया लॉगऑन की तिथि और समय के प्रदर्शन को सक्षम करती है, और उसी उपयोगकर्ता नाम के साथ पूर्व सफल लॉगऑन के विफल लॉगऑन प्रयासों की संख्या है। यह उपयोगकर्ता को यह निर्धारित करने में सक्षम करेगा कि खाते का उपयोग उसकी जानकारी के बिना किया गया था या नहीं था। युक्ति को स्थानीय उपयोगकर्ताओं के साथ-साथ कार्यात्मक स्तर के डोमेन से जुड़े कंप्यूटरों के लिए भी सक्षम किया जा सकता है।
 * विंडोज संसाधन संरक्षण संभावित रूप से हानिकारक सिस्टम कॉन्फ़िगरेशन परिवर्तनों को प्रतिबंधित करता है, विंडोज इंस्टालर के अतिरिक्त किसी अन्य प्रक्रिया द्वारा सिस्टम फाइलों और सेटिंग्स में बदलाव को प्रतिबंधित करता है। साथ ही, अनधिकृत सॉफ़्टवेयर द्वारा रजिस्ट्री में किए गए परिवर्तन ब्लॉक किए जाते हैं।
 * संरक्षित-मोड इंटरनेट एक्सप्लोरर: इंटरनेट एक्सप्लोरर 7 और बाद में फ़िशिंग फ़िल्टर, एक्टिवएक्स ऑप्ट-इन, यूआरएल नियंत्रण सुरक्षा, क्रॉस-डोमेन स्क्रिप्टिंग आक्षेपों और स्टेटस-बार स्पूफिंग के विपरीत सुरक्षा जैसे कई सुरक्षा परिवर्तन प्रस्तुत करता है। वे विंडोज विस्टा पर एक कम प्रामाणिकता प्रक्रिया के रूप में संचलित हैं, केवल अस्थायी इंटरनेट फ़ाइलें फ़ोल्डर में लिख सकते हैं, और उपयोगकर्ता की प्रोफ़ाइल में फ़ाइलों और रजिस्ट्री कुंजियों तक अभिगम्य प्राप्त नहीं कर सकते हैं, उपयोगकर्ता को मेलिसियस वस्तु और सुरक्षा दुर्बलताओ से संरक्षित करते हैं, यहां तक ​​​​कि एक्टिवेक्स नियंत्रणों में भी संरक्षित किया जाता है। इसके अतिरिक्त, इंटरनेट एक्सप्लोरर 7 और बाद में कम सुरक्षित संरक्षित संग्रहण (पीस्टोर) के अतिरिक्त पासवर्ड जैसे अपने प्रमाणपत्र को संग्रहीत करने के लिए अधिक सुरक्षित डेटा सुरक्षा एप्लिकेशन प्रोग्राम इंटरफ़ेस (डीपीएपीआई) का उपयोग करें।
 * विंडोज फ़ायरवॉल के साथ नेटवर्क स्थान जागरूकता एकीकरण है। सभी नए जुड़े नेटवर्क सार्वजनिक स्थान पर डिफॉल्ट हो जाते हैं जो सुनने वाले पोर्ट और सेवाओं को बंद कर देते हैं। यदि किसी नेटवर्क को विश्वसनीय के रूप में चिह्नित किया गया है, तो विंडोज उस नेटवर्क के भविष्य के संपर्क के लिए उस सेटिंग को मेमोरी मे रखता है।
 * उपयोगकर्ता-मोड ड्राइवर फ्रेमवर्क ड्राइवरों को सीधे कर्नेल तक पहुंचने से प्रतिबंधित करता है, लेकिन इसके अतिरिक्त इसे एक समर्पित एप्लिकेशन प्रोग्राम इंटरफ़ेस के माध्यम से अभिगम्य करता है। यह नई सुविधा महत्वपूर्ण है क्योंकि अधिकांश सिस्टम क्रैश को अनुपयुक्त तरीके से इंस्टॉल किए गए तृतीय-पक्ष डिवाइस ड्राइवरों के लिए खोजा जा सकता है।
 * प्रति-मैलवेयर सॉफ़्टवेयर की उपस्थिति का पता लगाने और रिपोर्ट करने के साथ-साथ कई इंटरनेट एक्सप्लोरर सुरक्षा सेटिंग्स और उपयोगकर्ता खाता नियंत्रण की संरक्षण और पुनर्स्थापित करने के लिए विंडोज सुरक्षा केंद्र को अपग्रेड किया गया है। प्रति-वायरस सॉफ़्टवेयर के लिए जो सुरक्षा केंद्र के साथ एकीकृत होता है, यह अपने उपयोगकर्ता इंटरफ़ेस में किसी भी समस्या को ठीक करने के लिए समाधान प्रस्तुत करता है। साथ ही, कुछ विंडोज एप्लिकेशन प्रोग्राम इंटरफ़ेस कॉल को जोड़ा गया है ताकि एप्लीकेशन को विंडोज सुरक्षा केंद्र से समग्र हानि रहित स्थिति पुनर्प्राप्त करने और हानि रहित स्थिति में परिवर्तन होने पर सूचनाएं प्राप्त करने की स्वीकृति मिल सके।
 * संरक्षित संग्रहण (पीस्टोर) को पदावनत कर दिया गया है और इसलिए इसे विंडोज विस्टा में केवल पढ़ने के लिए बनाया गया है। माइक्रोसॉफ्ट नए संरक्षित संग्रहण डेटा वस्तु जोड़ने या सम्मिलित को प्रबंधित करने के लिए डीपीएपीआई का उपयोग करने की अनुशंसा करता है। इंटरनेट एक्सप्लोरर 7 और बाद में भी अपने क्रेडेंशियल भंडारण करने के लिए संरक्षित संग्रहण के अतिरिक्त डीपीएपीआई का उपयोग करते हैं।
 * विंडोज विस्टा की साफ स्थापना पर अंतर्निहित व्यवस्थापक खाता डिफ़ॉल्ट रूप से अक्षम है। जब तक कम से कम एक अतिरिक्त स्थानीय व्यवस्थापक खाता हो, तब तक इसे सुरक्षित मोड से भी अभिगम्य नहीं किया जा सकता है।

यह भी देखें

 * कंप्यूटर सुरक्षा

बाहरी संबंध

 * Vista vulnerabilities from SecurityFocus