一、双因素验证

    微软公司 VPN 所具有的第一层保护措施是“双因素验证措施（two-factor authentication）”。在2000年秋天发生了那起声名狼藉的入侵事件过后，微软公司安装了一套基于数字证书的公共密匙系统，并且为每一位需要进行远程访问企业网络的员工和合作伙伴，以及那些需要临时提高访问权限的外部人士，都颁发了智能识别卡（smart card）。

    双因素验证措施要求你在数字密码之外，还具有某种实物形式的授权证明。在上述情况中，它所指的就是智能识别卡片（smart card）和你的密码。

  （上面我所提到的那起著名的入侵事件，被《华尔街日报》和诸多媒体都报道过，包括 Computer World。相关的新闻报道说，那名黑客通过使用一个偷来的用户名和密码，获得了访问微软内部企业网络的权限，并且还浏览到一部分微软源代码，但并不能对这些代码进行修改。不过微软公司官方却否认了相关报道中的内容。）

    “今天，我们会要求相关用户具有一个有效的智能识别卡片以及相应的个人识别号码，并且该名用户还必须具有从远程使用网络的相关网络证明和授权许可。”微软公司内部安全主管 Mark Estberg 表示。“我们正在通过使用新的 Longhorn Server 系统，在企业内部测试部署新的双因素验证系统。这套新的验证系统将具有来自 ISA/Whale （其在2006年被微软所收购）的SSL VPN 功能，以及用于终端扫描的网络访问保护功能（Network Access Protection）。而我们也通过整合 Active Directory 和 网络策略服务 Windows 服务器来执行后端验证和授权功能。

    你可能会希望微软公司采用仿生性安全系统（biometric security）。微软公司表示他们正在评估这套系统。不过在现在这个阶段，微软还是在坚持使用智能识别卡（smart cards）。