Tuy nhiên, cho tới nay vẫn chưa có một v�� đột nhập nào thành công bởi "bức tường thành" Microsoft quá vững chắc, có th�� làm nản lòng bất c�� một cao th�� hacker nào. Những th�� quý giá nhất mà Microsoft đang lưu gi�� là tài sản trí tu��, bao gồm mã nguồn của tất c�� h�� điều hành và ứng dụng của hãng này. Microsoft đã bảo v�� những tài sản sống còn này một cách rất nghiêm ngặt. Đ�� tiếp cận chúng, người ta phải trải qua nhiều tầng bảo v�� khác nhau, chẳng hạn như tường lửa và phải truy cập bằng giao thức IPsec. Ngoài ra, toàn b�� h�� thống mạng nội b�� của Microsoft đều được trang b�� cơ ch�� theo dõi các hành vi đáng ng��, quét phát hiện và tiêu diệt virus, phần mềm độc hại, và nhiều th�� khác nữa.

Có một điều ngạc nhiên là Microsoft lại cho phép nhân viên của mình kết nối tới mạng công ty thông qua phương pháp truy cập t�� xa RAS (Mạng riêng ảo - VPN). Với một môi trường mạng phức tạp như Microsoft, thì VPN t�� ra khá thiếu an toàn. Nhưng làm th�� nào mà Microsoft có th�� hóa giải được các nguy cơ thường trực trong khi vẫn đảm bảo được kh�� năng cung cấp kết nối VPN cho nhân viên và khách hàng?

Định danh hai nhân t��

Lớp bảo v�� đầu tiên cho Microsoft VPN chính là định danh hai nhân t��. Sau một s�� c�� đột nhập nho nh�� cách đây 8 năm, Microsoft đã cho cài đặt một nền tảng khóa công cộng (public key) dựa trên cơ ch�� xác nhận, và phát th�� thông minh cho tất c�� nhân viên và nhà thầu, cho phép h�� truy cập t�� xa tới mạng công ty. Định danh hai nhân t�� yêu cầu người dùng cần phải có một thiết b�� vật lý, �� đây là th�� thông minh, và mật khẩu truy cập.

S�� c�� được đ�� cập �� trên chính là v�� một đột nhập vào mạng Microsoft của một cracker (k�� phá mã). Người này đã s�� dụng tên đăng nhập và mật khẩu lấy cắp của nhân viên Microsoft và đã tiếp cận được một s�� mã nguồn. V�� này được Walls Street Journal, Computerworld và một s�� t�� công ngh�� khác đăng lại nhưng Microsoft đã không thừa nhận thông tin này.

Kết nối Sandbox

Lớp bảo v�� th�� hai cho mạng kết nối Microsoft VPN là “sandbox��. Trong bảo mật máy tính thì sandbox là một cơ ch�� bảo v�� giúp chạy an toàn các chương trình. Nó thường được s�� dụng đ�� thực thi mã chưa được th�� nghiệm, hoặc các chương trình t�� bên th�� ba, nhà cung cấp hoặc t�� người dùng không tin cậy chưa được kiểm chứng.

Trước khi một máy tính kết nối có th�� truy cập vào bất c�� tài nguyên h�� thống nào trên mạng Microsoft, nó phải chịu s�� kiểm soát của một chương trình an ninh. Ch�� khi máy tính này đạt được những yêu cầu an toàn cần thiết, nó mới được phép kết nối vào mạng Microsoft.

Một chiếc máy tính chuẩn có th�� kết nối vào mạng Microsoft phải cài đặt đầy đ�� các bản vá lỗi, tường lửa Windows Firewall phải được kích hoạt, và không được kết nối tới bất c�� mạng VPN nào khác, hoặc đang s�� dụng một phần mềm truy cập t�� xa nào khác.

Nếu trình kiểm tra của Microsoft phát hiện ra máy tính không đ�� yêu cầu, nó s�� t�� thực hiện những quy trình cần thiết, chẳng hạn như cài đặt bản vá lỗi, nâng cấp chương trình diệt virus�� Nếu người dùng t�� chối nâng cấp, ngay lập tức trình quét s�� ngắt kết nối vào mạng. Khi quy trình kiểm tra này kết thúc, và PC đạt đ�� yêu cầu, nó s�� được phép kết nối vào sandbox và vào mạng doanh nghiệp.

Mã hóa và mật khẩu mạnh

Microsoft hiện đang tin tưởng và s�� dụng giải pháp bảo mật có tên là EAP-TLS kết hợp với th�� thông minh. Giải pháp này là s�� tổng hợp của nhiều yếu t�� như mã hóa VPN, định danh, mật khẩu cực mạnh, và cơ ch�� thay đổi mật khẩu thường xuyên.

Nếu đã từng trải nghiệm qua cơ ch�� bảo v�� của Windows Server 2003, bạn có th�� hình dung ra mạng Microsoft cũng s�� dụng một cơ ch�� tương t��.

E-mail và IM không qua RAS

Các nhân viên Microsoft thường gửi và nhận một s�� lượng lớn e-mail, và đó chính là nguyên tắc làm việc của h��. Tuy nhiên, nếu làm việc �� nhà mà kết nối VPN quá tải, h�� s�� phải s�� dụng một giải pháp khác do nhóm Exchange phát triển. Đó là phương pháp kết nối tới máy ch�� mail đầy đ�� chức năng mà không cần trình kết nối phải �� trên mạng.

Đ�� làm được điều đó, Microsoft đã thiết lập máy ch�� proxy Exchange đ�� Outlook truy cập vào Exchange thông qua RPC trên nền HTTP (được bảo v�� bằng cơ ch�� mã hóa SSL).

Cách đây vài năm, Microsoft đã phát triển các máy ch�� proxy Exchange, cũng như các đoạn script (kịch bản) đ�� đơn giản hóa quá trình thiết lập proxy cho các client Outlook.

Giải pháp này rất lý tưởng cho nhân viên và nhà thầu làm việc t�� xa trên máy tính của h��, không cần s�� dụng VPN mà vẫn truy cập được vào e-mail và trao đổi qua IM.