Требуйте шифрование паролей и данных

Требуйте от всех подключающихся клиентов шифрования паролей и данных:

в Windows 2000 Server или Windows Server 2003 определите группу профилей, которые будут требовать от пользователя, подключающегося посредством VPN, аутентификации с использованием ЕАР или 128-битного шифрование для шифровки своих данных;

на VPN-сервере с системой Windows ХР отметьте флажок Все пользователи должны держать в секрете свои пароли и данные (Require All Users То Secure Their Passwords And Data) на вкладке Пользователи (Users) диалогового окна Входящие подключения — свойства (Incoming Connections Properties).

После этого VPN-клиенты для подключения должны будут поставить флажок Требуется шифрование данных (иначе отключаться) (Require Data Encryption (Disconnect If None)) на вкладке Безопасность (Security) диалогового окна свойств VPN-подключения.

Используйте сильное шифрование

Убедитесь, что VPN-сервер требует проверки подлинности для каждого подключающегося пользователя. При возможности используйте Extensible Authentication Protocol (Расширяемый протокол проверки подлинности, ЕАР) с сертификатом или смарт-картой.

Если такой возможности нет, применяйте шифрованную проверку подлинности - Microsoft Challenge Handshake Authentication Protocol версии 2 (Протокол взаимной аутентификации Microsoft, MS-CHAPv2). Выбор MS-CHAPv2 вместо MS-CHAP может потребовать обновления клиентских систем NT4, Windows 95 и Windows 98 для поддержки MS-CHAPv2, но зато обеспечивает более сильную проверку подлинности. (Вы можете загрузить обновления MS-CHAPv2 с Web-сайта компании Microsoft.)