步骤4. 监视并审核您的AD

　　因为AD包含许多组件，所以确定何时有人对系统进行破坏比较困难。目前您仅能够遵循上述提到的最佳做法，但是您如何知道有人正在偷偷溜进您的系统呢?答案是监视和审核。

　　您至少需要监视DC的可用性(availability)。您也许已经在进行主机可用性的监视了，并用它来确保AD基础设施的可用性。但是从安全的角度而言，知道DC何时非正常停机更为重要，这样您就可以立即对原因进行相应的分析。也许远程站点的一台DC被盗或某个黑客取得了物理访问权并且正在关闭机器以便安装一个木马程序!

　　除了监视DC的可用性，您还可以使用性能监视器对许多AD的度量(measure)进行监视，这些度量包括轻量目录访问协议(Lightweight Directory Access Protocol，以下简称LDAP)查询的次数和复制数据的数量等内容。您可以为每个感兴趣的计数器设定一个阀值，然后对它们进行监视。如果您注意到，例如每秒钟LDAP查询请求次数或身份验证请求次数在一段时间内明显上升，这也许就是某种攻击的一个提示信息。为了获取更广泛的监视(甚至是警告)信息，您可以使用Microsoft Operation Manager这类工具。

　　Windows操作系统和AD提供的审核功能允许您将某些事件记录到安全事件日志中。您可以记录从操作系统配置更新到AD内部修改等任何事件。但是在启用审核时您需要谨慎考虑。如果审核的对象过多，那么安全日志中将会充斥过多的信息以至于很难找到您所需要的内容。为了获取审核对象方面的指导，请参阅“Best Practice Guide for Securing Active Directory Installations”一文(http://tinyurl.com/3c928)。