如果未经授权的进程在特定目录中创建/修改文件,我该如何阻止或启动操作?

如果未经授权的进程在特定目录中创建/修改文件,我该如何阻止或启动操作?

如果用户名和进程名称与特定值不同,是否可以阻止在特定文件夹中写入或修改文件?

如果不是,如果特定事件 ID 包含 2 个详细信息(例如用户名和进程完整路径等于某个值),是否有可能触发操作?

语境

我运行的 Windows 服务在具有交互式登录的服务帐户下运行,这是调试目的所必需的,我想确保在特定目录中创建的文件确实是由正确的进程写入的,如果不是,则服务器会启动警报。

到目前为止我已经测试过

  1. FSRM(文件系统资源管理器)它完全阻止目录中创建的所有文件或仅监控文件创建(而不是修改)。
  2. 编写了一个 C# 程序并使用 System.IO.FileSystemWatcher 来监视目录,但如果进行了创建/修改,FileSystemEventArgs 不会提供该过程。

我很快会测试什么...

在该目录上激活文件审核,并编写一个 C# 程序,监视特定的事件 ID,并在内容包含未经授权的用户名和进程名称时触发。

否则,欢迎所有建议...谢谢。

相关内容