我有一个 Windows 10 系统,已在其上启用了可移动存储审核(通过 GPO:计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 审核策略 -> 对象访问 -> 审核可移动存储:成功和失败),并设置注册表项(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage\HotPlugSecureOpen = 1)。
当我创建或修改文件时,我收到与 ReadData 和 AppendData 相关的事件 4663;但是当我删除一份文件。
我使用的设备是 Ivanti 加密的 USB 闪存驱动器,当我在 Windows 资源管理器中右键单击该驱动器时,它不会显示“安全”选项卡。我认为这阻止我使用文件系统审核。
我如何让 Windows 记录文件删除也?