Como posso evitar ou iniciar uma ação se um processo não autorizado criar / modificar um arquivo para um diretório específico?

É possível impedir que um arquivo seja escrito ou modificado em uma pasta específica se o nome de usuário e o nome do processo forem diferentes de um valor específico?

Se não, é possível acionar uma ação se um ID de evento específico contiver 2 detalhes, como username e process fullpath, é igual a alguma coisa?

Contexto

Um serviço do windows que eu executo está sendo executado em uma conta de serviço com logon interativo que é necessário para fins de depuração e gostaria de garantir que os arquivos criados em um diretório específico sejam realmente escritos pelo próprio processo ou que alerta é lançado pelo servidor.

O que testei até agora

1. FSRM (gerenciador de recursos do sistema de arquivos) e é totalmente bloqueador todos os arquivos criados em um diretório ou apenas monitorando a criação de arquivos (não a modificação).
2. Escrevi um programa em C # e usei o System.IO.FileSystemWatcher para monitorar um diretório, mas se uma criação / modificação for feita, o processo não será fornecido pelo FileSystemEventArgs.

O que vou testar em breve ...

Ativando a auditoria de arquivos nesse diretório e gravando um programa em C # que esteja monitorando um ID de evento específico e acionando quando o conteúdo estiver contendo um nome de usuário e nome de processo não autorizados.

Caso contrário, todas as sugestões são bem-vindas ... Obrigado.