Sim. Se você habilitar as regras executáveis padrão, somente aplicativos instalados em Arquivos de Programas / Arquivos de Programas (x86) e Windows poderão ser executados para usos padrão. Os administradores recebem uma modificação para executar qualquer coisa e, portanto, podem instalar o software.
Considere também ativar o recurso de DLL com o conjunto de regras padrão. Isso evita que uma injeção surpresa de DLL aconteça. Apesar do aviso de que as regras de DLL podem afetar o desempenho, não consigo diferenciar.
Uma pegadinha é que o Google Chrome, o Amazon Kindle para PC, o Cisco WebEx e o Citrix GoToMeeting etc. se instalam por usuário em AppData ou nas pastas globais AppData que não podem ser realizadas. Todas essas empresas usam a assinatura de código, para que você possa criar regras de editor para confiar no código da Amazon, Cisco, Google, Citrix etc.
Eu também consideraria ativar as regras de script e instalador. Eu gosto de adicionar uma regra para permitir * .ps1 desde PowerShell tem sua própria política de execução de script.