Você pode bloquear a execução de programas de determinadas pastas negando a permissão NTFS Traverse folder/execute file . Eu fiz isso em pastas específicas, como a pasta Downloads com bom sucesso. Eu seria cauteloso em aplicar essa permissão de negação a uma árvore de diretórios inteira.
Se você decidir fazer isso, faça da seguinte maneira: você pode facilmente desativar a restrição ou restringir usuários diferentes à vontade:
- Crie um grupo local chamado Desativar NTFS execute users
- Negar as permissões para esse grupo
- Transforme seu (s) usuário (s) em um membro desse grupo
Para levantar a restrição, basta remover o usuário do grupo.
Lembre-se de que um usuário não administrador pode editar as permissões do NTFS em qualquer pasta da qual ele seja o proprietário. Além disso, os administradores podem sempre editar permissões e derrotar essa estratégia.
Observe que essa abordagem funciona apenas para executáveis reais. Por exemplo, arquivos de script .vbs não são programas em si e não são bloqueados por isso. Eles são lidos e executados pelos executáveis wscript.exe ou cscript.exe que vivem na estrutura de diretórios do Windows. O mesmo vale para outros tipos de scripts, incluindo o PowerShell.