Como posso impedir que o .exe seja executado a partir de mídia removível, como unidades USB?

Eu tenho um problema com usuários que executam .exe de armazenamento removível, como cartões de memória e cartões SD.

Estou tentando configurar o bloqueio do exe sendo executado de todo o armazenamento removível para combater isso, mas sob as configurações de Política de Grupo em "Configuração do usuário > Configurações do Windows > Configurações de segurança > Políticas de restrição de software > você pode criar uma variável "caminho". Eu gostaria de usar uma variável de sistema para todo armazenamento removível, mas não sei se há um que funcione. Eu tenho que passar e criar uma lista de bloqueio para todas as letras de unidade potenciais que poderiam ser atribuídas a mídia removível (E: \ através de sobre L: \) ou há uma que realmente funciona? Eu encontrei %~dp0 que, aparentemente, só funciona para loops for, se declarações e parâmetros de lote.

Se houver outras medidas melhores ou mais confiáveis, por favor me avise.

Ah, olhei para o AppLocker, mas o nosso DC está executando o Server 2008 e acredito que o AppLocker faz parte do Windows 7 e 2008 R2. Como mencionado nos comentários da resposta abaixo, não acho que o Server 2008 tenha a configuração "Deny Execute Access", então existem outras opções?