Se você estiver falando de laptops ou desktops com check-out / atribuído a pessoas, simplesmente não conceda a eles acesso de administrador. Isso ainda permitirá que eles instalem programas (Assumindo que foram escritos corretamente) em sua pasta pessoal e, quando eles saírem, você precisará excluir apenas sua conta de perfil / usuário para remover quaisquer programas que eles instalaram / alteraram. Isso também limitará os danos que um vírus pode causar - simplesmente colocar em quarentena & limpar seus documentos em qualquer sistema que eles não tenham feito login, exclua & recriar sua conta, restaurar seus documentos limpos. Vírus foi embora.
É realmente difícil criar uma "lista branca" de executáveis aprovados com base no fato de que o código executável não precisa nem ter um nome, simplesmente residir na memória em uma página marcada como executável. Sua melhor aposta é simplesmente facilitar a remoção dos aplicativos indesejados quando o usuário sair.
Se isso é um problema de segurança e não um problema de "limpeza", como eles colocaram os programas no sistema?