Editar: eu esqueci AppLocker !
Antes de executar o procedimento a seguir, certifique-se de ter criado as regras padrão para a coleção de regras descrita em Impedindo que usuários padrão executem aplicativos por usuário.
Para permitir que apenas aplicativos assinados sejam executados
1.Para abrir o snap-in MMC da Diretiva de Segurança Local, clique em Iniciar, digite secpol.msc e pressione ENTER.
2.Na árvore de console, clique duas vezes em Políticas de controle de aplicativos e clique duas vezes em AppLocker.
3. Clique com o botão direito do mouse em Regras executáveis e clique em Criar nova regra.
CautionCaution
Esta regra impede que aplicativos não assinados sejam executados. Antes de implementar essa regra, verifique se todos os arquivos que você deseja executar em sua organização estão assinados digitalmente. Se algum aplicativo não estiver assinado, considere implementar um processo interno de assinatura para assinar aplicativos não assinados com uma chave de assinatura interna.
4.Na página Antes de começar, clique em Avançar.
5.Na página Permissões, clique em Avançar para aceitar as configurações padrão.
6.Na página Condições, clique em Avançar.
7.Na página do Publisher, observe que a configuração padrão é permitir que qualquer arquivo assinado seja executado e, em seguida, clique em Avançar.
8.Na página Exceções, clique em Avançar.
9.Na página Nome e Descrição, aceite o nome padrão ou insira um nome e descrição personalizados e clique em Criar.