Objetos de política de grupo não ajudam aqui. Os GPOs são aplicados a computadores, não a dispositivos individuais. Para poder confiar na aplicação e execução de um GPO, você precisa ter o controle do domínio ao qual o computador pertence. Eu duvido que este seja o caso aqui.
Não há nada que você possa fazer para impedir que alguém edite o conteúdo de uma unidade flash conectada a um PC que você não controla.
Algumas unidades flash têm um interruptor de proteção contra gravação que você poderia fisicamente quebrar, mas isso não impede que alguém o persiga com um clipe de papel.
E não podemos esquecer que, uma vez que o arquivo é aberto, não há nada para impedi-los de copiar o arquivo para o PC e editar o arquivo lá. Um flash drive somente de leitura não o ajudará.