Você deve configurar uma conta de usuário especial cuja única finalidade seja o código de sinal com os direitos de execução.
Você então bloqueia isso nas políticas para que ele possa ser executado apenas como padrão. Detalhes aqui.
Depois disso, assine apenas os aplicativos aprovados com a assinatura. Sugiro não permitir que os desenvolvedores acessem essa assinatura (somente administradores selecionados). Configurar um sistema de log de mudanças também com isso.
Isso torna seus aplicativos mais seguros, evitando alterações casuais de codificação nos servidores de produção.