Acho que as Políticas de Restrição de Software, introduzidas com o Windows XP e o Windows Server 2003, são um instrumento válido para impedir a execução de programas indesejados.
Se as regras de caminho descritas não forem seguras o suficiente na sua opinião, você sempre poderá adicionar regras de hash ("impressões digitais" criptográficas dos executáveis que permanecem as mesmas, independentemente do nome ou local do arquivo.) e certificados.
A única maneira (que eu sei) de ignorar as Políticas de Restrição de Software no Windows XP é usar uma conta de logon secundário (começar com "Executar como").