win+R->secpol.msc->Политики ограниченного использования программ->Уровни безопасности->Запрещено - теперь будет действовать правило, запрещено все, что не было явно разрешено.
Далее в "Дополнительные правила" указываются все приложения, которые пользователи смогут запускать. По умолчанию там указаны системная директория, тоесть сама винда и папка program files. Добавляешь правила для приложений, которые находятся вне этих каталогов (нюанс, если софт находится скажем на диске D, а запускают его с ярлыка с рабочего стола, то нужно добавлять разрешающее правило как для каталога с программой, так и для ярлыка на рабочем столе)
после того как все почикаешь, сотри вообще файл secpol.msc, носи его на флешке, понадобится что-то изменить, скинешь в системную директорию, поправишь и снова удаляй.

чтобы не играли в системные игрушки или удаляешь их через "установка/удаление программ->компоненты windos" или прямо указываешь запрет на запуск этих приложений в политиках безопасности.

для флешек, дисков и прочей съемной фигни, опять же в политиках безопасности, указываешь запрет на корень этого диска. т.е. F: - запрещено, G: - запрещено и т.д.. таким образом они никакую гадость не приволокут на своих носителях, даже если она портабле.

Ну можно попробовать поместить тех кого хочеш ограничить в группу guest или убрать их из группы users , а потом сделать ярлычки с runas которые им будут доступны и прописать там программулки доступные для них, но это так один из пособов чере политики как описал тов. efs имхо правильней.