Если Agent работает от системной учётной записи, то никак вы ему не ограничите логически права в пределах этой системы. Есть два с половиной варианта (но Agent может отказаться работать с любым из них или с обоими, нужно проверять методом тыка).
1. ограничить запись физически - поместить файлы на CD-ROM; очень редко встречаются флешки с переключателем защиты от записи; на SD-картах (которые не microSD, а большие) и переходниках SD/microSD есть переключатели. Тут фикус-пикус в том, что, вероятно, потребуется создать symlink'и, а вы говорите, что Agent их удаляет. Но можно попробовать сделать symlink не на отдельный файл а на целую папку, содержащую этот файл. Возможно, Agent не догадается удалить и создать заново эту папку.
2. ограничить права за пределами этой системы - поместить файл на сетевой шаре, расшарить только для чтения. Даже имея полные права на своей системе, Agent будет бессилен на другом хосте, содержащем шару. Опять же, шару придётся смонтировать, как сетевой диск; догадается ли Agent отмонтировать сетевой диск? Откажется ли работать с сетевым диском?
0. а не проще ли мониторить изменение файлов (есть утилиты для этого) и при обнаружении изменений сразу восстанавливать файл из резервной копии? Да, есть шанс, что это не сработает, если немедленно после обновления файла он считывается и восстановление уже опаздывает. Но если повезёт, то будет хватать времени для восстановления. Я бы попробовал.