возможно, лучше всего подойдет SRP
Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей.
В общем смысле - забираете права администратора (без этого ничего не поможет) и разрешаете запуск программ только в определенных каталогах (%ProgramW6432%, %ProgramFiles%, %windir%). Так же можно разрешить запуск программы по ее контрольной сумме (чтоб не подменили легальное на "левое" в доступном на запись каталоге).
Т.к. пользователь без прав администратора туда ничего записать не может - зловреды там не окажутся. Все файлы, приходящие по почте под видом картинок, но имеющие исполняемые расширения не запустятся. От макровирусов (если кто еще о них помнит) это не сбережет, но от дропперов крипровирусов - на 98% поможет (и лучше всякого антивируса). Так же поможет от установки/использования "левого" и переносимого ПО (и всяких там меилрушечных и прочих программ, не требующих прав администратора и устанавливающихся в каталог пользователя)