imho, můžeš taky specifikovat názvy (v tomto případě setup.exe), který se mu prostě nespustí. (platné pro spuštění přes explorer)
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "setup.exe" /t REG_SZ /d "setup.exe" /fMá to ovšem nevýhody: stačí přejmenovat a spustí instalačku, bylo by třeba doplnit hodně názvů. Zase výhodou je, že na to pravděpodobně nepřijde - ono se to totiž moc nepoužívá.
googluj DisallowRun
Další možností je nastavení povolených aplikací (ty se pouze spustí).
http://windowsitpro.com/article/articleid/71687/js i-tip-0362---how-to-configure-the-restrictrun-regi stry-key.html
googluj RestrictRun