[oji]

Ограничение организовано через групповые политики, стандартными средствами MS:
Несколько правил для SRP (Software Restriction Policies):

• Разрешение на запуск двух .exe приложений
• Разрешение запуска *.cmd
• Разрешение запуска *.vbs
• Запрет на запуск всего остального

И правила для File & Folder Permissions:

• Разрешение на запись в папку
• Запрет на изменение двух исполняемых .exe-файлов

Однако к решению это не имеет отношения, так как проблема на уровне cmd.exe, который вместо остановки при запуске некорректного скрипта (переименованного в .cmd из .exe), всё равно запускает его — неожиданное лично для меня поведение системы, которого нет в более новых версиях ОС. И вопрос в том, возможно ли изменить поведение интерпретатора cmd.exe на то, которое наблюдается в Windows 7 — не запускать файлы, являющиеся не последовательностью команд, а переименованными .exe? Потому как это неочевидное поведение создало брешь в системе безопасности, позволив непривилегированному пользователю запускать любые программы из папки с этим приложением, просто изменив расширение.

Кардинально запретить пользователю cmd.exe также нет возможности, иначе перестаёт работать указанная выше программа.