1. В ветке реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer нужно создать параметр RestrictRun типа DWORD (REG_DWORD) со значением 1.
2. В ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ создать ключ RestrictRun, а в нем параметр 0¹ типа STRING (REG_SZ) со значением regedit.exe.

ВАЖНО! Если выполнить пункт 1, но НЕ выполнить пункт 2, то после перезагрузки вы не сможете запустить никакую программу. Чтобы это исправить, вам нужно будет войти под другим пользователем с админскими правами, открыть редактор реестра, найти в ветке HKEY_USERS подветку пользователя, под именем которого был сделан этот косяк и удалить параметр RestrictRun либо присвоить ему значение 0, после чего перезагрузиться.

1. Данный метод не защитит компьютер от вирусов, которые не создают файлы на диске (например, мс-бласт), а также от проникающих путем «запуска» динамической библиотеки² (например, конфикер).
2. Сложность реализации. Приходится исследовать³ программы, выяснять какие файлы они запускаю при старте и в процессе работы, чтобы их так же включить в «белый список».
3. Неудобство внесения изменений. В ключ RestrictRun юзер писать не может, не смотря на то, что изменения призводятся в ветке HKEY_CURRENT_USER. Поэтому приходится выходить из под учетной записи юзера, входить под админом, давать юзеру админские права, входить под юзером, вносить правки в реестр, опять выходить, снова входить админом, отбирать админские права у юзера %) Либо же из под админа через ветку HKEY_USERS, как было описано выше.
4. Нельзя указать полные пути. Если файл вируса будет называть так же, как какая-нибудь программа из «белого списка», то он (вирус) будет запущен. Так же юзер может сам переименовать файл в разрешенный и запускать таким образом (почти) любые программы.