プログラムの実行を制限する、という点では『ソフトウェア制限ポリシー』がもっと使いやすくなるといいですけどねぇ。

Windows XP におけるソフトウェア制限のポリシーの説明
http://support.microsoft.com/default.aspx?scid=kb;ja;JP310791

具体的には、OS のカタログファイルに存在しているファイルは、簡単に動作を許可できるようにして欲しいです。（基本は全て制限する前提で）
現状は、苦肉の策？として %Systemroot%、%Systemroot%\SYSTEM32 などのフォルダをパスの規則で許可する方向になってますが、これだとちょっとアレですよね。
ハッシュの規則で、システム関連ファイルを全部登録するのは大変なので勘弁して欲しいです。せめて、『WFP の保護対象ファイルは許可する』とかのオプションが欲しい。（この場合、IE は許可されるわけですが、それは別の規則で制限すればオケーということで）