Wenn es vorrangig um mehr Sicherheit geht statt generell klassische Software auszusperren, kann man auch das im normalen Windows integrierte Applocker bzw. die Software Restriction Policies benutzen. Damit lassen sich z.B. ausführbare Dateien auf den Windows- und die Programme-Ordner beschränken (Standardeinstellung bei Aktivierung).
Um da hinein zu kommen, bedarf es Admin-Rechte bzw. einer UAC-Bestätigung, die man normaler Software nur einmalig während der Installation gibt.
Von alleine kann sich dadurch kein Schadcode mehr zur Ausführung bringen - auch nicht wenn er ein Exploit nutzt, dass ihm Adminrechte verschafft. Denn auch der Exploit müsste zunächst ausgeführt werden, was aber nicht möglich ist, da sich die heruntergeladene Malware noch außerhalb der freigegebenen Ordner befindet. Insbesondere die Browser-Caches und Downloadordner sind natürlich niemals freigegeben. Die c't hat da schon mehrfach Artikel zu geschrieben und betont, wie mächtig dieses Feature eigtl. ist und wie sich damit kinderleicht der Angriffsvektor für Malware drastisch reduzieren lässt. Die haben sogar ein kleines Tool geschrieben, was die Einstellungen und Whitelisten für die zulässigen Ordner in einer leicht zu bedienenden GUI ermöglicht.