Чтобы он был дополненным, нужно учесть корпоративную политику безопасности. Так, вместо звездочки уровень безопасности лучше ставить запрещено по умолчанию (рис 1). Суть абсолютно та же, только так правильнее.
Чтобы облегчить работу обслуживающему персоналу по установке/обновлению ПО в корпоративной среде, где в идеале у 100% пользователей нет и не должно быть прав локальных админов, применение ГП выставить для всех, кроме адмистраторов (рис 2). Я в последнее время так и делаю.
Лазейки в виде локальных инсталляторов типа D:\install вообще исключаю, потому что думаю, что вирусописатели обязательно вскоре учтут эту фичу (не знаю как, но проще перестраховаться). Тоже самое с групповой политикой. Имея права локального админа, ее можно изменить... Шаловливые пользователи на многое способны))
Сначала хотел покритиковать второй рубеж, типа он не нужен, потому что архиватор перед запуском извлекает в %temp%, откуда ГП запрещает запускать исполняемые файлы. Но потом понял, что глупого юзера могут заставить извлечь эти файлы "куда надо".
И последнее, в DLL тоже может таиться угроза. Сейчас с этим ничего не поделать.