Estoy de acuerdo con los Rorys. Es muy difícil permitir que alguien ejecute o lea datos sin, al mismo tiempo, otorgarles la capacidad (ya sea de forma inherente o mediante medios implementados por el usuario) para copiarlos. El acceso físico rompe especialmente la mayoría de las medidas de seguridad por debajo del cifrado en reposo.
Dicho esto, las sugerencias de uso de Políticas de grupo y / o Thin Clients son buenas ideas, especialmente las últimas. En cualquier caso, no debe intentar bloquear una unidad completa, especialmente una tan crítica como C: \, si solo es cierta la información de esa unidad que necesita protección. El bloqueo de la unidad C: \ como un todo probablemente causará más problemas y dolores de cabeza de los que resolverá.
Si prefiere bloquear una unidad completa, cree una partición separada específicamente para el software propietario e instálela allí. Luego, puede bloquear la segunda partición tanto como desee sin interferir con el acceso del usuario a sistemas operativos críticos o archivos de programas no sensibles.