Белый список исполняемого файла на мой взгляд достаточно безопасен.
Отмена разрешений на запись для него является излишним, если он находится в локальной личной папке в контролируемой среде. Это имело бы смысл, если бы оно находилось в общей сетевой папке, чтобы ограничить его доступ другим пользователям, чьи компьютеры могли быть заражены, или если несколько человек имели физический доступ к компьютеру.