Para especificar no GPO de restrição de software, os hashes de arquivos executáveis/de script que podem ser executados durante a instalação de um programa executado, por exemplo %LOCALAPPDATA%\Temp, durante a instalação; como descobrir quais programas serão executados para um determinado instalador e quais são seus hashes?
Observe que também foi sugerido que isso pode ser feito primeiro movendo o computador para uma unidade organizacional que não tenha a restrição de software aplicada e, em seguida, executando o instalador a partir daí primeiro; mas me parece que se um usuário precisar reinstalar o produto ou repará-lo; eles seriam incapazes de fazer isso sem o método hash e, portanto, o método hash parece ser o caminho a seguir.
Defina o applocker no modo de auditoria, execute a instalação e o log de eventos mostrará o que teria sido bloqueado.