Alapvetően nem gondolkodsz rossz irányba, de én nem használok külön batch filet és csoportot sem. A dolgot lehet valamennyire MIC-vel is szabályozni, SE_* privilégiumokat eldobni, stb.
Tűzfalból nem kell 3rd party, a Windows saját tűzfala is tud Vista óta kifele irányúló szűrést végezni per-program szinten is.
Persze ez sem 100%-os védelem, jópár megoldást ismerek, amivel kilehet játszani, de elég kevés esélyét látom, hogy egy random malware ezt meg fogja tenni...