Forse ci siamo: prova ad andare nelle proprietà della policy creata al passo due e nella scheda "generale" seleziona la casella "I livelli di criteri al di sotto di questo livello non verranno valutati". In questa maniera sul mio PC riesco ad eseguire assembly che invocano codice unmanaged firmati con il mio strong name anche da drive di rete. Ovviamente dovrai rieseguire in toto il terzo passaggio, il deployment del criterio su tutte le macchine.
Non condivido invece la tua affermazione sui "problemi di protezione": Microsoft ha realizzato un eccellente linguaggio e l'ha corredato di eccellenti sistemi di protezione; i gruppi di codice sono una gran furbata, che ti permettono di limitare l'accesso alle risorse agli assembly di dubbia provenienza (come quelli situati sulla LAN o peggio su Internet), e se li si sa usare possono essere veramente molto utili.