Vale, entonces se te complica bastante mas el tema, te has planteado jugar con el DHCP, para asignar un rango de direcciones a las maquinas a restringir donde en su puerta de enlace no haya direccion válida de salida ???, podria servirte o bien en su defecto y si no son muchas quizás te sirva, efectivamente la solución que te aportaba, serviria para explorer, firefox a partir de la version 16.0 con un adm que puedes obtener de microsoft o la propia comunidad, ademas deberias restringir la instalacion de cualquier software incluidos los navegadores que no tengais validados a nivel corporativo, no tiene sentido aplicar seguridad o restricciones en un solo sentido, es como si a una casa le cierras las ventas y dejas abierta la puerta.
Si te puedo ayudar en algo mas ...