Que tal:

Intentando deliberadamente ser pesimista... tardarás más investigando como bloquear, restringir lo que deseas que alguien que brinque dichas restricciones, y esto lo comento porque recientemente fui testigo de una situación similar, tenian el mismo problema: el gran desperdicio de los recursos informáticos, optaron por comprar un filtro (vease www.n2h2.com) como medida preventiva, una decisión costosa y que no toma más de 3 minutos burlarla... y el caso es el mismo para los filtros que sugiere Alfon, aunque para ellos aplica una "Ley de Seguridad": La seguridad en el lado del cliente no funciona (esta y más leyes pueden consultarlas en el libro "Hack Proofing Your Network"

La idea de implementar un IDS, me parece mucho mejor. Aunque la verdad no cuento con la experiencia / conocimientos para opinar detalladamente.

Pero veamos el lado positivo, un alto porcentaje de usuarios desconoce la operación básica del sistema operativo, que por consecuencia no intentarán evadir tus restricciones :)

Saludos,