Você poderia usar um firewall para cuidar disso. Mas se você tiver certeza de que o usuário deste computador não vai tentar sair, também há uma opção mais fácil: invalidar ou remover o gateway padrão, que é necessário para qualquer tráfego fora da sub-rede local.
Não mexa nos servidores dns, como o xantec sugere, que também poderia interromper as funções do lan, como imprimir em uma impressora de rede ou em um diretório ativo.