Em termos de veicular atualizações localmente e gerenciar quais atualizações são baixadas e disponibilizadas, o WSUS é a resposta que você está procurando. A restrição é que o próprio WSUS só serve conteúdo para as máquinas que o solicitam, ele não controla quais máquinas na rede fazem isso. Dito de outra forma, você obtém atualizações do WSUS, e não o contrário.
Em um ambiente do AD, a opção mais fácil de dizer às máquinas para usarem o servidor do WSUS é por meio da Diretiva de Grupo, mas, como você não está em um ambiente do AD, isso não é possível.
Fora do AD, suas opções são configurá-lo em cada máquina individual usando a diretiva de grupo local ou por meio do registro. Detalhes das configurações e dos dois métodos estão disponíveis aqui - link - mas, crucialmente, você precisará de permissões de administrador para configurá-las, o que pode ser um problema se elas já tiverem ingressado no domínio de uma rede de trabalho.
Eu não acho que haja uma maneira fácil de impedir que qualquer computador convidado em sua rede se conecte ao Windows Update, ou forçá-los a se conectarem ao seu servidor WSUS sem alterar a configuração neles. Os endereços IP usados para o Windows Update são codificados no Windows, portanto, você não pode redirecionar as solicitações de determinados endereços para outro IP. Do que eu me lembro, nem sequer usa números de porta especiais para se conectar, então sem bloquear que os visitantes acessem a internet inteiramente de sua conexão, ou apenas permitindo que conexões específicas sejam feitas, você não pode impedir que suas máquinas se conectem ao Windows Atualizar.
A única opção real em que consigo pensar para controlar o uso de convidados seria configurar QAS e limites de largura de banda em sua conexão e, em seguida, restringir a velocidade de download deles. Dessa forma, permitindo-lhes largura de banda suficiente para ter acesso básico, mas sem poder usar tudo para obter atualizações.