Você precisa configurar um proxy de saída (Threat Management Gateway, Squid etc.) e usar a Diretiva de Grupo para forçar o Internet Explorer a transmitir todo o tráfego por meio desse proxy, caso não esteja em linha. Se você tornar o proxy in-line, todo o tráfego, obviamente, passará por ele independentemente das configurações do IE, tornando o GPO inútil.
Você não pode fazer isso nativamente sem fazer algo estranho, como criar um arquivo de hosts em um compartilhamento de rede com os sites apropriados bloqueados e usar a configuração de atualização do arquivo de preferências de diretiva de grupo para enviá-lo aos computadores. Eu realmente aconselho contra isso. Reserve um tempo para configurar um proxy e faça o caminho certo.