O WSUS é realmente o caminho a seguir neste ponto.
Temos um Draytek VigorPro 5510 que está configurado para bloquear downloads no intervalo 10.0.65.xxx (esse é o intervalo em que todas as estações de trabalho do usuário estão ativadas), mas permite-os no intervalo 10.0.10.xxx (este é o gama todas as nossas máquinas de administração estão em)
Obviamente, isso parou o funcionamento do Windows Update.
Existe uma maneira de definir a Diretiva de Grupo para interromper os downloads (usamos uma combinação de IE e Firefox)
Ou há algo mais que eu possa fazer.
Eu olhei para o WSUS, mas isso parece um pouco over-kill para o que eu preciso
O WSUS é realmente o caminho a seguir neste ponto.
Você não pode "bloquear downloads" nos sistemas clientes; e mesmo se você pudesse fazer isso pelo IE, o Firefox ignoraria com alegria qualquer GPO que você pudesse configurar.
A solução adequada é configurar seu firewall / proxy para bloquear todos os downloads exceto dos sites do Windows Update.
por downloads em bloco, você quer dizer que qualquer tráfego externo à sua rede não deveria ser permitido? pare de NATing suas estações de trabalho acesso à internet & configure o WSUS e configure um GPO para apontar para o seu servidor local (como você sugeriu).
A alternativa é configurar um servidor proxy, algo como o squid é bom, e só permitir IP's locais & atualização do windows na ACL. Configure um GPO para apontar seu navegador para o servidor proxy.
Se você quiser bloquear os downloads de determinados tipos de arquivos, procure implementar as Políticas de restrição de software .