Estou com um pouco de vergonha de admitir que já fiz isso antes, mas da maneira "mais barata" que encontrei para fazer isso (supondo que o usuário não possa instalar ou usar outro software de navegador da Web de terceiros) é usar a Diretiva de Grupo para configurar o Internet Explorer, para o usuário incorreto, para usar um falso servidor proxy HTTP / HTTPS (ou seja, um IP / porta que não responde-- de preferência um que realmente rejeite a tentativa de conexão TCP). Eu coloquei sites "permitidos" na lista de proxy ignorados.
É uma maneira muito "barata" de fazer o que você está procurando e totalmente fácil de ignorar se o usuário puder instalar ou usar software de navegador de terceiros.
Uma maneira "simples" de fazer isso seria forçar o HTTP / HTTPS de saída por meio de um servidor proxy que permita ACLs por usuário. O Squid com autenticação NTLM pode fazer isso sem custo de licenciamento de software e pode fornecer uma experiência de autenticação transparente bastante agradável para máquinas Windows que acessam o domínio e acessam sites por meio dele.