Christopher Wilson forneceu uma boa lista de URLs acima.
Gostaria de acrescentar que o WSUS pode não ser um grande negócio a longo prazo. Você provavelmente ainda terá que definir a lista de permissões do roteador se o objetivo for bloquear o acesso à Internet e o surfiing. No entanto, uma das muitas razões para implementar o WSUS é minimizar o impacto na conexão com a Internet, fazendo o download apenas de atualizações uma vez, sem mencionar que você tem o controle final sobre quando e quais atualizações enviar aos clientes.
Se você já tem um servidor de banco de dados disposto a adicionar o WSUS a uma caixa existente, isso não é uma sobrecarga nem muito grande, dependendo do número de clientes que você possui.
A minha sugestão é essencialmente que você pode utilizar a lista fornecida por Chris para ajudar a criar sua política de bloqueio, mas também melhorar todos os seus recursos de manutenção de desktops, além de reduzir os requisitos de largura de banda da Internet.
UPDATE: URLs da Microsoft para Whitelist:
- windowsupdate.microsoft.com
- .update.microsoft.com
- download.windowsupdate.com
- redir.metaservices.microsoft.com
- images.metaservices.microsoft.com
- c.microsoft.com
- www.download.windowsupdate.com
- wustat.windows.com
- crl.microsoft.com
- sls.microsoft.com
- productactivation.one.microsoft.com
- ntservicepack.microsoft.com