Bloquear descargas (¿pero permitir Windows Update) mediante la directiva de grupo?

Tenemos un Draytek VigorPro 5510 que está configurado para bloquear descargas en el range 10.0.65.xxx (este es el range de todas nuestras estaciones de trabajo de usuario están encendidas), pero les permite en el range 10.0.10.xxx (este es el range de todos los nuestras máquinas de administración están encendidas)

Obviamente, esto ha detenido el funcionamiento de Windows Update.

¿Hay una manera que puedo fijar la política de grupo para parar transferencias directas (utilizamos una mezcla de IE y de Firefox)

O hay algo más que pueda hacer.

He mirado WSUS pero esto parece un poco excesivo para matar lo que necesito

WSUS realmente es el path a seguir en este caso.

No puede "bloquear descargas" en los sistemas cliente; e incluso si usted podría hacer eso para el IE, Firefox va a ignorar feliz cualquier GPO que usted podría fijar nunca.

La solución correcta aquí es configurar el firewall / proxy para bloquear toda la descarga, excepto desde los sitios de Windows Update.

por bloques de descarga quiere decir que cualquier tráfico externo a su networking no debería permitirse? detenga la NAT en las estaciones de trabajo para acceder a Internet y configure WSUS y, a continuación, configure un GPO para que apunte a su server local (como lo ha sugerido).

La alternativa es configurar un server proxy, algo como calamar lo hará muy bien, y sólo permitirá que las IP locales y las windows se actualicen en la ACL. Configure un GPO para dirigir su browser al server proxy.

Si desea bloquear las descargas de ciertos types de files, observe la implementación de las políticas de restricción de software .