Настраиваеш групповую политику, четко определяеш список Exe которые можно запускать, все остальное в лес.
По доступу, блокировка через DNS оптимальный выбор. Можно поставить какой нибудь PiHole или AdGuard DNS и через них банить все запросы на левые сайты.
Остает еще дыра с DOH для самых продвинутых, но адреса DOH известны и их можно заблокировать на Firewall.