He estado investigando con un amigo, que se dedica a desarrolar firewalls, y con ISA 2000 (que es lo que yo tengo) me parece que la cosa está complicada. Con 2004 me parece que hay la opción de Web filters con la cual podrias capar los sitos web donde no quieres que se conecten (por ejemplo
*.passport.net pasa msn). Lo malo de este sistema es que lo has de hacer uno por uno.
La segunda opción que hemos planteado seria bajarte el Zonealarm. La cosa seria que tendrias que instalarlo y configurarlo para que solo puedan salir los programas que tu desees. Para evitar que lo inutilicen los users deberias ocultarlo de manera que no sepan que tienen un firewall instalado. El problema está en que si el user es un poco listo podrá encontrarlo y desactivarlo.
Y la tercera opción es un poco mas laboriosa. Primero investiga y averigua desde que puerto o rango de puertos actua http-tunel.Esto lo puedes hacer instalandotelo y con un sniffer mira por donde sale. Luego en el server pones un firewall y rechazas todas las conexiones provenientes de ese/esos puerto/s.
Y si esto no funciona pues entonces te vas a un matadero, compras un cerdo decapitado, lo empalas en la entrada de tu empresa y le escribes en la tripa con sangre "usuario que instaló http-tunel"
De todas formas, cuando lo consigas solucionar postea lo que hiciste. Seria muy interesante
Siento no poder serte de mas ayuda
Que la fuerza te acompañe