Primeiro que tudo garante que o dito sujeito não tem previlégios de admin. Se tiver, não tens hipoteses...
Depois instala uma network firewall básica mas que permita protecção por password. Remove as politicas por defeito excepto as básicas de DNS, acesso à propria firewall, ao localhost, etc e cria regras de permissão para os ports de windows filesharing, outros serviços necessários, impressoras de rede, etc... Finaliza a lista de regras com um DENY ALL OUTBOUND.
Feito. Ele não pode desactivar a firewall pq nem é admin nem tem a pass de protecção da mesma. E a ultima regra nega todo o tráfego de rede que não tenha sido explicitamente permitido.
O teu unico problema é se tiveres de permitir algumas circunstância e negar outras. Mas isso já vai requerer outros métodos mais complexos... Se isto chegar, é o mais simples que podes ter.