Al equipo de descarga le pones una IP fija, a ser posible de un rango diferente de el resto de PC. Al resto de equipos, les configuras el firewall para que impidan cualquier tipo de conexión a esa dirección IP, de este modo te aseguras que aunque el PC de descargas esté infectado por algún gusano o troyano, no pueda acceder a los demás.
Es una defensa básica, y está claro, que por mucho que lo blindes, si alguien te quiere hacer daño, y sabe un poco del tema, lo va a hacer, por muy blindado que lo tengas.
Otra solución es que si en el resto de equipos, los cuales no son para descargar, les pongas algún programa de congelado como Deep Freeze. Haces una partición secundaria para guardar ahí los datos sin que esta esté congelada y te quitas de cualquier modificación de registros, entradas de virus, instalaciones indeseadas...
Es a priori lo que se me ocurre
yo no recomiendo congeladores tipo deepfreeze, porque entre otras cosas, ya es posible desactivarlo y cualquier otra acción te puede dañar la MBR haciendo que pierdas la info del HDD, lo mejor es utilizar un buen firewall, o crear un DMZ en la red o tener un windows virtualizado y tener un respaldo (ova) para casos de emergencia.