Saludes a todos!!!.

Les tengo una consulta y les pido su ayuda, sucede que yo trabajo en unas oficinas (hay muchas computadoras) y soy el que administra la red y cosas así, sucede que, mis jefes me han dicho que bloquee páginas que "distraigan" a los empleados y que quiten ancho de banda (facebook, youtube, etc.), al principio usaba el archivo "hosts" que se encuentra en C:\Windows\System32\drivers\etc, pero me di cuenta que uno de los empleados logró descubrir el truco, y desbloqueó las páginas en su PC y en la de algunos(as) compañeros.

Luego usé el método del antivirus, configuré al antivirus(Nod32) que las máquinas traen para bloquear esos sitios webs, pero el muy HP (Hewlett-Packard LOL) averiguó como quitar la contraseña del antivirus en el registro de Win, he hizo lo mismo de la primera vez.

Usé el método del UserControl 2014, pero el programa daba muchos errores y tuve que desinstalarlo.

Ya por último, lo que hice fue bloquear esos sitios web desde el Router, pensé que "le había puesto fin al asunto", pero el muy desgraciado volvió a encontrar una manera de conectarse a esas webs, usando ZenMate una extención para Chrome que es como usar un servidor proxy.

Mi pregunta es ¿como puedo saber a que direcciones se conecta el ZenMate? y así bloquearlas en el Router, y si me recomiendan herramientas en el asunto.

Saludes y gracias de antemano.

Lo mejor seria en ultima instancia que lo hagas directamente desde el routeador.
Cualquier cosa que este instalado en la PC es posible saltearlo una vez que se tiene acceso fisico a las mismas.

En cambio aplicando correctas politicas de red ni a una VPN se van a poder conectar.

El tema es: que tenes haciendo de routeador/gateway?

Pues la red de la oficina es simple. Router, 2 switch. Como comenté al principio, restringí el acceso desde el router, pero el usuario $%&% usa una extensión del Chrome que es como un servidor proxy, se llama Zenmate, esa extensión se "brinca" las restricciones del Router 

¿Y por qué no bloquear cualquier conexión a ZenMate?
De todas formas, pueden usar cualquier otro proxy. Puedes configurar que los switchs antes de ir al router pasen por un proxy que lea las cabeceras. Si es una cabecera para un proxy, lo bloquea. Si para evitar que lean las cabeceras lo envían cifrado, pues lo bloqueas (a no ser que vaya a un servidor que use la empresa que requiere que vaya cifrado).

Edito:
Además, puedes emplear ingeniería forense en los ordenadores para ver en qué horas se hicieron los cambios para cada uno, lo más probable es que en el que se hizo antes sea el del empleado "atrevido".

Gracias por tu comentario. Conozco al empleado que hace eso, pero no puedo evitar que use la bendita extención del Chrome el cual es el problema.