1. В настройках BIOS разрешить загрузку только с жесткого диска, включить Chassis Intrusion, запретить загрузку через PXE и USB.
2. Установить пароль на изменение настроек BIOS.
3. Ограничить физический доступ к компьютеру (хотя бы к системному блоку).
4. Установить пароль на загрузчик.
5. Отключить автовход и установить пароли на все аккаунты, которые имеют право на неограниченный доступ к интернету.
Только после этого есть смысл ограничивать доступ к интернету, иначе можно обойти защиту, например, загрузившись с флешки.