Hallo,

Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein).
Innerhalb seines Netzes oder innerhalb "sich selbst"? Bedeutet das nicht, dass er dann auch auf die firmeninternen Netzlaufwerke nicht zugreifen kann?

nein, siehe /?t=194724&m=1302497.

Sobald ein User mit Admin-Rechten daherkommt, kann er diese Einstellung natürlich "korrigieren".
Dass das nicht passiert, dafür kann ich sorgen.

Also gut. Dann kommt die Lösung eventuell doch in Frage.

Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.
Das wird vermutlich der sichere Weg sein. Dafür muss der PC aber eine feste IP zugewiesen bekommen, sehe ich das richtig?

Jein. Er muss vom Router eindeutig identifizierbar sein. Eine feste, statische IP-Adresse wäre eine Möglichkeit. Falls aber der Router gleichzeitig DHCP-Server ist[1], kann man den sicher auch so konfigurieren, dass derselbe Client auch immer dieselbe IP-Adresse bekommt.

Zusatzfrage (die sich mir gerade so stellt):
Gäbe es eine Möglichkeit, den Internet-Zugang für bestimmte Programme (z. B. für Software-Updates) freizugeben, für andere (z. B. Browser) aber zu sperren? (Ich wage es kaum, den Begriff "Software-Firewall" in den Mund zu nehmen, aber das ist nunmal das erste, was mir dazu einfällt, worüber ich "mal was gehört habe".)

Genau *das* ist für mich auch der primäre Grund, eine Software-Firewall einzusetzen.
Aber es wäre natürlich auch denkbar, dem (den) Browser(n) einen nicht existierenden Proxy (z.B. 127.0.0.1) zu konfigurieren. Dann könnte der keine Verbindung nach draußen (d.h. nach außerhalb des Rechners) aufbauen, während andere Programme, die normal konfiguriert sind, ungehindert ins Internet können.

So long,
 Martin

[1] Zumindest bei den SOHO-Geräten ist das der Regelfall; bei größeren Lösungen, wo ein PC als Router fungiert, könnten diese Dienste aber ebenso zusammengefasst sein.