Я бы всё таки порекомендовал для таких целей поставить второй комп — всяко надёжнее и в текущих условиях не так дорого.
А так вот какие возникают идеи:
Используя виндовый файрволл разрешить доступ в сеть только тем программам, которые нужны. Остальное заблокировать. Пользователю урезать права, чтобы не мог рулить фаерволом.
Если утилит ограниченное количество, то явно прописать на микротике разрешённые адреса для этих утилит, а остальное банить.
Из предыдущего комментария не очень понял, но если эти утилиты только слушают адреса, то опять же прописать правила, которые разрешают только входящие соединения к этим утилитам, а остальное банить.