Si pones allow haces un bypass de la autenticación IWA, y si le pones un deny haría un bloqueo del protocolo que pongas es destination (por ejemplo: HTTP). En teoría podría funcionar, se puede probar aunque de igual modo, creo que no es infalible y es sencillo de evadir. Existen números programas y addons para simular el user-agent por el de IE e incluso, manualmente con estos sencillos pasos: http://www.howtogeek.com/
Esta página es útil para detectar el user-agent local y ver los disponibles: http://whatsmyuseragent.com
En un cliente bloquearon Firefox y Chrome por GPO con éxito no permitiendo instalarlos y ni ejecutarse. Si tienen un firewall de capa 7 pueden bloquearlo por ACL como bien decías.
Lic. Matias Colli
Websense Pre-Sales Engineer
