閲覧制限をかけても、マルウェアの侵入は避けられないと思います。任意の拡張子を検索すると、その拡張子を開けるツールとしてマルウェアをダウンロードさせるサイトが上位に表示されますので、それらのサイトをブラックリストに載せるのが精一杯です。が、それはごく一部をブロックするにすぎません。
私が知っている一番ゆるい会社は、ウイルス対策ソフトのみ。
一番厳しい会社でも、ウイルス対策ソフト＋ユーザーに管理者権限なし＋ブラックリスト少々。といった構成ですね。
中小企業では、それ以上は費用的に見合わないのではないでしょうか。

まずは、教育・案内でしょうか。
日本の「窓の杜」「Vector」のようなサイト以外からはダウンロードしない、と言うのが良いのでは？
（そもそもインストール出来ない権限にするという方向もあるかと思います）

あとは、「業務に使用するアプリケーションは、情報システムだけがダウンロードして、ユーザーはそれを利用する」とか？

他には、UTMの機能で「URL ホワイトリスト（ブラックリスト）」運用をして、問題のあるサイトへの接続を禁止するとか？

UTM機能｜機能紹介(FortiGate/FortiWiFi)｜UTMアプライアンス Fortinet Products｜日立ソリューションズ
Webフィルタリング機能 - 危険なWebサイトへのアクセスを抑止 -
http://www.hitachi-solutions.co.jp/fortinet/sp/function/utm.html

中小規模の企業ではウィルス対策ソフトだけが多いと思います
最近のウィルス対策ソフトはURLフィルタリングの機能がある場合はプラスで設定ですが、UTMによる制御は必要に、なると思います。ブロックされてるのにアダルトサイトに繋ごうとする方もいますので多重防御は必要かと
大企業になればProxyサーバで制御が多くなる傾向があります
後はインターネットが出来る端末を物理的に分けてる企業もありました。
参考になるかどうかわかりませんが

みなさま

お忙しい中貴重なコメントありがとうございます。

ソフトウェアや機器などので制御では限界があるので、
やはり社内教育が必要という事ですね。

引き続き、宜しくお願い致します。

i-Filter等のフィルタリング・プロキシ製品で、既にブラックなサイトのカタログを勝手に更新してくれるところもありますね。海外サイトのブラックリストもあるのかな・・？

私見ですが、「100パー防止は無理、いつか社内NWにマルウェアが侵入するのは必至という」前提で製品選定したり、上司に伝えたほうが良いと思います。
なので、私は教育・NW・エンドポイントの3つの面でバランスよくお金を配分できるようにしたいですね！
具体的な製品名があまりなく、抽象的なアドバイスで恐れ入ります。

03kさん

コメントありがとうございます。
確かにおっしゃる通りですね。
参考にさせて頂きます。

引き続き、宜しくお願い致します。

お高いので参考にならないかもですが、ブルーコートのプロキシを使ってますけど性能はかなりいいです。

ウェブサイトをカテゴリに人間が分別しているので精度が高く、未カテゴリのサイトは申請フォームから登録すると24時間以内にカテゴライズされます。

弊社ではプロキシ認証を併用しています。従業員にはクッソ不評ですがマルウェアがC&Cサーバにアクセスしようとしても、認証プロキシ+カテゴライズ（怪しいドメイン）で、ほぼ全てブロック出来ています。