Edycja pliku hosts to kompletna partyzantka. Nie dość że nie ma "obsługi" wildcards np. *.youtube.com, to każdy średnio rozgarnięty użytkownik odblokuje sobie te wpisy o ile nie ustawisz odpowiednio ACLi na ten plik. Niemniej tak czy owak jest to rozwiązanie kompletnie bez sensu.
Nie wiem o jakiej skali wdrożenia blokady mówimy. Na poziomie korporacyjnym polecam proxy np. ISA gdzie bez problemu zdefiniujesz filtry webowe na poziomie domen czyli np. wspomniane *.youtube.com i nikt z użytkowników tego nie przeskoczy. W mniejszej firmie możesz poszukać dowolnych filtrów webowych. W zależności od pojemności portfela są rozwiązania komercyjne i darmowe - wyguglaj "web filter" to dostaniesz miliard propozycji.
Na poziomie pojedyńczej stacji będzie największy problem bo chodzi o to, aby inny użytkownik nie odblokował sobie wdrożonych przez Ciebie zmian. Trzeba by poszukać takich narzędzi, gdzie lista blokowanych domen jest chroniona hasłem.
Znalazłem coś tu:
http://www1.k9webprotection.com/
Ze swojej strony używam rozwiązań korporacyjnych (ISA) i ciężko mi się odnieść do rozwiązań domowych.