если своими словами, то
Прокси - программа, предназначенная для разделения доступа в интернет между компьютерами локальной сети. В отличие от трансляции сетевых адресов (NAT) работает на уровне сокетов, т.е. программа-прокси получает запрос от клиента, создает порт для этого клиента на внешнем интерфейсе и гоняет трафик по схеме: web-сервер -> порт на внешнем интерфейсе, соответствующий данной сессии клиента -> порт прокси на внутреннем интерфейсе -> клиент
Файрволл (брандмауэр) - программа, предназначенная для блокирования всего трафика, проходящего через сетевой интерфейс или группу сетевых интерфейсов, за исключением заданных администратором исключений. В последнее время добавились функции фильтрации контента для основных протоколов (fixup). Обычно брандмауэр совмещен с NAT (транслятор сетевых адресов, почти аналогичен прокси, но работает не на уровне сокетов операционной системы, а прямой обработкой пакетов, поступающих на внешний и внутренний сетевые интерфейсы.

Вариант 1. Предлагаемый Microsoft типовой метод - групповые политики, но требуется MSI-совместимость пакета + наличие домена.

Вариант 2.
2.1 надо проанализировать установочный пакет на предмет возможности unattended-установки (т.е. не требующей вмешательства пользователя и, по возможности, скрытой от него). Пример:
установка DWGTrueView:
установка NOD32:
установка Sun Java:

2.2 надо продумать, как процесс будет запущен на рабочих станциях (какие права у пользователей, есть ли домен и т.п.). В случае, если пользователи - админы и есть домен, то все можно впихнуть в логон-скрипт (но надо помнить, что сервер должен выдержать нагрузку, когда все утром войдут в сеть). Если прав недостаточно, то есть планировщики рабочих станций, см. schtasks /? Я, скажем, пользуюсь самописным агентом, понимающим команды вида exec:username|password||path-to-program.exe).

ехе-файл - это программа, которая может быть выполнена в операционной среде Windows
MSI-пакет - это комплексный документ, содержащий инструкции для Windows Installer (содержимое можно посмотреть, воспользовавшись, скажем, Veritas Software Console). Идет вместе с набором файлов установки.
Т.е. там, где есть только setup.exe и нет msi-файла, вы имеете дело с устаревшей формой инсталлятора. Тут либо есть возможность установки без вопросов, либо ее нет, причем во втором случае иногда удается выкрутиться с пом. того же Veritas Winstall LE.
В случае с MSI-файлом операционая система сама ставит программу. В случае, если такого файла нет, работу по установке ведет тот или иной сторонний установщик (что есть нестандарт).

Здесь кто-то советовал, не помню кто: тынц