Из-за проблем, описанных вот здесь http://forum.oszone.net/post-1728395-35.html , включил встроенный брандмауэр, но совершенно не устраивает такой пункт: "Разрешены исходящие соединения, не соответствующие ни одному правилу". Как инвертировать это дело в принцип "Запрещено все, что не разрешено"?

да имено так.
если нет разрешающего правила - то оно запрещено. логичное поведение для брандмауэра.

логичное поведение для брандмауэра »
Извините, уважаемый, но Вы вообще читали мой пост?
включил встроенный брандмауэр, но совершенно не устраивает такой пункт: "Разрешены исходящие соединения, не соответствующие ни одному правилу" »
Это по-вашему логичное поведение?

Если ещё актуально,
так (CMD):

netsh advfirewall set currentprofile firewallpolicy blockinbound,blockoutbound


В XP ещё не было проработано управление исходящим трафиком. Именно в 2001-2006 годах, до появления Vista был ажиотаж на агнитум аутпост и прочее третьестороннее ПО, которое компенсировало этот недостаток безопасности XP. Сама MS усовершенствовала Брандмауэр лишь с выходом Vista (2006 год).

Виста считаю, второстепенной ОС... удивляет, то что есть люди, которые до сих пор так хвалят висту и пользуются только ей....

но совершенно не устраивает такой пункт: "Разрешены исходящие соединения, не соответствующие ни одному правилу" »
Есть стандартные наборы правил. Браузеры используют одни, антивирусы другие, а также есть программы для которых эти правила некорректны. Брандмауэр не допустит работу этого По с обычными правилами . Для таких случаев и есть такой пункт - Разрешены исходящие соединения, не соответствующие ни одному правилу"
При наличии этого пункта ваша система хуже не станет. Другое дело если бы были разрешены ВХОДЯЩИЕ соединения.

Виста считаю, второстепенной ОС... удивляет, то что есть люди, которые до сих пор так хвалят висту и пользуются только ей.... »

Ну так некоторые еще и ХР пользуются, хотя это не второстепенная, а просто устаревшая ОС :)

netsh advfirewall set currentprofile firewallpolicy blockinbound,blockoutbound »
Судя по тексту команды в текущем профиле блокируется ВЕСЬ трафик при такой политике? То что надо, но будут ли при таком раскладе работать разрешающие правила, созданные вручную?
ваша система хуже не станет »
Станет, поскольку в Outpost у меня был очень короткий свод разрешающих правил и каждое правило содержало только порты, необходимые конкретному приложению. Наследие от тарифа с оплатой по трафику и от пойманного в то время зловреда, который постоянно висел в инете, а я два месяца платил за него. Встроенный же брандмауэр разрешает любому желающему, в т.ч. и вредоносному ПО, выходить в сеть за обновлениями, передачей сведений и т.д.

gorill, а в чём проблема-то? Штатный брендмауер Windоws вполне можно настроить на работу по "белому" списку, я бы даже сказал, делается это запросто (http://gayevoy.wordpress.com/2010/05/14/how_to_configure_windows_firewall/). Другое дело, что возможно у вас другая ОС? Ну так указывать надо сразу, а не играть в угадайку.

Судя по тексту команды в текущем профиле блокируется ВЕСЬ трафик при такой политике? То что надо, но будут ли при таком раскладе работать разрешающие правила, созданные вручную? »
блокируется всё кроме разрешённого правилами; Будут:

Использование: firewallpolicy (действия для входящего трафика),
(действия для исходящего трафика)
Действия для входящего трафика:
blockinbound - Блокировать входящие подключения, которые не
соответствуют правилу для входящего трафика.
blockinboundalways - Блокировать все входящие подключения, даже
если подключение соответствует правилу.
allowinbound - Разрешить входящие подключения, которые
не соответствуют правилу.
notconfigured - Возвращает значение в ненастроенное
состояние.
Действия для исходящего трафика:
allowoutbound - Разрешить исходящие подключения, которые
не соответствуют правилу.
blockoutbound - Запретить исходящие подключения, которые
не соответствуют правилу.
notconfigured - Возвращает значение в ненастроенное
состояние.

некоторые правила, такие как "удалённое управление Windows" могут работать даже при политике "blockinboundalways" при включении проверки подлинности подключения, делается так:
99032
P.S. Дальше читайте только если вам интересно.
Вы разберётесь сами, что на вашей машине к чему, когда отключите все имеющиеся правила и полностью выстроите свой трафик разрешающими правилами. Стандартные правила включайте, остальные правила создавайте "ручками", по одному, начните с исходящего трафика:

DHCP - стандартное правило (для статического локального IP не нужно)
DNS - стандартное правило
80, 443 порты (правило для интернет-сёрфинга, одно для всех браузеров).
...\windows\system32\w32tm.exe (синхронизация часов)
...\java.exe
...\mynetapp.exe и т.д.

Входящие правила не зависимы от исходящих.
Если вам нужно чтобы ваша машина домашняя просто заходила в интернет и только, то входящие правила можете отключить все - достаточно одних исходящих.

Ну так указывать надо сразу »
Виноват, исправляюсь :) Вин 7
одно для всех браузеров »
Ну уж нет - IE у меня всегда был заблокирован навечно :) Остальное более или менее понятно. Если в чем-то протуплю, то еще к Вам пристану :) . Спасибо.