Die Windows Firewall ist garnicht so schlecht. In den Default einstellungen ist die allerdings Recht offen. Jedes Programm kann nach außen kommunizieren.
Das kann man aber ändern :) Ich hab dazu auf dem Desktop eine Verknüpfung eingerichtet, die die erweitere Einstellung starten:
%SystemRoot%\System32\WF.msc
Im Hauptpunkt, in der mitte auf "Windows-Firewalleigenschaften" klicken (Grüner Pfeil mit blauer Schrift)
In jedem Profil den Punkt "Ausgehende Verbindungen:" auf Blockieren" umstellen. So muß auch Ausgehende Verbindungen eine Firewall Regel erhalten.
Bei Protokollierung auf "Anpassen..." klicken und dort "Verworfene Pakete protokollieren" einschalten.
Die Firewall Log Datei ist:
%windir%\system32\LogFiles\Firewall\pfirewall.log
Wichtig: Die Firewall meldet sich nicht, wenn eine Ausgehende Verbindungen blockiert wurde! Daran muß man immer denken, wenn ein Programm nicht ins Netz kommt und man muß eine neue Ausnahme Regel erstellen!
Unter Win7 kann man alle Regeln mit Strg-A auswählen und deaktivieren. Bei Vista geht das nicht. Dort kann man nur immer eine Regel auswählen :(
Danach kann man gezielt einzelne Regeln freischalten, u.a. für DHCP und DNS:
Neben den Regeln für seine Programme muß man zumindest die Ausgehende Regel Kernnetzwerk - DNS (UDP ausgehend) aktivieren, damit Namensauflösung (DNS) funktioniert.
Man gibt damit %systemroot%\system32\svchost.exe (eingeschränkt auf den Dienst "dnscache") UDP ausgehend auf Remoteport 53 frei.
Für Windows Update muß man eine neue Ausgehende Regel für %systemroot%\system32\svchost.exe erstellen. Dabei mekert Windows erstmal. Das ignorieren und im zweiten Schritt mit "Auf diesen Dienst anwenden:" den Zugriff auf den Dienst "Windows Update" einschränken.