takže jen krátce (se svým neodbytným požadavkem): Bude moci BFU (bez nastavování portích pravidel) ve visťáckém fw jednoduše zakázat WMP (nebo čemukoliv) jakýkoliv přístup na internet?

No, já myslím že ano. Ale moc si tím jistý nejsem, protože jsem na první pohled snadněji pochopil rozšířenou konfiguraci než tu zjednodušenou (trochu se obávám zda to nebude podobné jako se "zjednodušeným" sdílením z Windows XP). Ještě se na to možná podívám.

Nějak ztrácím půdu pod nohama; zda toto jde vůbec zabezpečit i v těch aplikačních fw >>> svchost.exe má povolení, aplikace xyz.exe ne... ale copak já vím, zda xyz nevyužije pro připojení na internet právě toho svchostu?

Platí že:

a) Pouze příchozí komunikace může být nebezpečná, takže na správně nastavených pravidlech závisí jen směrem dovnitř. Blokování odchozí komunikace má snad smysl jen u programů s automatickou aktualizací kde ta aktualizace nejde vypnout (např. Real Player), a u takových bych zvážil zda takové šmejdy používat. S bezpečností nemá odchozí komunikace co dočinění (červi a spyware ten firewall v první řadě vypnou nebo přenastaví).

b) tyhle host procesy používají jen registrované služby. Např. malware který pro aplikační firewall komunikuje přes dllhost.exe není těžké napsat, ale to jsou zbytečné úvahy protože ten vir ten firewall může vypnout což naprogramuje i cvičený hroch, narozdíl od COM+ služby)