Já nedoporučuju žádný firewall pro pohlídání nějakého procesu. To co si musíš ohlídat jsou služby. Jsou služby které by se daly označit jako serverové (služba Server, Terminal Services...) a pak jsou klienti běžící jako služba (např. automatické aktualizace, DNS klient) a jsou i služby které budou komunikovat obousměrně (služba vzdáleného přístupu RAS). Všechny se v tvém firewallu tváří jako svchost.exe; takže jediná možnost je blokovat rozsah portů pro příchozí komunikaci pro všechny procesy u portů, které používají k naslouchání ty serverové služby, které běží.

Tvoje posedlost odchozí komunikací systémových služeb mi je trochu záhadná, myslíš si že RAS nebo DNS klient o tobě odesílá nějaké osobní informace či co? Blokování odchozí komunikace vůbec neřeš.