1) non hai messo la schermata PIU' importante di tutte, cioè packet filtering (nel tuo, filtraggio pacchetti, ovviamente), cioè tutti le regole principali...
2) per quanto riguarda "predefiniti", dipende dalla filosofia d'utilizzo e dalle proprie esigenze. Potresti (dico: "potresti") mettere TUTTO su nega tranne DNS.
Come ti dicevo, tratta trusted area ("sicuro", da te) e internet come la stessa cosa. Se usi ping e tracert, spunta "permetti" in quelle voci.
3) per quanto riguarda le applicazioni che ne lanciano altre e il lancio delle applicazioni singole...sta a TE decidere quali permettere e quali no, o meglio vigilare su cosa succedere nel pc. Certo che se devi usare un programma non hai ALTRA strada che permetterlo. Il punto è capire se è legittimo che un'applicazione ne lanci un'altra. E' quasi sempre legittimo ma NON sempre perchè virus o altri programmi maligni possono lanciare altre applicazioni e viceversa, quindi occorre vigilare
4) hai un sacco di porte tenute aperte da SERVIZI del sistema operativo. Quelli devi limitarli da services.msc
In condizioni normali non dovresti vedere NIENTE, nella finestra delle connessioni. Tantomeno svchost.exe che ascolta allegramente come in questo caso..
ciao
Paolo