Изменение исходящего трафика брандмауэра Windows Server по умолчанию на блокировку

В более крупной организации основной брандмауэр будет тщательно настроен, чтобы разрешить только исходящие подключения к Интернету под контролем.

Однако один из моих клиентов стоит за относительно простым BT Home Hub, который не предлагает многого с точки зрения исходящего соединения с брандмауэром - и у него в локальной сети установлен довольно неуправляемый сервер Windows 2012. Я был удивлен (ну, не очень удивлен), узнав, что исходящий трафик брандмауэра Windows 2012 по умолчанию разрешает весь исходящий трафик. Я всегда предполагал, что, поскольку существует целый блок разрешенных исходящих правил, доступ есть только для портов / программ, настроенных в этих правилах. Я был озадачен, как я смог подключиться к SMTP-серверу их провайдера через Telnet без очевидного правила, разрешающего это. Измените поведение по умолчанию, чтобы заблокировать на короткое время и да, потерянный telnet на порт 25.

У меня вопрос, безопасно ли изменить настройку по умолчанию на блокировку, и будут ли Windows и другие программы добавили необходимые правила для исходящего трафика, или мне придется долго добавлять собственные правила?

У меня возникло искушение предложить найти недорогой межсетевой экран, который позволяет управлять исходящими правилами.