В ХР барандмауэр по умолчанию блокировал все входящие подключения,  но исходящие соединения от программ на компьютере этот брандмауэр не мог защищать, всем программам можно беспрепятственно   выходить в Интернет, когда им вздумается.
Начиная с Windows Vista во встроенном брандмауэре  есть  режим повышенной безопасности ,который например  позволяет блокировать трафик от всех программ установленных на компьютере(включая ОС) и разрешить только от тех, кого пользователь доверяет выходить в Интернет.
Из-за внедряемых Микрософтом во все последние версии Windows(7/8/10) обновлений с функциями сбора телеметрии, статистики  и просто слежки появились программы, которые выключают эту слежку в этих версиях Windows (типа опенсурс  утилиты DisableWinTracking). Эта программа кучу изменений делает в реестре, файлах hosts, добавляет десятки правил брандмауэр Windows(блокирующих в основном сайты телеметрии Microsoft) и тд. И чаще всего программы такого типа не позволяют в случае чего вернуть исходное состояние, то есть изменения необратимы. А вдруг через 2-3 года захочется установить обновления к винде? Переустанавливать ОС не дело.
Вот решил пойти по пути обратимых изменений установить в брандмауэре  по принципу всё что явно не разрешено запрещено!
Запустил из панели управления "брандмауэр"(у меня Вин7 64 бит, но и вин8 всё также делается, наверно и 10 тоже), зашел через "дополнительные параметры" в режим повышенной безопасности. Там три профиля брандмауэра "Домена", "Частный" и "Общий профиль". Текущий профиль выделяется словом "Активен", у меня оказался активен "Общий профиль". Под последним профилем есть пункт "Свойства брандмауэра Windows" . Открываю его и перехожу на вкладку со своим текущим профилем "Общий профиль" . Состояние брандмауэра у меня включён. В поле "Входящие подключения" ставлю блокировать все подключения, а в поле "исходящие подключения" ставлю вместо разрешающего всем и вся параметра "Разрешить" другой параметр блокировать. И жму ОК. Понятно, что сразу всё перестаёт работать, даже ping  пакеты никуда не идут...
Чтобы разрешить какой-то программе  выход в Интернет с левой стороны  есть "Правила для исходящего подключения", щёлкаю на нём  правой кнопкой мыши и выбираю там "создать правило", В пункте "правило какого типа вы хотите создать" выбираю пункт "Настраиваемые" и жму далее, указываю путь к конкретной программе (например Program Files\Mozilla Firefox\firefox.exe),"тип протокола" оставляю  "Любой", Область к которым применяется это правило для локальных и удалённых ip адресов ставлю "Любой IP адрес" , "действие"  для правила переключаю в "разрешить подключение" ,  Профили оставляю все три в которых это правило будет действовать, имя пишу обычно по имени программы -firefox.  На всякий случай смотрю, чтобы никаких других правил для исходящего подключения не были разрешены - я же всё хочу запретить по умолчанию.
То есть на текущий момент в правилах только одна программа. Для работы того же Firefox нужно о ещё обеспечивать DNS запросы (опять "создать правило" для исходящего соединения, затем тип правила в пункте "предопределённые" выбираю "Основы сетей" , затем "Основы сетей - DNS   (UDP исходящий трафик).  Ну или в моём случае я dns сервер провайдера или общедоступные яндекса или гугл не использую(они тоже собирают всё подряд о пользователях...), я делают дополнительное правило для кеширующего сервера unbound (в настройках ДНС сервер у меня выставлен ip 127.0.0.1). Для работы  Tor Browser в принципе dns сервер указывать на компьютере не нужно, он все запросы шлёт в тор -сеть, так что поле днс можете оставить пустым, если из браузеров   используете только ТОР.
В тор-браузере как бы две программы - это  обычный Firefox(файл Firefox), который настроен на использование прокси(точнее socks )сервера с ip 127.0.0.1 и портом 9150, то есть на локальную машину . А на порту  9150 после старта Tor Browser запускается клиент тор, этот клиент и играет роль Socks сервера. Тор клиент находится в папке тор-браузера Browser/TorBrowser/Tor/tor.exe.  Разрешаю добавлением двух  разрешающих правил для двух этих программ (firefox.exe  и tor.exe из папки Tor browser) , но тор не работает, пишет ошибку при старте загрузчика Tor " Tor не удалось установить подключение к сети Tor. Подключение к сети Tor неудачно (нехватка ресурсов - 46.165.221.166:443)."  В Общем почему-то не пускается.
С IE тоже была проблема - я  прописал одно разрешающего правила для 64 разрядного Internet Explorer (который лежит в Program Files\Internet Exlorer\), но он не заработал, диспетчер задач я два ИЕ увидел, один 64 разрядный, а второй 32 разрядный... Зачем Микрософту на 64 разрядной ОС потребовалась такая подмена  я не знаю, может 64 битный у них не работает как надо... В общем как только создал ещё одно  разрешающие правило  для 32 разрядного ИЕ(из папки Program Files(x86)\Internet Explorer\iexplore.exe), то ИЕ заработал.
С Хромом проблем не было - одно разрешающее правило добавил в браднмауэре и всё заработало.( ну и днс клиент для него конечно нужно тоже выпустить в Интернет).
Как в режиме запрета всех соединений разрешить работу Тор Браузера?  Может нужно ещё какой экзешник разрешить ?
У кого DHCP на компьютер тоже нужно в предопреденном типе правил добавит "основы сетей" и там DHCP добавить. У меня "статиком" на одной машине прописано, а на ноутбуке динамически получение сетевых настроек, там пришлось добавлять возможность выхода в сеть и DHCP клиенту.