Como habilitar o recurso de nome DNS no firewall do Windows somente com lista de permissões?

Hoje em dia, o TCP 53 também é recomendado para DNS. É o fallback se houver algum problema com a transmissão do pacote UDP e é usado para alguns tipos de consultas. Acredito que a MSFT esteja migrando para o TCP como o protocolo padrão para consultas DNS (com o UDP ainda disponível), mas não sei se esse é realmente o caso ainda ou quais versões do SO podem ser afetadas.

Bloquear todas as saídas é bem incomum. Eu sugeriria habilitar todas as regras no grupo Core Networking , tanto de entrada quanto de saída, que se aplicam a todos/quaisquer perfis (ou seja, não incluindo as regras Core Networking para o perfil "Domain", se sua máquina não estiver unida ao domínio).

Essas regras não são para acesso de aplicativo/serviço, mas mais para status de tráfego e coisas assim. Você pode identificá-las com o seguinte Powershell:

# To view
Get-Netfirewallrule -DisplayGroup "Core Networking" | where {$_.profile -eq "Any" -and $_.enabled -eq $false}
# To enable all in "Core Networking"
Get-Netfirewallrule -DisplayGroup "Core Networking" | where {$_.profile -eq "Any" -and $_.enabled -eq $false} | Enable-NetFirewallRule

Se habilitar o TCP 53 não resolver o problema de DNS, eu definitivamente recomendo habilitar o acima e ver se isso ajuda. Se ajudar, deve ser fácil o suficiente para podar regras indesejadas de lá.

Além disso, se você não quiser se incomodar com a solução de problemas com uma ferramenta de captura de pacotes, você pode habilitar o log de texto "Dropped Packets" - o local padrão para o log é %systemroot%\system32\LogFiles\Firewall\pfirewall.log. As instruções para habilitá-lo (incluindo com netsh advfirewallcomandos) estão no site da Microsoft .