CIS 5 и SSDPSRV (Windows 7)

Возникла проблема. При входе в систему CIS 5 начал сообщать о том, что стандартный системный процесс svchost пытается установить соединение на порту 50631 (порт постоянно плавает в дипазоне близком к 50000). svchost говорит безопасен - смело разрешай.

Посмотрел, на этом порту сидит системная служба SSDPSRV (часть UPnP). Порты постоянно от загрузки к загрузке у нее разные.
Как мне правильно написать правило, чтобы разрешить работать службе SSDPSRV ? Из вопроса CIS я понял что самой службы он “не видит”, а видит только системный хост в котором она работает. Не могу же я разрешить все системному хосту? я ведь тогда открою все и для всех служб! И как правильно диапазон портов подобрать, он постоянно плавает собака…

Ау… Люди! Ну подскажите что делать-то ?
Фокусы начали появляться после установки Windows Live Essential 2011

По логам узнаете куда стучится сервис и разрешите для svchost исходящие с этих портов. Если хотите пользоваться службами вроде этой, придется сис. хосту разрешить многое.
Служба обнаружения SSDP [SSDP Discovery Service]
Сфера ответственности этой службы – обнаружение сетевых устройств
Universal Plug and Play в локальной сети. При отсутствии последней
служба теряет смысл и превращается в уязвимость.
В Windows Vista эта служба называется «Обнаружение SSDP (SSDP
Discovery)» и поддерживает некоторый дополнительный функционал – в
частности, отображение карты сети и разделение сетей на локальные и
внешние. Если этот функционал важен для вас, службу можно
перевести в тип запуска «Вручную», однако имейте в виду, что она
открывает на прослушивание значительное количество портов – общим
количеством до 10, в защите которых вы сможете полагаться только на
брандмауэр и созданное вами правило запрета входящих соединений.
Для семерки, думаю, не отличается.

Порты явно находятся в динамическом диапазоне общего пользования (выше 50000) и что мне разрешить всю активность для svchost ? В CIS разве нет определения какая именно служба работает с портом (как это делает netstat -a -b)…? тогда бы можно было увязаться на службу.

Блин… ребята я ошибся. Соединения оказываются не исходящие, а входящие ! это что-то меняет ? Может это шлюз провайдера пытается настроить UPnP соединение?

А может это Teredo пытаестя работать, как проверить ?