В принципе я уже написал самы простой способ. Но для любителей поизвращаться пишу :-) Берем например АтиГвард. И открываем его для самообучения. И начинаем составлять правила для него.
1 Доступ для внутр сети (прописываешь все внутр. твои ИП) Туда и обратно по УДП и ТСП.
2.открыть доступ netbios-ns и dgm и кажется nss. Опять таки для внутр сети или можно объединить оба правила. ОТкрыть доступ к 137-139 полностью для внутр сети.
3.Открыть доступ к этим портам внутр петля и локалхост (винда их балбеска разделяет)
4. Открыть доступ к этим портаь приложению SYSTEM
5. ЗАКРЫТЬ 137-139 для всех по УДП и ТСП.
Правила составлять в этой очередности. Т.е. АтиГвард начинает сверху вниз смотреть правила. И если запрос не удовлетворяет ниодному правилу он натыкается на правило 5 и посылает всех на х... ну в смылсе отказывает в доступе :-)
Возможно есть еще какие-то сервисы что используют 137-139 надо просто посмотреть как АтиГвард будет спрашивать что и как. И соглашаться или нет. А потом все запретить.
Но лучше всего отключить от внешнего мира мелкософт и доступ к файлам и принтерам (именно последний отвечяает на расшаренность директорий)