O RPC-EPMAP é o "mapeador de ponto final" de RPC, que multiplexa vários serviços diferentes baseados em MSRPC em uma única porta. (Semelhante ao HTTP vhosts, eu acho.)
O Firewall do Windows sabe mais do que apenas portas TCP - AFAIK, ele pode bloquear e permitir serviços MSRPC individuais. Então, meu primeiro palpite é que essas regras têm parâmetros ocultos que selecionam um serviço específico.
(O outro palpite é que as regras são duplicadas, mas necessárias para que os grupos de regras do "modo simples" do Firewall do Windows funcionem.)