Dando uma segunda olhada na captura do Wire Shark, vi que o aplicativo usa uma solicitação de portmap para obter a porta do servidor de licença real. Esse pedido de portmap usa uma porta de origem (aparentemente aleatória) abaixo 1024 - o que é incomum ou talvez errado. O portmapper responde devidamente a essa porta. Para dar um exemplo, digamos que o diálogo entre o cliente e o servidor seja assim:
Fonte: Client.Domain: 1001 Destino: Server.Domain: 111 Dados: "Onde encontro o servidor de licenças?"
Fonte: Server.Domain: 111 Destino: Cliente.Domínio: 1001 Dados: "Na porta 12345. De nada."
111 é a porta bem conhecida do Portmapper. Tudo bem. 1001 está abaixo de 1024 que parece incomum para uma porta de origem.
Primeiro palpite
O Firewall do Windows parece seguir uma lógica simples: se algo fala com alguma porta local abaixo de 1024, ela está chegando e eu tenho que pedir permissão. Assim, a janela aparece.
Segundo palpite
Antes de o Firewall do Windows descartar um pacote, ele faz uma verificação melhor e reconhece que a conexão foi realmente iniciada por um processo local. Assim, é reconhecido como uma conexão de saída e, portanto, permitido (não importa o que o usuário respondeu, porque a regra criada só se aplica a pacotes de entrada)