Kerio se supone que ya protege ante fingerprinting, pero creo que usando la técnica de fingerprinting activo. Ante una detección de S.O. pasivo no te protegerá. En realidad lo que protege es de un scan de S.O.

Para no mostrar información de tu sistema lo mejor es deshabilitar servicios innecearios, deshabilitar si lo tienes SNMP, puertos 135, 445 ( W2K/XP) y Netbios, etc.

Si ofreces algún servicio, es muy posible que tras un escaneo se muestre el servidor, versión etc, del programa que ofrezca dicgo servicio. Algunos programas servidores se pueden cnfigurar para no mostrar los banners o etiquetas identificativas.

A nivel de registros de windows, configuración de router/NAT, etc tambíén se puede configurar la seguridad de tu sistema.