Que tal:

Concuerdo 100% con el comentario de Tania, una de las mejores fuentes de información es el propio sitio de Microsoft, revisa / suscribete al boletin de seguridad.

También, busca un mensaje que no tiene más de dos meses donde Alfon nos comenta como asegurar nuestra pila TCP/IP contra DoS, además contiene algunas claves adicionales para cerrar un poco más tu SO.

En http://www.securityfocus.com/guest/16819 encontrarás un artículo titulado: Ten Things to Do With IIS recomiendo ampliamente su lectura, la mayoria de los 10 puntos atienen a mejorar la seguridad.

Una cosa que actualmente estoy probando es el SYSKEY, su función es encriptar el archivo SAM con la finalidad de que no sea tan fácil encontrar el nombre de usuario / password. Aunque quizá no aplique directamente, seria conveniente revisarlo, por ejemplo si para algunas secciones del IIS validas contra cuentas locales de tu sistema.

Saludos,