Microsoft создала очень неплохую страничку, чтобы помочь администраторам, которые заинтересованы в "блокировке" инсталляций IIS (а заодно по пути и Windows NT).
Это может помочь администраторам защититься от эксплоитов и всех известных дырок и закрыть информационную утечку в Windows NT, которая имеется по умолчанию (SNMP, NULL сессии и т.д.)
Контрольный список с объяснениями:
http://www.microsoft.com/technet/security/iischk.asp