Esta é uma questão muito aberta, eu acho. Use seu mecanismo de pesquisa favorito para pesquisar:
"iis7 hardnening" ou "sql 2008 hardening" (etc.) e deve começar.
Aqui estão alguns exemplos de boas práticas de endurecimento:
IIS 7
SQL 2008
Windows Server 2008
DotNetNuke