Se o único objetivo desse servidor for executar o IIS, recomendo instalar o Core e adicionar a função IIS (e a função Serviços de Área de Trabalho Remota, embora você possa descobrir que o Gerenciador do IIS Remoto atende às suas necessidades); este processo é descrito aqui .
Isso reduzirá significativamente a área de cobertura do ataque em comparação com uma instalação Padrão do Windows 2008 R2 (e poderá melhorar o desempenho ou pelo menos liberar alguns recursos com o número reduzido de serviços / funções / recursos ativados / em execução).
Se a caixa estiver criada e você não puder refazê-la, sugiro que execute o Microsoft Baseline Security Analyzer depois que seu aplicativo da Web tiver sido instalado, testado para estar funcionando corretamente, etc., para localizar quaisquer vulnerabilidades em potencial que possam existir.
O acompanhamento de um scanner de segurança para fins gerais, como o Nessus ou o GFI LanGuard (e a execução de varreduras regulares) também seria uma boa ideia.
Uma observação sobre como fazer alterações ... não para patrocinar, mas eu mudaria uma coisa de cada vez e testaria novamente seu site / aplicativo para ter certeza de que tudo está funcionando.
Por último, veja o próprio aplicativo da Web: você pode usar scanners de vulnerabilidade da Web de terceiros para encontrar falhas óbvias, mas certifique-se de que seus desenvolvedores ou Web designers estejam seguindo as melhores práticas para validação vigorosa de entrada e ações do POST em seu site - seu aplicativo / site da Web poderia distribuir malware para visitantes desavisados no nível do aplicativo sem comprometer o sistema operacional ou mesmo o IIS.