Execute o Assistente de configuração de segurança que foi introduzido no 2003 SP1 - ele ajudará configurar e desativar serviços e protocolos desnecessários no próprio servidor. Lembre-se que ele tem um recurso de reversão se você, por engano, bloqueá-lo demais, então não se preocupe em executá-lo ...
Aqui está uma webcast muito boa com Jesper M Johansson sobre como usar o ACS e um pouco sobre como abordar o Windows e a segurança. É um pouco antigo, mas a maioria das coisas, incluindo a configuração do SCW, ainda é válida, mas obviamente destinada ao Server 2003.
As ferramentas antigas Urlscan e IIS Lockdown basicamente não são mais necessárias, já que o IIS6 usa as configurações de bloqueio por padrão, e a maioria, senão todas, as configurações do urlscan são incorporadas.
Guia Microsoft Protegendo o IIS6 - algumas configurações aqui parecem estar cobertas se você passar por primeiro o SCW - mas este guia deve ajudá-lo a baixar o restante da configuração.
Você está correto em não ser capaz de executar o IIS7 no Windows 2003 - a versão do IIS é basicamente vinculada à versão do sistema operacional com a qual ele é enviado, portanto, é necessário atualizar para o Windows Server 2008 ou posterior.