Ogni volta che vedo siti sviluppati per girare su IIS che vengono installati su macchine Windows 2000 "pulite" mi vengono i brividi!
Le scuse che sento sono le seguenti:
- Tanto gira sulla intranet...
- Tanto c'è il firewall...
- Tanto è un sito che non interessa a nessuno...
- Non abbiamo un sistemista che si occupa della security
- Si poi lo faccio...
Non sempre è necessario un "hardening" a livello di certicazione miltare, ma almeno lanciare l'IIS Lockdown Tool.
Che tra l'altro installa anche UrlScan, un'utility veramente utile per impedire Url "selvagge"...
Per favore... FATELO appena installata una macchina Windows 2000 con IIS... è per un mondo migliore, per un'Internet più pulita... 
Alcuni suggerimenti:
- Se dovete fare il DEBUG di ASP.NET dovete andare nel file urlscan.ini e riabilitare il comando DEBUG tra i comandi consentiti, altrimenti non vi accorgerete di niente, ma il debug non sarà più possibile
- Se si vuole fare delle prove con IIS Lockdown conviene tenere presente che lui fa il backup/restore del metabase di IIS, quindi c'è il rischio di perdere eventuali vostre modifiche se cambiate spesso configurazione senza tener presente questo fatto...
- Conviene disabilitare sempre TUTTI i protocolli e i servizi che non servono, si fa sempre in tempo a rimetterli su... ma ci si espone di meno!
P.s. per chi vuole monitorare UrlScan ho scritto un piccolo programmino in VB.NET che potete trovare qui. (Sempre che i SuckSpaces(TM) 
di GDN funzionino... un giorno vanno e due no...)