Поправка: на сервере установлена Windows Server R2 2012
Если есть возможность то я бы порекомендовал обновить вашу версию сервера, так как основная поддержка Windows Server R2 2012 прекращена в 2018 году. Если это невозможно, то необходимо установить последние патчи. Так как Windows Server R2 2012 имеет ряд проблем с переполнением памяти ядра.
Далее настраиваем файрволл, базу данных и прочие сервисы в соответствии с
официальной документацией от Microsoft .
какие порты лучше сразу закрыть
Закрываем все, что не нужно для непосредственной работы сервера.
какие роли и службы лучше не ставить
Лучше не ставить "крякнутые" и устаревшие службы. Первые могут содержать вредоносный код, вторые - системные эксплойты.
Для каждой отдельной уязвимости и для каждого отдельного типа существуют различные утилиты для проверки.
Начать можно с Nmap и продолжить чтением OWASP Web Application Security Guide.
Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей на каждом из уровней.
https://metascan.ru
https: //acunetix.com/
https: //detectify.com/