A Microsoft comunicou que existe uma falha no IIS sem solução no momento. A falha afeta o Windowx XP SP2, todas as versões do Windows 2003, vista e Windows 2008. A falha consiste em o invasor conseguir subir o privilégio.
A sugestão da Microsoft é remover o MSDTC e criar um usuário e setar no Application Pool do servidor. Esse usuário deve ser adicionado no grupo IIS_WPG.
O interessante é que eu já tinha comentado dessa falha em 29 de Setembro de 2007. O link é: http://pabloweyne.spaces.live.com/blog/cns!B84EED969836338!158.entry
Conversando com o Aylton Souza da Microsoft, que trabalha diretamente com IIS, ele me indicou os dois links abaixos que explicam que essa configuração deve ser padrão para hosting:
http://learn.iis.net/page.aspx/50/configuring-aspnet/
Pablo Weyne