Enklaste är någon form av hårdvarubrandvägg före.
Det bästa vore om du kunde lägga upp ett nytt VLAN (Förväxla inte med WLAN/WIFI!!) som du lägger upp separat i din befintliga brandvägg.
Därefter lägger du upp regler så att bara godkända portar är tillåtna. Eventuellt även en reverse-proxy så att man inte kan exploita de tjänster du vill ha åtkomliga på windows-servern.
Lägg även regler utgående så att windows-servern bara får prata med internet på vissa bestämda portar.
Om du inte har några VLAN, eller om din befintliga brandvägg bara har WAN och LAN, så kan du ändå lösa problemet:
Då köper du en extra brandvägg. Antingen kan du köpa en vanlig router, men det ger dig rätt begränsade möjligheter samt att du också löper risk att routern innehåller säkerhetshål.
Det optimalaste är att köpa en riktig brandvägg, t.ex. denna:
https://netgate.com/products/sg-1000.html
(Som du ser är brandväggen inte mycket större än 2 nätverkskontakter)
Och sedan ställa in den vettigt så att bara tillåten trafik får passera.
Fördelen med denna metod, är att du inte behöver göra några som helst modifieringar av servern eller dess mjukvara, utan allt sker utanför.
Fördelen med den lilla brandväggen är att du kan skydda just anslutningen till servern även om du inte har åtkomst till företagets "riktiga" brandvägg.
Då finns ingen risk att klienterna smittar ner servern, eftersom alla angrepp kommer att blockeras av brandväggen som ligger precis före servern.