Reprise du message précédent :
Un serveur a besoin de communiquer avec les autres pour plein de raisons : authentification auprès du domaine, synchronisation du temps etc... Si tu ne me crois pas installe un 2008 Core, et tu verras que par défaut tu as des services qui tournent (et oui un serveur DNS ce n'est pas QUE le service DNS) et des ports ouverts.
 
Un serveur patché peut être infecté, tout bonnement s'il est patché après l'infection. Ou s'il est infecté par un autre moyen que l'exploitation de la faille (partages par exemple).  
Ensuite ce que tu refuses de comprendre c'est qu'une intervention de l'utilisateur en local (par exemple le navigateur) n'est pas forcément nécessaire pour infecter un serveur. Mais là je ne peux pas l'expliquer mieux que précédemment.
 
"Je ne recommande pas d'installer d'AV" donc là je te cite, à la question "quels sont les serveurs sur lesquels il n'est pas utile d'installer un antivirus", tu réponds DC, serveurs applicatifs, serveurs métier, serveur mail...en gros tu considères que seuls les serveurs de fichiers sont à risque.
par contre oui un antivirus est une couche de protection parmi d'autres, il ne faut pas s'en contenter.

 
Tu ne confondrais pas connexions entrantes et sortantes sur un matériel ?
Ton serveur, il peut toujours sortir sur tous les ports souhaités pour se connecter à d'autres matériels sans en avoir lui-même un seul d'ouvert pour que des matériels distants s'y connectent.
 
Donc sur un serveur DNS, pour reprendre cet exemple, seul le port 53 peut être ouvert en entrée mais tous les autres en sortie. Le serveur pourra donc taper dans un AD, consulter lui-même un autre DNS, surfer sur le WEB, etc.
Dans cet exemple, Conficker, ou un autre, est inopérant pour se connecter au service fautif vu que le port sera bloqué en entrée (seul le 53 ne l'est pas).
 
Soyons déjà au moins OK sur cette base de la compréhension réseau avant de poursuivre. Sinon on ne va nul part.

Le cas de confiker est intéressant, mais quid d'un virus qui s'en cogne des numéros de ports ouverts et fermés, du moment qu'il peut se transmettre ?

 
 
hein ? normalement un virus utilise une faille (et donc la faille d'un service et donc un port specifique)...  

 
Tant que le virus n'aura pas de petites pattes pour se glisser sous la porte de la salle serveurs, escalader la baie à la recherche d'un port USB accessible et être capable de s'auto-exécuter après une simple copie, va falloir qu'il se plie aux lois de l'informatique
 
Alors y'a pas 36 solutions.
Pour se copier et s’exécuter, il lui faut :
- un accès réseau et un process à l'écoute avec faille, authentification inexistante ou faible (et il ne peut pas s’exécuter dans chaque cas).
- un utilisateur qui va sciemment, ou non, le copier ET l'exécuter sur la machine (ou de manière indirecte via process système type auto-exécution des médias amovibles).

 
Le mieux c'est que je te laisse tester ça en prod : tu coupes tous les accès distants entrants sur ton serveur DNS sauf le 53 et tu vois si tu n'as aucun problème.

 
 
si c'est un DC oui ca va poser souci. Dans le cas d'un serveur Bnid qui ne ferait que ca, je pense que ca passerait

Euh ... mais quel problème veux-tu que j'ai ?
Y'a pas besoin de tests. Je le vis tous les jours sur des serveurs ouverts au public (ou pas). Seuls les ports correspondants à des services offerts par le serveur (HTTP, SMTP/POP/IMAP, LDAP, DNS, FTP, SMB, Etc.) sont ouverts.

Aujourd'hui, je suis intervenu sur un serveur qui héberge un ERP pour utilisation sur le réseau de l'entreprise, ben seul le port de l'ERP est ouvert (+ le 80 pour son client WEB). Ca n'empêche en rien le serveur de communiquer avec les autres serveurs de l'entreprise et de s'appuyer sur eux (DNS, DC notamment).

 
Bind ou le serveur DNS de Windows si on veut que son Windows ne fasse que ça.
On peut aussi imaginer un DC qui ne serve qu'à l'authentification AD.
Mais bon c'est sûr que le DC de base sous Windows, y'a une foultitude de ports à laisser ouverts si on veut que les réplications, AD, DNS, Kerberos, le catalogue gloabl, etc. fonctionnent.

Merci pour toutes vos réponses enflammées !
 
Pour mettre les choses au clair, les serveurs en production dans mon entreprise étaient sans mise à jour (depuis leur installation) et par feu désactivé.
 
Ma solution :
 
Dans un premier temps, j'ai activé le parfeu sur chaque serveur, et je laisse passer au fur à mesure des demandes pour l'accès au port, service...
 
J'ai ensuite installé un antivirus client sur chaque serveur.
 
Et enfin, j'ai mis en place un serveur WSUS qui appliquera les MAJ de sécurité et critique.
 
Donc je pense que l'antivirus est nécessaire dans mon cas, et j'ai très compris avec tous vos messages que l'antivirus n'est pas là pour dédouaner les sysadmin !
Il faut activer seulement les services utilisés et filtrer par le parfeu avant toute chose !
Et bien entendu configurer chaque service pour qu'il soit le plus sécurisé possible !