Si c'est basé sur Windows, ce que vous avez dit, je le ferais. J'essaierais également de trouver une forme de détection d'intrusion d'hôte (un programme qui surveille / audite les fichiers qui changent sur le serveur et vous alerte des changements).
Ce n'est pas parce que vous ne modifiez pas les fichiers sur le serveur qu'il n'y a pas de débordement de tampon ou de vulnérabilité qui permettra à quelqu'un d'autre de modifier les fichiers à distance sur le serveur.
Lorsqu'il y a une vulnérabilité, le fait qu'il y ait un exploit est généralement connu dans un laps de temps entre la découverte et la distribution du correctif, alors il y a une fenêtre de temps jusqu'à ce que vous obteniez le correctif et l'appliquiez. Pendant ce temps, il existe généralement une forme d'exploitation automatisée disponible et les script kiddies l'exécutent pour étendre leurs réseaux de robots.
Notez que cela affecte également les AV depuis: nouveau malware créé, malware distribué, l'échantillon va à votre entreprise AV, analyse de l'entreprise AV, entreprise AV publie une nouvelle signature, vous mettez à jour la signature, vous êtes censé être "sûr", répétez le cycle. Il y a encore une fenêtre où il se propage automatiquement avant d'être «inoffensé».
Idéalement, vous pouvez simplement exécuter quelque chose qui vérifie les modifications de fichiers et vous avertit, comme TripWire ou des fonctionnalités similaires, et conserver les journaux sur une autre machine qui est un peu isolée de l'utilisation, donc si le système est compromis, les journaux ne sont pas modifiés. Le problème est qu'une fois que le fichier est détecté comme nouveau ou modifié, vous êtes déjà infecté et une fois que vous êtes infecté ou qu'un intrus est arrivé, il est trop tard pour croire que la machine n'a pas subi d'autres modifications. Si quelqu'un a piraté le système, il aurait pu modifier d'autres fichiers binaires.
Ensuite, il s'agit de faire confiance aux sommes de contrôle et aux journaux d'intrusion de l'hôte et à vos propres compétences pour tout nettoyer, y compris les rootkits et les fichiers de flux de données alternatifs qui s'y trouvent éventuellement? Ou faites-vous les «meilleures pratiques» et effacez et restaurez à partir de la sauvegarde, car les journaux d'intrusion devraient au moins vous dire quand cela s'est produit?
Tout système connecté à Internet exécutant un service peut être potentiellement exploité. Si vous avez un système connecté à Internet mais ne fonctionne pas avec des services, je dirais que vous êtes très probablement en sécurité. Les serveurs Web n'entrent pas dans cette catégorie :-)