[Ivan Bardeen]

1. Любой, на сервера только антивирус не ставьте
2. Если ресурсы у вас даны в общий доступ централизованно, т. е. есть файл-сервер (только на нем расшариваются папки) print сервер, куда подключены все принтера конторы, то брандмауэр я бы оставил, настроив через политику исключение для раб. станции администратора
3. Для настройки политики безопасности уже придуманы шаблоны (они есть в системе), например High Security Workstation hisecws.inf, как его применить для раб станции через GPO - предлагаю почитать, перед применением, нужно выяснить что за ПО установлено на раб. станциях и протестировать на совместимость с этим шаблоном.