Yo sinceramente instalaba un antivirus centralizado,como Trend Micro,y me dedicaba a limpiar toda la red,esos virus te pueden estar jodiendo vivo,relentizando la red,etc etc.
Respecto a lo de las actualizaciones lo que tu comentas se llama WSUS, requiere de un servidor con IIS,SQL Server y bastante espacio en disco.La idea es configurar ese servidor para descargar las actualizaciones y mediante politicas indicar a los usuarios que el servidor de actualizaciones no es Windows Update sino el servidor WSUS.
Te dejo una URL para que le heches un vistazo
http://euitio178.ccu.uniovi.es/wiki/...ar_WSUS_y_MBSA
Un saludo