Si implementas Windows XP en las máquinas clientes, su simil en servidores és el Windows 2003 Server, la mejor seguridad que puedes tener respecto al exterior és no tenerlo conectado a internet, ya que no es necesario si es una aplicación para la LAN. Para que nadie se pueda conectar desde el interior configura el protocolo IPSec, que permite conexiones seguras en LAN con certificados de seguridad, de esta forma nadie que tu no quieras se podrá conectar, aunque falsen direcciones IP o MAC.
Pero en una LAN el principal peligro siempre son sus propios usuarios, ya sea malintencionadamente o por error de estos. Utiliza una buena política de directivas de seguridad y no les des más permisos de los necesarios para ejecutar las aplicaciones, borrar archivos, conexiones remotas.
Si deseas protección del exterior, implementa un firewall, por software (ip tables) o por hardware.
Antivirus puedes utilizar versiones corporativas, que lo instalas en el servidor y analizan las máquinas clientes como el Norton Antivirus Corporate Edition, o antivirus en cada máquina como el BitDefender.
El antispyware que mas me gusta es el de Microsoft, hay una versión beta que puedes probar, descargandotela de su web
www.microsoft.com.
Más protecciones para una LAN pequeña o mediana no creo que necesites.
Un saludo