A instalação do MS Office 2007 em um servidor Windows Server 2003 torna o servidor mais vulnerável?

Não é tão preto e branco.

Tecnicamente, você está aumentando seu risco adicionando serviços e aplicativos que podem ser comprometidos. E você precisa consertar as instalações do escritório, portanto, isso adiciona sobrecarga. Se você está querendo contrariar a avaliação, provavelmente precisará fazer uma avaliação de risco e apresentar as descobertas e atenuações. Certifique-se de ponderar o valor do pedido em relação ao risco / impacto de ter esses itens instalados.

Exemplos de como mitigar alguns dos riscos.

1. se o servidor for interno, o risco de ser comprometido é menor do que se for exposto à internet.
2. você pode restringir o acesso aos bits bloqueando quais contas podem executar os aplicativos ou acessar as DLLs, etc. Isso reduz o risco de que uma conta de usuário de domínio aleatório possa acessar e explorar o aplicativo.
3. Juntamente com o Item 2, se possível, você também pode restringir o servidor a comunicar apenas com certos IP's, sub-redes, etc.

Isso pressupõe outras coisas, como o servidor já está sendo executado no modo menos privilegiado e endurecido apropriadamente, você está usando Defesa em Profundidade, etc.

Sim, é verdade.

Cada software que você instala em um servidor aumenta o número de potenciais vetores de ataque naquele servidor. E o Office é um pacote particularmente grande e cheio de aplicativos que vem com muitos patches de segurança, atualizações e explorações.

O MS Office é muito útil para ter em sua estação de trabalho, mas você nunca deve instalar o Office em um servidor. Se você realmente precisa que sua empresa funcione, então certifique-se de instalar somente as partes que você absolutamente precisa.