A modo de resumen os cuento que he ido migrando todos los PC's a Windows Defender, más media hora de concienciación sobre peligros y riesgos en internet (que espero repetir una vez al año, dependiendo de los clientes).
También bloqueo IE y Edge (a excepción de los que necesitan Administración Electrónica). El uso de USB está bastante restringido.
En la red principal, está activado OpenDNS (free, restricción media + lista de sitios)
Windows Defender es verdaderamente ligero, los PC's apenas hay carga adicional. Y funciona en S7ven y 10, sin necesidad de Securiry Essentials (no tengo nadie con windows
Y la verdad es que en más de 30 PC sólo ha habido dos "sustos".
Esto no quiere decir que sea mejor o peor, más o menos efectivo, simplemente relato los hechos, por si os parece interesante. En otros entornos, es posible que esta información no valga para nada.
Gracias por todos los comentarios.