[WindowsNT]

В описании не указаны ещё пара пунктов:
- вовремя устанавливаются обновления на операционную систему, приложения и аддоны;
- разрешения NTFS не позволяют стандартному пользователю писать в папки приложений;
- чистые руки Администратора, который не скачивает абы что абы откуда.
Впрочем, вы полное описание настроек уже читали.

Мой опыт работы в указанной вами конфигурации: 10+ лет (да, Апплокеру меньше 10, но SRP встроено в XP с конца 2001 года). На объёме сети около 1000 компьютеров вирусов нет. Но я защищаю Апплокером и Администратора тоже, ведь администратор — самый опасный пользователь!

За отдельно взятые дыры Апплокера я бы пока не стал бояться. Почитал описание — для эксплуатации конкретно той уязвимости требуются "специальные манипуляции". Таких макросов in the wild ещё никто не регистрировал ни разу, полагаю. Зато макросы по умолчанию уже давно не запускаются.

У антивирусных программ дыр на порядки порядков больше, а процент успешного отлова новых вирусов традиционно крайне низок. Практически все громкие эпидемии прошлись по компьютерам, на которых был антивирус, но не было whitelisting, это факт.