Saludos!

Estoy haciendo algunas pruebas de auditoría con metasploit en windows 10. La mayoría de los exploit los detecta el antivirus (Windows Defender) así que por ese lado no hay problemas de ser atacado si tengo el antivirus activado, pero se que hay alguno que otro exploit que puede burlar la mayoría de los antivirus, asi que me gustaría que compartieran sus experiencias o bien me dieran algunos consejos para mantener windows 10 lo mas seguro posible.

Se infectó una vez que tu supieras* hay muchas paginas web que te hacen correr código malicioso. Y no hablo de webs en plan pokerjqueuqbeuqjqPUNTOuwuwhd... Hablo de webs oficiales como movistarPUNTOcom gobiernodeXPUNTOcom etc. Yo he accedido personalmente a los servidores de alguna de estas páginas y te sorprederías de la de códigos maliciosos y poco éticos, así como las fallas de seguridad, ya que muchos de estos servidores web están hechos por autoproclamados EXPERTOS en seguridad, que en realidad es el primo de no se que funcionario que tiene un ciclo medio y se dedica a trabajar para páginas importantes sin saber lo que hace. A parte pone el nombre de su empresa de desarrollo web en las páginas que gestiona, por lo que puedes seguirle la pista y vulnerar todas estas páginas, ya que comete los mismos fallos en todas ellas.
A cerca de los antivirus, la mayoría te los puedes saltar simplemente cifrando y comprimiendo los ejecutables con herramientas que un niño de 10 años sabría utilizar.
Los datos personales son realmente valiosos, y se comercializa activamente con ellos. Da igual lo ínfimo que te creas, con tener un carnet de identidad, una cuenta en una red social, un correo electrónico, o simplemente un equipo online, eres lo suficientemente valioso para que cualquiera quiera atacarte. Desde incluir tu correo en una base de datos para hacerte spam, hasta usar tu documento de identidad para hacer compras anónimas de hardware, conseguir un número de teléfono en un ISP usando tus datos, o suplantar tu identidad para robar datos de conocidos mediante ingeniería social. Usar tu hardware en una botnet para realizar ataques... Etc, etc, etc.
Todo esto puede reportar cuantiosos beneficios económicos al atacante. Ya sea vendiendo tus datos a 3° o utilizándolos directamente para sacar algún beneficio directo.

Lo peor es que no existe una manera real de protegerte 100%. Lo único que puedes hacer es utilizar estos mismos métodos para que se sepa el mínimo de información personal tuya en la red. Pero en realidad lo que estás haciendo es cambiando quien sabe la información sobre ti y no cuanta información. Ya que nadie nace aprendido y toda la data que has creado en el pasado siempre estará ahí para que alguien te siga la pista.

No puedes analizar la seguridad de un servicio según "las estadísticas."

A good VPN will also protect you from malware on public networks, but not every service is up to the task. White has also complained that many VPNs — including relatively well-known services like NordVPN, IPVanish, and PureVPN — connect their users using a single pre-shared key, which someone who controls a Wi-Fi network could use to decrypt their traffic.

A parte de simplemente usar un VPN tienes que tomar muchas otras medidas de seguridad. De poco sirve que te digan que no guardan tu IP en el servicio cuando en las propias políticas te dicen que guardan toda la información con la que accedes al dominio antes de conectarte a su propio VPN. A parte de que la gran mayoría de VPN colaboran con la ley. Así que si detectan alguna actividad maliciosa desde sus servidores, tendrán que decirles quien es el cliente del servicio. En caso contrario se les acusará de "cómplices" o de interferir con una investigación policial/gubernamental.
Al final da igual lo que te cuenten. Si quieres un servicio fiable necesitas tu propio servidor VPN.