Credential Guard está diseñado para proteger las credenciales derivadas que pueden usarse para moverse lateralmente entre dispositivos. Esto resulta tener un impacto real práctico en los ataques porque aumenta el nivel de sofisticación requerido. Eso no lo hace perfecto, pero lo hace bastante bueno.
Para que Credential Guard proteja las credenciales, debe comprender cómo se debe usar la credencial. Eso lo limita a las credenciales utilizadas para la autenticación de Windows. No hay forma de razonar sobre qué tipo de credencial genérica se utiliza para otro , por lo tanto, no puede saber cómo puede usarse y, por lo tanto, no puede protegerla. Credential Guard podría simplemente bloquear la recuperación de contraseñas, pero hacer cosas como esas tiene una tendencia a enojar a los desarrolladores de aplicaciones (y usuarios) que escucharon a Microsoft y están haciendo lo correcto y no a hacer sus propios cachés de credenciales porque rompen algo que se considera relativamente seguro.
Pero nuevamente, en este caso, las credenciales Windows en caché están protegidas. No tienes acceso a las credenciales en bruto; solo obtiene un ticket para el servicio remoto en nombre de esas credenciales. Solo puedes acceder a ese servicio, no puedes tomar ese ticket y acceder a lo que quieras. Esto rompe el movimiento lateral. Esta es también la razón por la que la delegación sin restricciones no funciona.
Si esto es aceptable o no, es una cuestión de si usted piensa que el inicio de sesión único es bueno. No obtiene el SSO si un usuario no puede solicitar un ticket a un servicio remoto, y no hay manera de distinguir entre un usuario real que se ejecuta como una cuenta o un usuario malvado que se ejecuta como otra cuenta.
Para completar, también está la caché de inicio de sesión que se usa para validar los inicios de sesión interactivos, pero eso tampoco almacena credenciales en bruto. Todo lo que almacena es un hash utilizado para validar las contraseñas entrantes.