Credential Guard ha lo scopo di proteggere le credenziali derivate che possono essere utilizzate per spostarsi lateralmente tra i dispositivi. Questo risulta avere un reale impatto pratico negli attacchi perché aumenta il livello di sofisticazione richiesto. Ciò non lo rende perfetto, ma lo rende piuttosto buono.
Affinché Credential Guard possa proteggere le credenziali, è necessario capire come deve essere utilizzata la credenziale. Ciò limita le credenziali utilizzate per l'autenticazione di Windows. Non c'è modo di ragionare su quale sia il tipo di altro tipo di credenziale generico usato, quindi quindi non può sapere come può essere usato, e quindi non può proteggerlo. Credential Guard potrebbe semplicemente bloccare il recupero delle password, ma fare cose del genere ha la tendenza a far incazzare gli sviluppatori di app (e gli utenti) che ascoltano Microsoft e stanno facendo la cosa giusta e non facendo rotolare le proprie credenziali perché interrompe qualcosa che è considerato relativamente sicuro.
Ma ancora, in questo caso le credenziali Windows memorizzate nella cache sono protette. Non hai accesso alle credenziali non elaborate; ricevi solo un biglietto per il servizio remoto per conto di tali credenziali. Puoi accedere a quel solo servizio: non puoi prendere quel biglietto e accedere a quello che vuoi. Questo rompe il movimento laterale. Questo è anche il motivo per cui la delega non vincolata non funziona.
Se questo è accettabile o meno, dipende dal fatto che tu pensi che l'accesso singolo sia una buona cosa. Non si ottiene SSO se un utente non può richiedere un ticket a un servizio remoto e non c'è modo di distinguere tra un utente reale eseguito come un account o un utente malvagio in esecuzione come account.
Per completezza c'è anche la cache di accesso che viene utilizzata per convalidare gli accessi interattivi, ma che non memorizza nemmeno le credenziali non elaborate. Tutto ciò che memorizza è un hash utilizzato per convalidare le password in entrata.