Credential Guard штука интересная, да только работает на Enterprise лицензии ОС, и еще плюс: TMP 2.0, Secure Boot, GPT -разметка. Примечательно, что при нормальном рабочем CG в системе появляется изолированный процесс с новым названием Lsaiso.exe. А еще забавнее, что уже начали появляться эксплоиты под эту защиту. К рекомендациям по защите можно добавить использование смарт-карты с механизмом динамического добавления группы в зависимости от шаблона сертификата пользователя. Т.е. к токену авторизации пользователя добавляется группа Domain admins, если он авторизовался по сертификату, который выдан по соответствующему шаблону (как настроишь), а если без смарт-карты, ну не выставил галку "требовать" или pass-the-hash, то пользователь будет без этой группы. По такому принципу работает AuthLite с токенами Yubikey. Еще можно добавить про RPC фильтр для запрета эксплуатации принуждения к авторизации. А про разделение учётных записей на 3 уровня (Доменный, серверный, пользовательский администратор) можно добавить, чтобы на компьютере админа домена, в группе локальных админов были только локальные учётные записи, для защиты от горизонтального перемещения.