Você pode querer ajustar suas expectativas, pois o invasor de hoje tem mais vantagem do que você imagina.
Qualquer máquina com Windows que tenha sido comprometida, qualquer um que tenha efetuado logon nessa máquina, seu token permanecerá na memória até que a máquina seja reiniciada. É possível, e é amplamente conhecido há vários anos, comprometer os tokens da memória e representar essas contas. Esses tokens comprometidos podem ser usados para atacar outros sistemas na rede com essas credenciais.
Também é importante notar que, embora os tokens do Kerberos tenham uma expiração, os tokens do processo do Windows não - eles são indefinidos. Essa foi uma decisão de design particularmente curiosa, já que os tokens de autenticação têm um campo de expiração, mas não são usados pelo Windows.