L'authentification est peut-être portée par du SSO, soit à travers de NTLM si le proxy est du Microsoft (ça utilise alors un jeton unique lié à la session, le mot de passe n'est jamais connu), soit au travers de NTML+un autre système (comme Kerberos) si le proxy n'est pas du Microsoft... là aussi, impossible de connaître le mot de passe.

Il n'y a peut-être même aucun mot de passe nulle part : les domaines Microsoft permettent l'authentification à l'aide d'un certificat (porté sur carte à puce ou clé USB). C'est au moment de l'ouverture de session que le client Windows génère la clé NTLM utilisée pour le SSO.

Certains systèmes de proxy transparent (peu sécurisés, mais c'était le cas de Kwartz server, par exemple - c'est peut-être toujours le cas, mais je n'ai pas suivi le projet depuis des années) utilisent une annonce via le protocole Ident. Cette annonce ne diffuse que l'identifiant (et le spoofing est trivial), et le proxy n'attend qu'un identifiant sans authentification.

Il faut voir si Microsoft n'a pas de client SSH qui permette ensuite de faire du tunneling, mais j'en doute.