Как правило, серверное приложение должно выдать код состояния HTTP 401, чтобы сообщить клиенту информацию для аутентификации. Однако в случае аутентификации Windows после аутентификации пользователя токен кэшируется клиентской системой или браузером и впоследствии используется при необходимости. Таким образом, в вашем случае, даже если вы введете 401, клиент снова отправит тот же токен, поэтому ваша основная проблема злоупотребления необслуживаемым терминалом не будет решена (так как пользователь уже вошел в систему).
Одним из способов может быть имитация проверки подлинности на основе форм из приложения - т. Е. При выполнении конфиденциальных операций снова запросите у пользователя пароль для Windows (обратите внимание, что у вас уже будет имя (идентификатор) пользователя, если вы используете проверку подлинности Windows) а затем повторно подтвердите этот пароль с помощью API-интерфейса активного каталога (или API-интерфейса Windows для входа в систему).
Лично я чувствую, что вы пытаетесь решить проблему на сервере, что является неправильным концом - я бы предпочел ИТ-политику, запрещающую разблокированные необслуживаемые терминалы - либо пользователь должен заблокировать рабочую станцию, либо иметь экранную заставку, защищенную паролем. Как правило, эти вещи могут быть несколько реализованы с помощью групповой политики.