Normalmente, o hash da sua senha é deixado quando você faz logon ou RDP. Portanto, se você estiver usando sua conta de administrador em sua estação de trabalho, seu hash de senha estará lá. Da mesma forma, quando você RDP para um servidor (exceto para o sistema operacional mais recente), o seu hash é deixado lá. Esse problema é atenuado na base de código do sistema operacional Windows 10 (Server 2016). Você deve ter um servidor admin e não fazer logon com direitos elevados de domínio para sua estação de trabalho. Você não quer estar usando e-mail nem navegando na Web usando direitos elevados ou de uma estação de trabalho na qual rotineiramente eleva ou efetua logon com permissões elevadas.
Você pode RDP para o servidor admin e administrar a partir daí. Se você estiver usando o PowerShell para se conectar aos sistemas remotos, não estará saindo como hash. Se você estiver usando um cartão inteligente, poderá virar o bit do cartão inteligente duas vezes para invalidar o hash de senha atual.
Você também pode considerar o uso do LAPS para colocar uma senha de manutenção aleatória do sistema nas estações de trabalho do Windows. O LAPS é gratuito da Microsoft. Isso evita que o problema de um único comprometimento da estação de trabalho derrube todas as estações de trabalho e, se você se conectar com a senha do administrador local da máquina, qualquer comprometimento será limitado. A desvantagem de usar a senha do administrador local é a auditoria e talvez seja necessário ativá-la por meio de um GPO.