Wenn auf ein Windows-Server per RDP zugegriffen werden soll gibt es ein paar Möglichkeiten dies abzusichern. Die erste Hürde ist bei einem Domänen-Server-System der Domänenname. Die meisten scheitern schon daran da dieser i.d.R. nicht bekannt ist und nur mit einem Benutzernamen ein Login versucht wird.

1. Einen VPN-Tunnel zum Router aufbauen und darin die RDP-Sitzung ausführen. Sehr einfacht geht das zwischen 2 Fritzboxen aber auch Lancom-Routern. Sehr sicher!

2. Den Standard-Port 3389  der RTP Verbindung am Router anpassen. Somit muss an die Zieladresse der Port angehängt werden. z.B. via DynDNS-Anbieter geheimeip.dyndns.org:3388. Nicht sehr sicher.

3. Anzahl Zugriffe beschränken indem die IP gesperrt wird nach einer bestimmten Anzahl vom Fehleingaben.
Hierzu gibt es ein einfach zu konfigurierendes Programm IPBan. Im Artikel IPBan konfigurieren wird die Funktionsweise erklärt. Sicher, je nach Konfiguration.

4.Anmeldeversuche beschränken und für eine bestimmten Zeitraum sperren.
Lokale Gruppenrichtline des Servers anpassen (gpedit.msc) > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen >Kontorichtlinien > Kontosperrungsrichtlinien
=> "Kontensperrungsschwelle" anpassen und die Zahl auf z.B. 5 stellen. Danach wird die "Kontosperrdauer" und "Zurücksetzungsdauer des Kontosperrungszählers" auf 30 Min. gesetzt. Dies kann natürlich angepasst werden. Recht Sicher, je nach Konfiguration.

5. Anmeldescript am Server das nachdem die Anmeldung erfolgreich war den Client-Namen (PC) ausliest und mit einer erlaubten Namensliste vergleicht. Hier kann noch ein 3. Vergleich durchgeführt werden. Im Artikel "Benutzer prüfen nach RDP-Login" wird die Funktionsweise erklärt Relativ sicher, je nach Konfiguration.

Eine Kombination aus 3 und 5 scheint mir auch recht sicher zu sein wenn es nicht per VPN geht.