При грамотной прослойке между стулом и монитором достаточно стандартного файервола. А лучше всего win вообще чистым в нет не выпускать, а ставить перед ним Linux/ASA файерволы.
В первую очередь антивирус.
Далее зависит от роли этого сервера.
Если его надо выпускать в интернет - то обязательно firewall, причем крайне желательно неродной.
Если это терминальный сервер - смените стандартный порт RDP на что-нибудь другое.
Если на этот сервер будут заходить от конкретных адресов - настройте firewall так, чтобы он принимал соединения только с этих серверов.
Простой
Средний