В современных и обновленных системах это практически ни чем не чревато. Злоумышленник слушать трафик сможет только, если у него есть доступ к локальной сети (man-in-the-middle). Снаружи не послушает. Да и с TLS даже из локалки много не послушает.
RDP в любом случае нужно дополнительно обезопасить:
- отключить запись Гостя и переименовать запись Администратора
- включением NLA (Network Level Authentication, какая-никакая защита от простого DDoS, включается в политиках)
- включением RDP over TLS (включается в политиках)
- ограниченным количеством неверно введенных паролей за определенный период времени (включается в политиках)
- ограничением одновременного количества подключений (политики)
- запретом входа по RDP с пустыми паролями (включается в политиках)
- использованием сложных (длинных) логинов
- использованием сложных паролей для тех аккаунтов, кому разрешен доступ по RDP
- запретом сохранения паролей на стороне клиента (политики)
- использованием шифрования на стороне клиента (также в политиках)
- по возможности ограничить фаерволом доступ с определенных IP либо только из VPN.
Все политики можно найти в gpedit > Конфигурация компьютера (Computer Configuration)\ Административные шаблоны (Administrative Templates)\ Компоненты Windows (Windows Components)\ Службы удаленных рабочих столов (Remote Desktop Services).
Конечно также можно дополнительно обезопасится сторонними сервисами типа ЭЦП, токенами или двухфакторной авторизацией по SMS, но это лишнее. Если нужен слишком защищенный RDP, то обычно его порт наружу просто не выставляют -- используют VPN.
Средний
Средний
