Как написали выше - рдп доступный извне это плохо. Но если никуда не деться, то сменить стандартный порт (3389) на внешнем интерфейсе, на другой и просто форвардить. Так же не использовать стандартные учетки типа Administrator, admin, root, ну и настроить количество неудачных попыток входа, в групповой политике.