Доступ снаружи ТОЛЬКО через VPN, как это реализовать - надо смотреть на месте. НИКАКИХ пробросов портов - это не помогает, поймали шифровальщика через перенаправленный порт в конце декабря. В политиках настроить блокировку учетных записей после нескольких попыток неправильного ввода пароля - у меня после 6 попыток на 30 минут - настраивается за несколько минут, проверено - работает, ну и пароли желательно посложнее.
Выделение адресов, с которых можно подключаться - не вариант, появятся удаленные сотрудники - а они могут подключаться с любого адреса.