Для защиты от внешних атак на сервер конечно лучше поднять VPN, он станет дополнительной линией обороны. Злоумышленнику придется сначала прорваться через него, и потом уже атаковать сервер. Подразумевается, что через VPN доступен будет сервер и только он, иначе в случае взлома VPN опасности подвергнется вся локальная сеть.
Я так понимаю, у вас стоит задача обезопасить сервер в первую очередь от атаки со стороны пользователей, а при подключении в VPN сервер им станет доступен всеми открытыми на нем портами и запущенными сервисами?
Тогда можно защищать сервер файерволлом. А еще можно дополнительно защитить его "внутренним" шлюзом, и там уже пробросить порт RDP. Таким образом: пользователи сначала подключаются шлюзу по VPN, им становится доступен внутренний шлюз, на котором проброшен RDP порт от сервера.
Вирус-шифровальщик так все равно не победить, пользователь может запустить его непосредственно на терминале. И зашифрует свои файлы. От этого бекапы помогут в первую очередь, на антивирус полностью полагаться в данном случае не стоит.