Вам нужно решить для себя, от каких угроз вы собираетесь защищаться. От внешних, внутренних или от всех.
Если от внешних - то однозначно вам нужно настраивать VPN. Да и при любом раскладе этот способ безопаснее.
Если от внутренних, то тут нужно включать параноика.
Если человек из-вне, через VPN ходит на RDP сервер, то значит никуда больше ему ходить не должно. Запрещайте все остальное. Файрвол вам в руки и антивирус на каждую машину.
Но нужно понимать, что любое подключение из вне, каким бы они не было - потенциальная дыра. И ее нужно защищать любыми способами.
Так же нужно ограничивать серверы для внешних подключений. Так как эти серверы тоже считаются не безопасными. А значит в ДМЗ их и запретить им все по максимуму
