O artigo Protegendo a área de trabalho remota (RDP) para o sistema Administradores lista estas dicas:
- Use senhas strongs
- Atualize seu software
- Restringir o acesso usando firewalls
- Ativar autenticação no nível da rede (ativado por padrão para o Windows 10)
- Limitar usuários que podem fazer login usando a Área de Trabalho Remota (o padrão é todos os administradores)
- Definir uma política de bloqueio de conta (bloquear uma conta após um número de palpites incorretos)
- Alterar a porta de escuta para a Área de Trabalho Remota (o padrão é TCP 3389)
- Não use outros produtos como VNC ou PCAnywhere
Para sua pergunta sobre autenticação de dois fatores, Eu não acredito que isso exista no Windows 10 Pro, somente no Windows Server.
O artigo As 5 melhores alternativas para o Google Authenticator lista seis produtos que têm um plano livre (mas também pagos): Autenticador Google, Authy, Duo, OTP HDE, Autenticador Plus, Autenticador de Login de Som. Eu nunca usei esses produtos, então não sei como são úteis para você.