Alguns anos atrás, o RDP estava vulnerável a um ataque man-in-the-middle em que um invasor poderia atuar como um servidor RDP, mas direcionar todo o tráfego para o servidor real. O cliente RDP não reclamaria que o invasor não era o verdadeiro servidor RDP. Assim, o atacante pode assistir a todo o tráfego. Uma correção foi lançada para o cliente RDP que surgiu em torno do lançamento do Vista (v6).
O RDP usa criptografia ( RC4 ) na versão 6 +. O RC4 pode ser vulnerável, mas existem maneiras de torná-lo mais seguro. Há uma leitura interessante no RC4 e no RDP por um grupo de "segurança" ( PDF ).
Você pode sempre encapsular via SSH, não vai te comprar muito além de fornecer uma camada extra de segurança. Pessoalmente, eu me certificaria de que o cliente e o servidor estivessem pelo menos reclamados com o RDP v6 (acredito que o Windows Update atualiza o cliente do XP, portanto, 2003 deve estar ok). Além disso, com base na experiência pessoal de tentar fazer com que o SSH funcione no Windows, eu apenas usaria o RDP direto.