(Editado por comentários):
Como observado, o RDP geralmente não deve ser diretamente exposto na Internet pública. Limitar essa exposição pode ser feito de várias maneiras, simplesmente bloqueando o acesso à porta 3389, exceto por VPN, ao uso do Gateway RD para uma solução mais avançada. Se você tiver um IPS ou IDS + Firewall que ofereça suporte a ele, poderá usá-los para bloquear hosts com falhas repetidas de login.
Para proteção interna de força bruta, você pode definir políticas de bloqueio na Política de segurança local. Existem configurações para duração do bloqueio de conta, limite de bloqueio de conta e quanto tempo esperar antes de redefinir um bloqueio.
Você pode usar secpol.msc para modificar essas configurações: secpol.msc - > Configurações de segurança - > Políticas de conta - > Política de bloqueio de conta.