Eu realmente recomendo investir em um firewall de hardware para fornecer um buffer da Internet. Com isso, você pode configurar um túnel IPSec entre o seu escritório e o recurso colo (terminando no firewall, não no Windows Server) e permitir somente o acesso "local" (ou seja, a LAN do seu QG) à Área de Trabalho Remota (tcp 3389).
O Firewall do Windows é muito melhor do que era, mas um Windows Server voltado para a Internet é meio assustador na minha opinião.
Como no próprio sistema operacional Windows: 2008 (e, em particular, o IIS 7.x) é muito mais seguro que o Windows 2003, já que muitas das funções e recursos não são ativadas por padrão.