O Firewall do Windows é bom para isso.
Se você estiver acessando o servidor via RDP a partir de um IP estático, você deve limitar 3389 a apenas esse IP. Se não, você deve se certificar de usar uma senha muito complexa. O RDP aberto ao mundo atrai muitas tentativas de força bruta.