O RPC Endpoint Mapper (porta 135) definitivamente não é exigido pelo RDP, e é perfeitamente razoável (e sugerido) bloqueá-lo em um firewall para que os hosts não locais não tentem enumerar e explorar os serviços.
Eu só digo isso com certeza porque eu tenho muitos hosts configurados assim, e na verdade apenas testei para ter certeza que eu não estava louco; -)