Você pode melhorar a segurança substituindo-a por um servidor SFTP ou FTPS.
O FTP é inseguro, pois os detalhes de login são passados em texto simples. Você pode substituí-lo por um protocolo seguro, ou usar apenas contas que você honestamente não se importa se eles estão quebrados (como anônimos), ou exigir que ele seja encapsulado através de IPSec, ou limitar conexões a apenas endereços IP conhecidos (o que é uma segurança muito ruim, mas ei, faça o que você tem que fazer.
Estas são sugestões gerais e algumas boas práticas. "Melhor forma" e "segurança" realmente precisam levar em conta o que você está protegendo, quais são seus requisitos, etc. Você não nos disse uma única das suas exigências ou restrições. Adicione mais alguns detalhes e você poderá obter uma resposta mais útil.
/ edit: você diz
I am concerned with the ftp server being breached and people then being able to access the domain controller.
Para que isso aconteça, deveria haver uma exploração no código do filezilla. Desde que é fonte fechada (AFAIK), poderia haver esse tipo de bug. [edit - isso é incorreto, é GPL. Não significa que não há bugs no codez]. No entanto, se o processo (ou serviço) estiver sendo executado como SISTEMA LOCAL, ele não terá absolutamente nenhum direito sobre o domínio, portanto, se ele for explorado, tudo o que eles podem fazer é eliminar o servidor membro que está executando o Filezilla. É claro que isso lhes dá uma cabeça de praia para tentar ataques contra o seu domínio, mas isso não lhes dá toda a cesta de piquenique imediatamente.
Tenha em mente que isso pode acontecer com qualquer software, não apenas FTP. Se você permitir o acesso da Internet a uma máquina em sua LAN e houver um bug explorável no código, você terá um invasor em sua LAN.
Se você estiver realmente preocupado com isso, coloque-o em uma máquina que não seja de domínio em uma DMZ. Você disse que é muito trabalho; segurança geralmente é.