Você pode tentar converter o servidor para executar o Server Core, removendo a maior parte da GUI. Ele abaixará a superfície de ataque e, como um bônus extra, você precisará de menos patches para se manter seguro. Nem todos os aplicativos suportam isso, no entanto.
O Firewall do Windows ficou muito bom com o passar dos anos e você pode criar regras extremamente restritas com as configurações avançadas do firewall. Eu faço não acreditar que deixar o RDP aberto para a vida selvagem é menos seguro do que deixar a VPN aberta para a natureza. Ambos são conexões criptografadas, e ambos podem ser facilmente contornados por ataques de força bruta.
Uma maneira de evitar a maioria dos ataques de bruteforce do RDP é alterar a porta de escuta do RDP no registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
Certifique-se de adicionar regras de firewall para permitir o tráfego RDP na porta personalizada antes de aplicar as alterações!
Também sugiro que você crie uma nova conta de administrador (se ainda não tiver) com um nome de usuário aleatório, use uma senha strong muito e desative a conta "Administrador" interna.