[wertyg]

1 - терминальный доступ и доступ к рабочему столу это одно и тоже, это я так к слову.) открой в брендмауэре доступ к уРС для всех, а именно галку ЛюбойКомпьютер. т.к. толькоЛокалка и особыйСписок тебе не подходит. вот и всё. если ты закроеш все порты кроме удРабСтола и тех которые нужны для твоего ПО то в принципе твой сервак практически не будет видно. на пинги он отвечать небудет. для того чтоб просканить порты нужно точно знать что он существует. сетевая безопасноть уРС будет зависить от стойкости пароля на вход. если он будет недостаточно сложный его возможно набрутить. сделай его по возможности сложным. напоминаю терминал открыт для инета - пароль должен быть сложный! 12 символов думаю будет достаточно. не в коем случае не цифры только.
2 - также(опционально) запрети учётке администратора заходить через УРС. а себе создай пользователя с пользовательскими правами. заходи через него и запускай от имени. итого имеем сложный пароль на вход через УРС для пользователя. сложный пароль административной записи.
3 - также(опционально) включи аудит входа в систему и аудит событий входа в систему на параметры успех\отказ. после чего в журнале безопасность будет видно кто пытался к тебе зайти у кого получилось у кого нет.) наведывайся, смотри.

з.ы запретить администратору заходить через урс - делается тут пуск-администрирование-локальнаяПолитикаБезопасности-локальныеПолитики-назначениеПравПользователей:ЗапретитьВходВсистемуЧерезСлужбуТерминалов и добавь туда учётку Администратор.
аутит тамже.

з.з.ы. мот кто нить что добавит?