лучше фаером блокируй, ну и + пароль нормальный с не-дефолтныйми юзерами

есть хорошая программка 2X SecureRDP

Давайте все же плясать от топологии сети, при пробросе трафика со шлюза на локальную машину логичней будет задействовать сам шлюз для фильтрации, иначе в любом случаи нагрузка будет ложиться на ПО.
Так как сама политика блокировки учётных записей не снизит основную нагрузку (это не значит, что ей стоит пренебрегать) логичней в данном случаи будет перебросить ответственность на уровень ниже, "фаерволл". Windows Firewall и IPSec, в обоих случаях присутствует поддержка возможности фильтрации трафика, в том числе и по определённому порту, а так же работа с диапазонами заданных адресов.
Изначально проблема в том, что брут идет по причине прослушивания стандартного RDP-порта, так что в рамках хорошего тона для службы стоит сменить стандартный порт, а так же переименовать имя учетной записи администратора, что решает в большинстве случаев суть вопроса.

а где можно сменить порт рдп? и как фаерволом настроить правила?

дома стоит kis9 , добавляешь mstsc.exe и уже в параметрах указываешь, что тебе нужно

Microsoft Knoledge Base: 306759 304304 187623

REG ADD /?
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Termina l Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 123 /f

netsh firewall help
netsh firewall add portopening TCP 3389 "Remote Desktop" enable CUSTOM 6.6.6.6/255.255.255.0
Так же настройка WF доступна через групповые политики (Computer Configuration - Administrative Templates - Network - Network Connections - Windows Firewall).

Любой вменяемый администратор запретит доступ учетной записи administrator(причем заранее переименованной) использовать терминальный доступ.Для этого есть группа с минимальными правами или она так для вида создана.И откуда взяли учетные записи по которым брутят.Политика блокировки учетных записей тоже применяется не плохо,если имеется ввиду Dos ,то откуда происходит утечка учетных записей.

Спанч, я у тебя кога-то спрашивал и ты говорил, что это можно реализовать сертификатами.
Я же никогда рдпхи на шлюзе не открываю, только после впна. а впн брутить... удачки...

Можно и с помощью сертификатов реализовать аунтефикацию.Подробней тут:
http://www.petri.co.il/securing_rdp_communications.htm
http://technet.microsoft.com/en-us/library/cc782610(WS.10).aspx
http://articles.techrepublic.com.com/5100-10878_11-6166676.html