Самое первое - смените порт RDP (пробросьте на роутере на стандартный). Это спасёт, но частично и не ото всех. Второе - выставляйте блокировки через 2 неправильные попытки входа. Они должны срабатывать. Третье - постарайтесь выставить допустимые диапазоны IP, с которых можно подключаться, если это возможно. Четвёртое - выставьте пользователям нормальные длинные пароли. Пятое - заблокируйте на роутере в файрволле диапазоны IP-адресов сканеров, они точно есть в открытом доступе. Опять же, спасёт не ото всех. Если все пункты выполнены, то активность сканеров упадёт процентов на 80, а на остальных можно положить болт, это нормально.