Самое первое - смените порт RDP (пробросьте на роутере на стандартный).
Это спасёт, но частично и не ото всех.
Второе - выставляйте блокировки через 2 неправильные попытки входа. Они должны срабатывать.
Третье - постарайтесь выставить допустимые диапазоны IP, с которых можно подключаться, если это возможно.
Четвёртое - выставьте пользователям нормальные длинные пароли.
Пятое - заблокируйте на роутере в файрволле диапазоны IP-адресов сканеров, они точно есть в открытом доступе. Опять же, спасёт не ото всех.
Если все пункты выполнены, то активность сканеров упадёт процентов на 80, а на остальных можно положить болт, это нормально.