これはどのくらいのセキュリティ脅威になりますか？

2種類のリスクがあります。

1. サーバーコードに欠陥がある可能性があります。これはすべてのサーバーの一般的な状況ですが、リモートデスクトップサーバーは比較的複雑であることがわかっているため、SSHサーバーなどよりも悪用可能なバグが多い可能性があります。 Microsoft自身が、中間ステップとして機能する リモートデスクトップゲートウェイ （以前は ターミナルサービスゲートウェイ と呼ばれていた）という追加の製品を提供しています。ゲートウェイはポート443で「通常の」SSLサーバーを実行し、ユーザー認証を実行できますが、実際には処理しないため、本格的なリモートデスクトップサーバーよりもはるかに単純です（したがって、より強力であると見なされます）。リモートデスクトッププロトコル-実際のリモートデスクトップサーバーに転送するだけです。

   リモートデスクトップで発生する可能性のある「欠陥」の中には、特に証明書に関して構成があることに注意してください。基本的なリモートデスクトップサーバーは、さまざまな暗号化レイヤーを使用できます。一部はカスタム、一部はカプセル化SSLです。重要な点は、構成およびのユーザーの処理方法によっては、クライアントがサーバーの証明書を適切に検証できない場合があることです（特に、サーバーの証明書は自動的に生成され、自己署名されています）。その場合、クライアントは Man-in-the-Middle攻撃 に対してオープンです。ここでも、ゲートウェイは、誤って構成するのが難しい非常にWebに似たSSLサーバーモデルを適用するという点で、物事をより頑丈にします。

2. 一致するパスワードを提示することにより、ユーザーがサーバー上でセッションを開くことを許可され、そのパスワードが弱い場合、攻撃者は 辞書攻撃 を実行する可能性があります。これは、可能なパスワードを正しいものが見つかりました。これはonline辞書攻撃であり、大量の「ログイン失敗」イベントによって、このような進行中の攻撃に自動的に気付くことができる場合があります。ただし、攻撃者が成功した場合、攻撃者はマシン上で任意のコードを実行するようになります。ローカルマシンでの特権昇格は機能する傾向があるため（ローカルで悪用可能な欠陥はリモートの欠陥よりもはるかに一般的です）、基本的には失われます。

   弱いパスワードに対する唯一の良い防御策は、より強力なパスワードを選択するようにユーザーを教育することです。緩和策として、リモートデスクトップアクセスを一部の特定のユーザーに制限することもできます。デフォルトでは、ローカルのRemote Desktop Usersグループのメンバーのみがセッションを開くことができます。最初のステップは、マシン上で誰がそれを実行できるかを実際に決定することです（@Hennesが示唆しているように、マシンがドメインコントローラーである場合、そのマシンでセッションを開くことを許可されるユーザーのリストは、管理者;またはあなたはそれを間違っています）。

リモートデスクトップゲートウェイは無料ではなく、追加のマシンが必要になる傾向があります。より安価な代替手段は、 VPNソリューション のように OpenVPN を展開することです（コアソフトウェアはGPLであり、ライセンスは必要ありません）。これは機能的に同等です。ただし、弱いパスワードに対しては何もしません。