Microsoftリモートデスクトップでは、VPNを保護する必要がありますか？

セキュリティの場合と同様に、その答えは「たぶん」です。理論的には、正しく設定されていて、システムを最新の状態に維持している場合、RDPは実際には非常に安全です。おそらく最も安全なシステムではありませんが、ほとんどの用途で十分安全であると見なすことができます（必要に応じて拡張できます）。

RDPで発生する最初の最も関連する問題は、管理者アカウントに対するDOSの可能性です。これは簡単に理解できます。ログオンの失敗回数に制限を設定した場合、誰かがアカウントへのアクセスを試み続け、ロックされたままにすることができます。 unixでは、fail2banを使用してそれが起こらないようにしますが、ウィンドウには同等の機能がありません（ただし、スクリプトから同じことを行う本格的な商用プログラムまで、多くの解決策があります）。別の簡単な解決策は、最初にRDPへの接続を許可するIPアドレスの範囲を制限するか、ユーザーに最初にVPNを経由させることです。別のオプションは、IPSecを使用することです。さらに別の（より優れた）ソリューションは、システムに2要素認証を追加することです。RDP接続にスマートカードを使用するように強制すると、設定が少し難しい場合でも、認証プロセス全体が非常に安全になります。

発生する2番目の問題は、接続のセキュリティです。 RDPを正しくセットアップした場合（つまり、サーバー証明書を正しくセットアップした場合、ネットワークレベルの認証を強制し、RDP over TLSを使用している場合）、リスクはほとんどありません。

この上にVPNレイヤーを追加しても、全体的なセキュリティはそれほど向上しません。別のマシンから実行していると仮定すると、セキュリティが徹底的に向上するため（最終マシンを危険にさらすために、1つではなく2つのシステムを破壊する必要があるため）、追加する価値がありますが、インストールしている場合同じシステム上のすべてのもの、つまり、脆弱性を悪用する別の潜在的な方法を追加することにより、システムの脆弱性の領域を実際に増やします。