这个问题提得很到位——结合你现有环境的情况（LAN-to-LAN IPsec VPN、标准用户为主、仅一个管理员账号用于用户管理），我来梳理下配置Microsoft远程访问时必须关注的安全要点：

既然已经有LAN-to-LAN IPsec VPN连接两栋建筑，绝对不要把远程桌面端口暴露到公网：

• 在Draytek 2860路由器上，禁止将远程桌面默认端口（3389）映射到公网，仅保留VPN子网内的访问权限；
• 在目标PC的Windows防火墙中，修改远程桌面允许规则，仅放行VPN另一端子网的IP地址，拒绝所有其他来源的连接请求；
• 进一步细化VPN规则：在路由器上设置仅允许VPN侧的特定IP（而非整个子网）访问目标PC的远程端口，遵循最小权限原则。

你的环境里只有一个管理员账号用于用户管理，必须严格隔离远程登录的账号权限：

• 绝对不要用唯一的管理员账号进行远程登录：创建一个专门的标准用户账号（如果远程操作需要管理员权限，就创建一个仅用于远程访问的受限管理员账号），这个账号只用于远程桌面登录，不参与日常用户管理；
• 给远程账号设置高强度复杂密码：12位以上，包含大小写字母、数字、特殊字符，定期更换；
• 通过gpedit.msc打开本地组策略，在「计算机配置→Windows设置→安全设置→本地策略→用户权限分配」中，修改「允许通过远程桌面服务登录」的用户列表，仅添加这个专门的远程账号，移除所有其他账号；
• 强制启用多因素认证（MFA）：给远程账号绑定Microsoft Authenticator或第三方MFA工具，即使密码泄露，没有二次验证也无法完成登录，这是阻挡暴力破解的核心防线。

调整Windows远程桌面的默认设置，提升防护等级：

• 修改默认远程端口：虽然在VPN内，但修改默认的3389端口可以减少内部扫描风险。打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，修改PortNumber为49152-65535之间的随机高端口，同时更新Windows防火墙的对应规则；
• 确保网络级别认证（NLA）已开启：在系统属性→远程设置中，勾选「允许运行使用网络级别认证的远程桌面的计算机连接」，NLA会在建立连接前先验证用户身份，避免恶意连接消耗系统资源；
• 关闭不必要的远程桌面功能：比如禁用剪贴板共享、驱动器映射等非必需的功能，减少攻击面。

利用已有的安全工具强化防护：

• 检查AV软件的远程桌面防护模块：开启暴力破解拦截、异常登录检测功能，设置规则——当出现5次以上登录失败时，自动锁定账号15分钟并触发报警；
• 定期更新VPN密码：虽然是随机生成的唯一密码，仍需每3-6个月更换一次，避免长期使用导致泄露风险；
• 确保AV软件实时更新病毒库，远程访问期间AV的实时监控保持开启状态，防止恶意软件通过远程连接植入。

建立监控和响应机制，及时发现异常：

• 开启远程桌面日志监控：在Windows事件查看器中，关注「安全」日志里的事件ID 4624（登录成功）和4625（登录失败），定期排查是否有异常IP的登录尝试；
• 设置自动化报警：通过任务计划创建规则，当出现连续多次登录失败时，自动发送邮件通知管理员；
• 准备应急方案：一旦发现异常登录，立即通过管理员账号（仅在本地或VPN内的安全设备上操作）远程锁定目标PC，或在Draytek路由器上临时关闭VPN的访问规则，切断恶意连接。

内容的提问来源于stack exchange，提问作者sam