Como suele ocurrir con la seguridad, la respuesta es "quizás". En teoría, si la configuración es correcta y si mantiene su sistema actualizado, RDP es bastante seguro. Posiblemente no sea el sistema más seguro disponible pero aún así puede considerarse lo suficientemente seguro para la mayoría del uso (y puede extenderse si es necesario).
El primer y más importante problema que encontrará con RDP es el potencial de DOS en su cuenta de administrador. Este es fácil de entender: si ha configurado un límite para el número de intentos fallidos de inicio de sesión, alguien puede seguir intentando acceder a su cuenta y mantenerla bloqueada. En Unix, usaría fail2ban para evitar que eso suceda, pero no hay un claro equivalente en Windows (aunque hay muchas soluciones, desde scripts hasta programas comerciales completos que harán lo mismo). Otra solución simple es limitar el rango de direcciones IP que podrán conectarse al RDP en primer lugar u obligar a los usuarios a pasar primero por una VPN. Otra opción es usar IPSec. Otra solución (y mejor) es agregar autenticación de 2 factores a su sistema: exigir el uso de una tarjeta inteligente para la conexión RDP hace que todo el proceso de autenticación sea muy seguro, aunque un poco difícil de configurar.
El segundo problema que vas a encontrar es la seguridad de la conexión. Si ha configurado RDP correctamente (es decir, ha configurado un certificado de servidor correctamente, está forzando la autenticación a nivel de red y está utilizando RDP sobre TLS), entonces hay poco riesgo.
Agregar una capa VPN encima de esto no agregaría mucho a la seguridad general. Suponiendo que lo ejecute desde otra máquina, todavía sería una buena adición, ya que mejoraría la seguridad en profundidad (porque para comprometer la máquina final, tendría que romper dos sistemas en lugar de uno), pero si está instalando todo en el mismo sistema, en realidad aumenta el área de vulnerabilidad del sistema agregando otra forma potencial de explotar la vulnerabilidad.