O RDP pode usar a criptografia RC4 de 128 bits. Pelo que entendi, o RC4 não é considerado tão forte quanto o AES para o mesmo comprimento de chave, mas não sou criptógrafo. Esse recurso está presente desde o XP, mas não é necessário. A política de grupo padrão permite criptografia mínima ou inexistente para compatibilidade. Infelizmente, até o Server 2003 SP1, enquanto estava criptografado, não havia autenticação da conexão porque ela usava uma chave privada codificada. (Não estou me referindo ao prompt de login depois que uma conexão foi estabelecida, mas durante a tentativa de conexão.) Isso significa que você não pode ter certeza de que está realmente conversando com o servidor RDP real. Você pode estar sujeito a um ataque intermediário no qual acaba de negociar uma conexão criptografada com terceiros mal-intencionados que estão descriptografando tudo e depois criptografando-o novamente para enviar ao servidor real. Isso só pode acontecer no contato inicial. Se você realmente conectou e negociou a criptografia com o servidor real, estará seguro, pelo menos até tentar se conectar novamente. A partir do Server 2003 SP1 e Vista, o TLS foi adicionado e um certificado é gerado automaticamente usado para assinar o handshake de conexão. Você ainda precisa aprender qual é o certificado, mas ele pode ser armazenado para verificar conexões futuras. Idealmente, o certificado será assinado pela autoridade de certificação interna do seu domínio, mas, na falta de uma PKI, você ainda pode estar sujeito à intermediação na primeira conexão, a menos que verifique a impressão digital.