Você pode configurar o IPSEC com certificados nas máquinas afetadas, possivelmente em conjunto com a NAP e usar o Firewall do Windows para filtrar o tráfego RDP que está chegando sem criptografia .
Aqui está uma explicação passo a passo de um cenário semelhante à sua solicitação, mas usando chaves pré-compartilhadas em vez de certificados.
Mas lembre-se de que "criar um certificado e copiá-lo para todos os computadores" é uma má idéia por si só - você obviamente deve criar um certificado por cliente e configurar suas regras de acesso adequadamente. Isso garante a confidencialidade de suas conexões, além da possibilidade de revogar certificados à medida que eles são perdidos / divulgados sem interromper as conexões de outras máquinas.
Editar: algo que pode parecer tentador é configurar um Gateway de Área de Trabalho Remota (basicamente um gateway de encapsulamento HTTPS para RDP) e exigir autenticação de certificado de cliente na configuração da conexão SSL através das propriedades do IIS (o Gateway é implementado como um aplicativo ASP.NET no IIS) . No entanto, isso parece não ser suportado pelo Remote Desktop Client - não há como fornecer um certificado de cliente para uma conexão com proxy.