а контора у вас не круглосуточно в сети (в смысле выделенки)? Если да, то удаленного рабочего стола хватит...

почему нет? ну можно порт перевесить повыше. Имея доступ к окну с запросм пароля много не сделаешь

а базового шифрования RDP-трафика вполне достаточно...

ага, есть такое:
http://www.xakep.ru/post/26861/default.asp
но:
1) нужен предварительный arp или dns-спуфинг (это снимает угрозу попадания на робота, который тупо сканит инет и ломает всех подряд). Атака если будет, то "персональная"
2) атака должна производиться в то время, когда идет сеанс связи, точнее, надо перехватить его с самого начала.
Оба пункта вместе = спуфить надо постоянно либо в те часы, когда есть вероятность, что по RDP полезут на сервер. Это тяжко, т.к. надо еще и не засыпаться.

Далее. Технология атаки предполагает, что надо эмулировать клиента для сервера и сервера для клиента. Т.е., полноценный транслятор терминального трафика. Ладно, допустим, таковой создан (завтра поищу).

Согласен, что есть вероятность. Но в этом плане скорее должен волновать вопрос о других протоколах, скажем, POP3/IMAP. Тут атакующий сольет себе все вместе с паролями. Т.е., другими словами, в отношении MITM-атак RDP-протокол не более уязвим, чем тот же POP3.
Еще: хорошо, пусть все серьезно. RDP внутри сети вы тоже по защищенным каналам пустите? Просто если сеть серьезная, то угроза там точно такая же, а спуфинг реализовать легче.

Кроме того, пустить через себя RDP-трафик - еще не все. Надо его распотрошить.

Т.е. RDP можно считать условно защищенным, если повесить порт в верхний диапазон и организовать блокирование хостов при попытке сканирования портов.

На практике в общем случае альтернативы не вижу, т.к. есть еще необходимость врубать в сеть мобильных клиентов с gprs, а там gre-пакеты VPN'а режутся + трафик становится умопомрачительным.

Я к чему все это: ага, протокол уязвим. Но если принимать всерьез эту уязвимость, то надо завинчивать гайки по-полной, т.е. тогда уж и за другие протоколы браться. Т.е. взлом по RDP требует некоторых инвестиций, размер которых заставляет задуматься о более простых способах.

автор вроде как и есть админ.
имхо самое простое - удаленный рабочий стол (ну, если можете себе позволить VPN - замечательно) или radmin. Если страшно - ставить защиту от спуфинга и/или порт прятать+защита от скана. Если подрубаетесь с конкретного и заведомо постоянного ip - поставьте ограничение по ip, воспользуйтесь ipsec.
Кстати, насчет MITM'а - хм, при использовании телефонной сети веселья может быть больше.