Como posso configurar o acesso à Área de Trabalho Remota de um laptop específico para minha estação de trabalho na LAN com a maior segurança possível?

A Área de Trabalho Remota em si não possui mecanismos integrados para isso, e a melhor segurança seria alcançada por meios externos (ou seja, sem envolver o processo de autenticação RDP – não apenas porque já teve problemas de segurança antes).

A criptografia de pacotes IPsec seria a coisa mais próxima de uma solução nativa do Windows; você pode configurá-lo via wf.msc(no mesmo console que permite configurar regras básicas de firewall baseadas em IP, o que suponho que não atenda aos seus critérios).

IPsec suporta autenticação de certificado, embora no Windows um certificado autoassinado não funcione - você precisará criar sua própria CA e depois assinar certificados de máquina com ela, por exemplo, usando as ferramentas "xca" ou "Easy-RSA" do OpenVPN. O certificado da máquina cliente pode ser protegido contra extração usando o TPM que seu laptop provavelmente possui.

(Observe que você não deseja configurar uma VPN IPsec – nem VPN IKEv2 nem VPN L2TP/IPsec – você deseja configurar a proteção de “modo de transporte” de host para host.)

A outra opção seria uma VPN ponto a ponto de terceiros (WireGuard, OpenVPN, etc.) junto com regras baseadas em IP para limitar conexões apenas à interface VPN virtual (os perfis "públicos/privados" do Firewall do Windows podem tornar isso fácil).

OpenVPN usa certificados com CA e vem com ferramentas para criá-los. WireGuard não usa certificados X.509 (e, portanto, não pode fazer uso do suporte TPM integrado do Windows), mas usa pares de chaves EdDSA de maneira semelhante às chaves SSH ou certificados autoassinados, e no Windows tenta evitar qualquer coisa, exceto a GUI do WireGuard, de ler as configurações armazenadas.