Qualquer coisa e tudo que estiver aberto à internet será atacado constantemente. Um sistema Windows diretamente na internet é uma idéia terrível e você deve colocar o máximo possível atrás do firewall. Se alguém precisar de acesso a esse servidor, instale algum software VPN e conceda-lhe acesso por meio dele (verifique também se as senhas são muito strongs e use as chaves, se possível); e, se puder, separe esse sistema da sua rede também. A VPN limitará os possíveis vetores de ataque. Pode ser uma falha, já que é um ponto único de falha; mas pode ser endurecido para ajudar a reduzir a possibilidade de ser violado.
Voltando à sua pergunta, o NTLM é o LAN Manager e é assim que o Windows faz a autenticação para várias coisas, ele não pode ser desabilitado sem quebrar muitas coisas. Ver um monte de tentativas de login que falharam constantemente poderia definitivamente ser um sinal de um ataque de força bruta como você afirmou. Malware como o WannaCry está sendo espalhado por ter serviços do Windows diretamente na Internet, (SMBv1 a.k.a Windows File Sharing). Conecte esses buracos e deixe que qualquer pessoa afirme que não quer ser incomodado com uma etapa da VPN que esteja solicitando malware, como o WannaCry.
Indeed, the ‘ransomworm’ that took the world by storm was not distributed via an email malspam campaign. Rather, our research shows this nasty worm was spread via an operation that hunts down vulnerable public facing SMB ports and then uses the alleged NSA-leaked EternalBlue exploit to get on the network and then the (also NSA alleged) DoublePulsar exploit to establish persistence and allow for the installation of the WannaCry Ransomware.
Como o ransomworm WannaCry se espalhou? - Laboratórios Malwarebytes | Laboratórios Malwarebytes