Estou recebendo muitas tentativas de login com falha (1 por segundo) em um servidor Windows 2008, já defini a política de segurança local para bloquear automaticamente uma conta depois de muitas tentativas de login, mas há uma maneira de incluir automaticamente uma conta Endereço IP no firewall do Windows para que ele seja bloqueado temporariamente (digamos por 30 minutos)?
Recentemente, fomos inundados por tentativas semelhantes e obtivemos grande sucesso com o fail2ban que faz exatamente isso: bloqueia um IP de origem após N tentativas de login com falha.
Embora tenha sido projetado para o Linux, uma ótima resposta de Evan Anderson à questão do ServerFault O fail2ban do Windows? pode ajudá-lo a implementá-lo.
Se este for um problema "interno", sugiro que você siga os conselhos listados acima e encontre o usuário / dispositivo / serviço que está essencialmente tentando forçar sua entrada e resolver o problema. Se este é um login remoto vindo de fora, existem vários programas / scripts diferentes que irão "banir" um IP por um número de horas ou dias, para que eles não possam completar o ataque. Um desses scripts é escrito por um membro aqui.
Como impedir ataques de força bruta no Terminal Server (Win2008R2)?
Como essas tentativas de logon externo podem alcançar seu servidor? O servidor está executando um site com autenticação habilitada ou algo parecido? Quais serviços você está executando que precisam ser expostos ao mundo externo deste servidor? Se é a Área de Trabalho Remota, então pessoalmente, eu consideraria usar uma VPN.