Eu encontrei este excelente resumo de por que as políticas de bloqueio de conta não funcionam (do link )
Os problemas com bloqueios de conta são:
Um invasor pode causar uma negação de serviço (DoS) bloqueando um grande número de contas.
Como você não pode bloquear uma conta que não existe, somente os nomes de conta válidos serão bloqueados. Um invasor pode usar esse fato para coletar nomes de usuários do site, dependendo das respostas de erro.
Um invasor pode causar um desvio bloqueando muitas contas e inundando o suporte técnico com chamadas de suporte.
Um invasor pode bloquear continuamente a mesma conta, mesmo segundos depois que um administrador a desbloqueia, desabilitando efetivamente a conta.
O bloqueio de conta é ineficaz contra ataques lentos que tentam apenas algumas senhas a cada hora.
O bloqueio de conta é ineficaz contra ataques que tentam uma senha em relação a uma grande lista de nomes de usuário.
O bloqueio de conta é ineficaz se o invasor estiver usando uma lista de combinação de nome de usuário / senha e adivinhar corretamente nas primeiras tentativas.
Contas poderosas, como contas de administrador, muitas vezes ignoram a política de bloqueio, mas essas são as contas mais desejáveis para o ataque. Alguns sistemas bloqueiam contas de administrador apenas em logins baseados em rede.
Mesmo depois de bloquear uma conta, o ataque pode continuar, consumindo recursos humanos e de computador valiosos.
Existem alguns softwares por aí que podem ajudá-lo. Alguns scripts que um teria que modificar e pelo menos dois com GUI, chamado Syspeace e RDP Guard