A conta do Administrador continua sendo bloqueada. Os logs de eventos e de logon de rede confirmam que a conta está sendo bloqueada, mas o nome do computador de origem não é fornecido (está em branco). Veja as capturas de tela abaixo no log de eventos e no log do Netlogon. Como posso encontrar a fonte do bloqueio da conta? Obrigado!
Consegui resolver o problema ativando a auditoria NTLM na Política de segurança local. (Política de Segurança Local \ Políticas Locais \ Opções de Segurança \ Restringir Auditoria NTLM)
Parece que um invasor estava tentando obter acesso por brute, forçando a autenticação do RDP. O NTLM me deu o nome do computador com acesso RDP aberto e eu pude resolver o problema bloqueando-o.
Execute uma captura de pacote netmon e correlacione as entradas do log de eventos com as tentativas de conexão na captura.