Erstens: Die Kontosperrungsrichtlinie gilt nur für den zeichenfolgenbasierten Wert, der für den Benutzernamen angegeben wird. Wenn bei den anderen Verbindungsversuchen derselbe Benutzername angegeben wird, wird ja ein Denial-of-Service für dieses Benutzerkonto erstellt. Vorausgesetzt, es handelt sich nicht um einen vom Terminaldienst lizenzierten Computer, unterstützt der Server nur zwei gleichzeitige Verbindungen, bevor er andere Benutzer startet - legitim oder anderweitig.
Zweitens: Wenn dieses Gerät direkt mit dem Internet verbunden ist, ist dies ein großes Sicherheitsfoul. Sie werden wahrscheinlich von einem Brute-Force-Angriff getroffen, der versucht, eine Kombination aus Benutzername und Kennwort zu finden, um in das System einzudringen. Sie können anhand des Sicherheitsprotokolls feststellen, welche Benutzernamen bereitgestellt werden. Wenn sie zufällig sind, werden Sie höchstwahrscheinlich angegriffen.
Drittens: Während @happy_soil richtig ist, dass das Ändern des RDP-Ports nur die meisten Angreifer zum Anhalten bringt, ist die Tatsache, dass ein Server direkt mit dem Internet verbunden ist, das Problem. Sie müssen zu einem sichereren Remote-Konnektivitätsmechanismus wechseln (z. B. einem VPN). Sobald ein Remote-Benutzer verbunden ist, kann er über einen verschlüsselten IPSEC-Tunnel auf das Netzwerk zugreifen, um Netzwerkzugriff zu erhalten. Aber auch das hat seine Mängel (der Heimcomputer des Benutzers ist mit Malware infiziert und verbindet sich mit dem VPN von Unternehmen und infiziert die Corp von zu Hause) - aber es ist auf jeden Fall besser als die direkte Verbindung eines Servers über das Internet.