Pasos a seguir para no dejarte ningun detalle:

1º El firewall de windows debe estar activo.
2º Antes de activarlo revisa que dispones de las reglas necesarias para poder acceder por remote desktop.
3º Si tienes un SQL puedes añadir reglas con powersell, te las pego abajo.
	New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
	New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
	
4º Crear ruta y fichero en el que el script logueará. En el script "C:\blacklist\Blacklist.log"
5º Ajustar el numero al partir del cual se bloqueará¡ el acceso a la ip origen: En el script "$loginFailedDailyAttemptsLimit = 10"

6º Si lo ejecutas a mano verás que te genera una regla de FW y añadirá ya las ips que coincidan con los eventos.
7º Añadir taréa programada, ejecutarla con un usuario diferente al administrador.
   Añadir ese usuario al grupo Network-operators.
   Ejecutar la tarea con higest privileges.
   Añadir dicho usuario en el gpedit.msc en: Windows settings > Local policies > User right > logon as a batch >añadir tu usuario
   Ajustar que se ejecute 1 vez al día.
   El parametro de powersell es: "-file C:\blacklist\sql-protect.ps1" ( sin comillas )