Habe unzählige, gescheiterte Loginversuche...
Der untenstehende Kontoname ist nicht meiner. Und die Quelladresse ist sonstwo her...

Oder ist das "normal"? Auf einem anderen Rechner (andere, öffentliche IP-Adresse) taucht der gleiche Kontoname auf

https://abload.de/thumb/vmfgndfgckj4o.jpg (https://abload.de/image.php?img=vmfgndfgckj4o.jpg)

Normal ist das sicherlich nicht. Ich habe hier jedenfalls auf keinem unserer Rechner im Büro Ereignisse mit "Überwachung gescheitert" und einem Unbekannten Benutzernamen oder ungültigen Kennwort (außer das eine Mal, als ich mich heute morgen selbst mit falscher PIN angemeldet hab :-D).

Win 10 Professional, 5 Rechner, 4x mit Adminrechten und einer mit Userrechten.

PowerShell oder RDP übers Netz erreichbar?

Dass da Unmengen an gescheiterten Login-Versuchen stehen, ist dann nichts ungewöhnliches. Unter Linux würde man, sofern man die Verfügbarkeit wirklich braucht, fail2ban nehmen, bei Windows-Administration bin ich da aber raus.

RDP über www erreichbar, ja...
Habe Port #3389 geschlossen. Seitdem ist Ruhe

Ein Kollege hatte in ca. 15h ca. 27.000 fremde Anfagen über #3389
Kaum öffne ich #3389, kommen wieder zig Anfragen

Was gibt es denn als Alternative zu "fail2ban" unter WIN10 (wenn überhaupt)?
Ich könnte in den Gruppenrichtlinien noch paar Sachen scharf machen

Und wie steht WIN10 im Vergleich zu Linux wirklich da? Wo kann ich in Linux (zb Ubuntu) nachsehen, was ich für Anfragen habe?

Bei Heise gibt es dazu eine schöne Artikel-Serie: Remote Desktop via RDP: Best Practices (4/4) (https://www.heise.de/hintergrund/Remote-Desktop-via-RDP-Best-Practices-4-4-4711807.html)
... Die wichtigste Schutzmaßnahme ist es, RDP erst gar nicht nach außen zu exponieren, sondern lediglich im lokalen Netz einzusetzen. Wer von außen ran muss, bekommt eine VPN-Verbindung ins LAN. Das verhindert viele der in den voran gegangenen Folgen geschilderten Angriffe (wenn auch längst nicht alle). Wer eine solche Policy intern durchsetzen konnte, sollte sie nicht leichtfertig aufgeben ...

Die 3 Vorgängerteile sind im Artikel verlinkt und auch sehr lesenswert.

Was gibt es denn als Alternative zu "fail2ban" unter WIN10 (wenn überhaupt)?
Ich könnte in den Gruppenrichtlinien noch paar Sachen scharf machen
- Wail2Ban | funktioniert aber nicht immer zuverlässig und ist etwas ein Gefrickel bis es läuft
- RDP Defender v2.4.6.1 | funktioniert gut und einfach, aber Hersteller gibts afaik nicht mehr und den Download der Datei findet man irgendwie nur noch über semi-dubiose Webseiten...
- RDPGuard | leider kostenpflichtig, sonst aber top für seinen zweck. Nutzt unter anderem eine globale/geteilte Blacklist, sodass auch direkt IPs geblockt werden, welche bei andern Nutzer Loginversuche durchgeführt haben.

Kann man da auch einstellen, dass nur deutsche IPs durchkommen?

Kann man da auch einstellen, dass nur deutsche IPs durchkommen?
IPs haben keine Länderzuordnung (grob nach Kontinenten, aber eine IP kann mal hier oder dort aktiv sein). Also nein, kann man nicht.

Wenn du den rdp Port wirklich brauchst, dann änder ihn, am besten auf was über 10000. (max geht 65xxx)
https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/change-listening-port
Hab das noch nicht gemacht, aber nur ein Wahnsinniger hat heutzutage 3389 offen im Netz.