Firewall de Windows: ¿una forma sencilla de bloquear una dirección IP que está escaneando? El usuario sigue siendo bloqueado

Estoy usando Windows Server 2008 - completamente parcheado.

Una de mis cuentas de usuario sigue siendo bloqueada. Es bastante fácil desbloquearlo, pero ocurre con una frecuencia cada vez mayor, y el usuario no ingresa contraseñas incorrectas.

Revisé el registro de seguridad y veo intentos de escanear desde una dirección IP específica. Me gustaría bloquear toda la actividad de esta dirección IP. es fácil de hacer? No tengo acceso físico al servidor, por lo que no me atrevo a experimentar con la configuración de una regla que pueda bloquear accidentalmente mi acceso.

También espero poder rastrear la actividad específica que está causando que este usuario se bloquee. ¿No hay un evento que pueda buscar cuando la cuenta se bloquea? No lo veo, y esta exploración que mencioné anteriormente puede no estar relacionada con el bloqueo, ya que estos "inicios de sesión fallidos" no son para el mismo usuario que el usuario que se bloqueó. Hemos estado observando los registros mientras ocurre el bloqueo, pero aún no hay pistas.

En Windows 7 (espero que esto sea igual o similar para Server 2008), puede crear reglas personalizadas en el "Firewall de Windows con seguridad avanzada".

En la sección Reglas de entrada, cree una regla personalizada que se aplique a todos los programas, a todos los puertos y luego elija su dirección IP.

Puedes ver este sitio para más información.