Comments
Вся статья тянет на школьный реферат.

Подобрав пару логин-пароль, злоумышленники получают полный доступ к скомпрометированной системе.
Ну у Вас там видимо все под локальными админами работают.

Например, часто предусматривают блокировку учетной записи после нескольких безуспешных попыток входа.
Передаю привет вашим административным учетным записям находящимися под целенаправленной атакой.

Событие 4624 — для успешного входа, 4625 — для неудачного входа
Понимаю, в Security лог зайти зашли, почитали что первое попалось, и зафигачили в статью. Смотреть удачные события в входу и выходу из системы нужно по событиям
Get-WinEvent -ComputerName $Computer -FilterHashTable @{LogName="Security";id=4801,4800,4778,4779}
так что попали только в одно событие из четырех.
В статье описаны ситуации из реальных расследований хакерских атак, которые зачастую заканчивались запуском шифровальщиков из под имени доменного администратора на множестве систем во внутренней сети. И вы правы, не всегда похищенные учетные данные сразу давали локального администратора на системе, но получить эти привилегии для злоумышленников не составляло проблемы.

По поводу событий входа. Перечисленные вами события — это частные случаи, покрывающие не все сценарии. Лучше ориентироваться именно на перечисленные нами — они покрывают все описанные случаи. Про события 4624, 4625, 4778, 4634 в контексте RDP хорошо написано тут:
ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation
www.andreafortuna.org/2020/06/04/windows-forensic-analysis-some-thoughts-on-rdp-related-event-ids
Если бы я не занимался этим вопросом достаточно плотно, особенно глубоко с началом ковидной эпидемии, я бы с Вами наверняка согласился. Но дьявол кроется в нюансах, и события 4624-4625 это как проверка насколько глубоко специалист копал тему. Если Вы цепляетесь за 4624-4625 то это не очень глубоко, эти события просто пыль закрывающая истинную цель. Это уже не говоря о том, что отслеживание неудачных попыток входа через RDP в Get-WinEvent для ОС Windows 2008R2 / 2012R2 / 2016 + 2019 довольно ощутимо различается. Код показывающий подлецов в 2008R2 слеп на 2019, и это правило взаимообратно. Но Вы не копали настолько глубоко.

А ругаюсь, потому что Вы отправляете людей грызть гранит не с той стороны.
Так в чём эксперимент-то? В том, что машину в выставленным наружу RDP начинают пячить? Тоже мне бином Ньютона. Кроме того, смена порта не панацея, а лишь отсрочка катастрофы.
Согласны с вами, и в статье мы отметили, что «тем не менее один только нестандартный порт не может полностью защитить от проведения атак».
Я предлагаю подходить к этой проблеме со стороны 2FA, но при этом второй фактор делать порткнокингом или его развитием.
Это довольно просто со стороны пользователя — он перед подключением просто открывает урл в браузере, который и активирует порткнокинг. Часть маршрутизаторов уже умеют это из коробки (у микротика, кажется, есть такая функция), но в целом это не так уж сложно в реализации и самостоятельно.
А также к достоинствам можно отнести, что это будет работать везде в отличие от впн, когда встречаются провайдеры, его блокирующие (особенно смешно, когда провы объясняют блокировку впн заботой о нашей безопасности).
Не так сложно?

Я искал варианты решений. Есть много сайтов, которые предлагают сделать это за $$$, но например как прикрутить 2FA к Windows я так и не нашёл.

С порт-кнокингом тоже было бы зачётно, но и тут: простых и понятный решений не нашёл.

Так что, реквестирую статью на Хабре на этим темам.

Своим опытом с RDP я уже делился вот тут:
habr.com/ru/post/487056

Способ защиты от брутфорса на уровне вышеупомянутого реферата: перенести всё на нестандартные порты, и прямо на входе блокировать сразу все ІР которые лезут на 22,3389, и что там у вас ещё.

Почему нет совета выпускать rdp в интернет только через шлюз удаленных рабочих столов?
шлюз добавляет еще одну потенциально дырявую службу, тем более 443 порт будут искать еще чаще. в итоге получим бОльший геморой чем с обычным RDP
Какие риски возникают, когда пользователь запускает rdp сессию с домашнего ПК, на котором нелицензионная Windows и нет антивируса?
Only those users with full accounts are able to leave comments. Log in, please.