Включаем аудит: secpol.msc -> Local Policy > Audit Policy and right click the Audit account logon events policy option and choose Properties
Смотрим журнал: eventvwr.msc -> Windows logs — Security
Решения: использовать адреслисты по превышению трафика/соединений, port-knocking, VPN, фильтр по ip
