Как люди получают доступ к моему серверу, когда у меня заблокирован межсетевой экран по IP?

У меня есть несколько общедоступных серверов, к которым мы подключаемся через службы удаленных рабочих столов. я имею Remote Desktop - User Mode (tcpip-in) значение разрешает только определенные удаленные IP-адреса. Я проверил и брандмауэр Windows включен. У меня все остальные правила для удаленного рабочего стола отключены.

Я все еще получаю события, подобные этим, в моем журнале событий:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       Administrator
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   \\94.102.52.22
    Source Network Address: 94.102.52.22
    Source Port:        54358

У меня нет опции для аппаратного брандмауэра, поэтому я должен полагаться на брандмауэр Windows, который до сих пор был в порядке.

Как они могут получить доступ к опции входа в систему с самого начала? Разве брандмауэр Windows не должен блокировать их до того, как они зайдут так далеко?