Что делать когда тебя пытаются брутфорсить?

Не хочу показаться капитаном очевидность, но нужно как минимум в файервол добавить правило которое блокирует доступ с IP с которого лез брут

бот долбится. проверить на провал попытки и игнорировать.

на *nix есть fail2ban. Не уверен, но мне думается, что можно найти что-то подобное для Windows. Во всяком случае, принцип, должен быть примерно такой: 1) ошибка аутентификации 2) увеличиваем тайм-аут 3) если ошибка с того же ip повторяется, например, 3 раза, то блокируем ip, хотя бы на сутки. Главное при такой схеме — самому ошибаться не более 2-х раз подряд :))

Сменить порт на котором висит удаленка

Согласен с предыдущем комментарием. Классикой считается блокировать IP после определённого числа неудачных попыток аутентификации. Также стоит настроить тайм-аут приёма аутентификации, когда после ввода пароля система, например, 3 секунды стоит в паузе и потом только выводит вердикт. В конфигах многих сервисов имеется такая настройка.

Также можно порекомендовать «повесить» сервер на нестандартный порт, ограничить доступ к серверу по IP адресам (если известно с каких адресов ожидать подключения легитимных пользователей). Ну и на закуску — Port knocking

Забанить по IP, сменить порт, внести прочие ограничения (номер порта с которого устанавливается соединение, если бы брутфорсили по HTTP, можно было бы проверять UserAgent и тп).

блокировать IP не совсем правильно, т.к. на одном IP могут быть тысчячи других пользователей за NAT, кроме того могут брутфорсить боты или зараженные ПК с разных IP.
Задержки да, еще возможна автоблокирока учеток на которые пытаются логинится после N числа неудачных входво, ну и про самое надежное и простое средство тут забыли - сложные пароли.

gpedit.msc - Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Безопастность:
пункт Всегда запрашивать пароль при подключении - Включен

Там же можно прочитать помощь по пункту. (Действительно для W2K8, как для более ранних незнаю, нет в наличии)

Вас пытаются взломать по средствам брут форс атаки.

Событие происходило раз в секунду, каждый раз менялось имя пользователя.

IP адрес подключающегося был статичен

Судя по вашему описанию, злоумышленник не сильно опытен, так как такой перебор паролей, без знания имени пользователя, займет очень большое время.
В таком случае блокировка по IP будет достаточной. Например, при использовании iptables:

iptables -I INPUT -s 192.0.2.0 -j DROP

Для защиты от брута можно еще изменить порт SSH на нестандартный и использовать утилиты или настройки брандмауэра для блокировки сканеров (на подобии NMAP) или вместо пароля использовать доступ по ключу. И раз уж мы боремся с брут форс атакой, можно проверить возможность подбора пароля, например воспользоваться Hydra и заодно проверить наличие уязвимостей связанных с работой прикладных протоколов, по базе Common Vulnerabilities and Exposures.
Из онлайн вариантов попробуй METASCAN, это специальные ресурс, который может проверить большинство уязвимостей и покажут можно ли подобрать пароль к базам данных, логинам или SSH протоколам.