本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文介绍通过远程桌面连接Windows实例,提示“为安全考虑,已锁定该用户帐户,原因是登录尝试或密码更改尝试过多”错误的可能原因和解决方案。
问题表现
使用远程桌面、Workbench或者Windows APP等工具远程登录Windows系统的ECS实例时,提示“为安全考虑,已锁定该用户帐户,原因是登录尝试或密码更改尝试过多”错误或类似错误,不同工具报错信息如图所示。
远程桌面
Workbench
Windows APP
问题原因
帐户锁定机制是Windows系统自带的安全机制,出现该问题可能是由于您在登录实例时多次输入错误的密码,触发该机制锁定帐户从而保护系统安全,减少密码被暴力破解的风险。
如果您在登录实例时出现该报错,请先回忆您是否近期有多次输入错误的密码的操作,如果没有,该问题应引起重视,可能存在黑客正在尝试暴力破解您的实例密码。
解决方案概览
解决该问题,最简单有效的办法是通过安全组限制可以远程连接实例的IP。
对于Windows的远程连接端口(3389)属于高危端口,若对所有公网IP开放,容易引发安全风险。您需要设置合适的安全组策略,避免意料之外的主机连接您的ECS实例。问题解决流程如下:
调整安全组设置,禁止所有IP访问实例的RDP服务
为避免在后续操作过程中再次出现该问题,首先需要调整安全组设置,禁止所有IP对RDP服务端口的访问,此操作将阻止任何人通过公网使用RDP客户端(如远程桌面、Windows APP、Workbench等工具)访问Windows实例,从而从源头上解决未知主机远程登录实例的问题。
使用VNC登录实例,解除帐户锁定
禁止所有人对RDP服务的访问后,您可以在阿里云控制台使用VNC的方式登录实例。在使用VNC登录一次实例后,会自动解除Windows的帐户锁定状态。
调整安全组策略
为确保您后续能够正常使用RDP客户端登录实例,需根据最小权限原则,调整安全组入方向规则,限定可访问RDP服务端口的主机IP。
(验证)使用RDP客户端连接实例
最后,使用RDP客户端连接实例,以验证安全组设置是否生效,并确认帐户是否已解除锁定。
步骤一:调整安全组设置,禁止所有IP访问实例的RDP服务
为避免在后续操作过程中再次出现该问题,首先需要调整安全组设置,禁止所有IP对RDP服务端口的访问,此操作将阻止任何人通过公网使用RDP客户端(如远程桌面、Windows APP、Workbench等工具)访问Windows实例,从而从源头上解决未知主机远程登录实例的问题。具体操作步骤如下:
在实例控制台,找到需要解除锁定实例所在的安全组。
登录ECS管理控制台。
在左侧导航栏,选择。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在实例列表页面,找到需要解除锁定的实例,单击实例ID进入实例信息页面。
单击页签,该页面下显示的安全组即实例所在安全组。
禁用SSH服务端口相关的安全组设置。
找到实例所在安全组后,单击安全组对应操作列下的管理规则,进入安全组管理页。
找到所有端口范围包含RDP服务端口(默认为3389)的规则,删除规则或将其授权策略修改为拒绝。
重要建议您在修改安全组规则之前自行备份原来的安全组设置,避免您在后续恢复设置时忘记原来的配置。
修改完成后,公网上任何主机均无法通过RDP远程访问实例。
步骤二:使用VNC登录实例,解除帐户锁定
禁止所有人对RDP服务的访问后,您可以在阿里云控制台使用VNC的方式登录实例。在使用VNC登录一次实例后,会自动解除Windows的帐户锁定状态。
在实例控制台,找到需要解除锁定的实例。
登录ECS管理控制台。
在左侧导航栏,选择。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在实例列表页面,找到需要解除锁定的实例。
找到待连接实例后,需要进入其VNC远程连接页面。
在目标实例的操作列,单击
> VNC远程连接。
VNC远程连接页面如图所示。
以Windows Server 2025为例。
登录并进入Windows系统,登录实例后,会自动解除Windows的帐户锁定状态。
在页面左上角,单击,解除Windows系统锁屏。
选择用户帐户(默认为Administrator),输入实例登录密码,然后按Enter键,进入Windows系统。
重要如果您不清楚您的登录名或密码或者忘记密码,请先重置密码,具体操作,请参见重置实例登录密码。
步骤三:调整安全组策略
由于第一步禁用了包括您在内的所有IP访问实例,为确保您后续能够正常使用RDP客户端登录实例,需根据最小权限原则,调整安全组入方向规则,设置仅允许您的主机IP通过RDP服务连接实例。具体操作步骤如下:
规划安全组设置,规划可以连接实例的主机IP地址或地址段。
在调整安全组策略前,您可以先获取所有需要访问实例的主机的IP地址或IP地址段。如果您需要设置本机作为连接Windows实例的主机,您可以通过访问https://cip.cc/获取本机IP。安全组规则设置最佳实践,请参见ECS安全组实践(入方向规则)。
修改安全组规则。
找到步骤一中修改的安全组。
在入方向页签下,单击手动添加添加新的安全组入方向规则,仅允许您的IP访问实例的远程连接相关服务的端口。配置项说明如下:
授权策略
优先级
协议类型
端口范围
授权对象
允许
1
自定义TCP
选择RDP (3389)。
通过RDP连接Windows实例默认端口为3389。
重要配置的端口取决于您实例内运行的远程连接服务的端口。如果您在实例内修改了相关端口,请根据实际情况调整。
配置为您本地计算机的公网地址或IP地址段。
警告使用
0.0.0.0/0,代表所有IP地址均可以连接远程服务端口,该配置存在安全风险,可能会重复出现帐户锁定问题。您可以通过
https://cip.cc/获取您的本机IP地址。
您可能的顾虑:主机IP不固定,需要经常调整安全组设置,如何简化流程
步骤四:(验证)使用RDP客户端连接实例
最后,您可以使用RDP客户端连接实例,以验证安全组设置是否生效,并确认帐户是否已解除锁定。
如果登录时帐户依然处于锁定状态,可以尝试手动调整Windows帐户锁定策略,请参见调整Windows帐户锁定策略。
更多操作
如果您希望修改Windows帐户锁定策略,比如重试密码次数、帐户锁定事件等配置,可参考以下步骤实现。
调整Windows帐户锁定策略
帐户锁定机制是Windows系统自带的安全机制,请不要关闭该机制,避免系统安全风险。
使用VNC连接实例(重复步骤二的操作)。
进入Windows帐户策略设置页。
右键单击开始,然后单击运行。在运行对话框中输入
gpedit.msc命令,然后单击确定,进入本地组策略编辑器页面。
在本地组策略编辑器页面中,选择 ,您可以在此调整Windows帐户锁定策略。
配置项说明如下:
配置项
说明
允许管理员帐户锁定
关闭后管理员帐户不会被锁定,可能会造成安全问题。建议通过安全组限制可以访问实例的主机,避免未知主机访问实例。
帐户锁定时间
在密码错误次数达到帐户锁定阈值后,帐户锁定的时间。
说明设置为0代表帐户锁定后仅管理员可以解除其锁定。
帐户锁定阈值
密码错误的次数的阈值,在连续密码错误达到该阈值后会触发帐户锁定。
警告请不要设置为0,设置为0代表永远不锁定,如果正在遭受攻击,该操作可能会造成密码被攻克的风险。
重置帐户锁定计数器
这个设置定义了在多少分钟后,失败的登录尝试计数将被重置为零。
例如,如果设置为20分钟,那么如果用户在20分钟内没有进一步的失败登录尝试,之前的失败尝试记录将被清除。
提升Windows安全性的建议
设置安全组:使用安全组限制可以访问实例远程连接服务的主机。请参见步骤三:调整安全组策略。
修改远程连接端口:修改远程桌面连接服务的端口为非默认端口,减少端口被扫描到的风险。具体操作,请参见修改服务器默认远程端口。
使用强密码:提升密码强度、避免使用常见密码、定期更改密码。具体操作,请参见重置实例登录密码。
使用堡垒机方案:多ECS场景可以使用更专业的堡垒机方案连接实例,更多信息,请参见什么是堡垒机。