一觉醒来通过远程桌面连接 Windows 实例, 提示 「为安全考虑, 已锁定该用户帐户, 原因是登录尝试或密码更改尝试过多」
问题表现
使用远程桌面、 Workbench 或者 Windows APP 等工具远程登录 Windows 系统的 ECS 实例时,提示 「为安全考虑,已锁定该用户帐户,原因是登录尝试或密码更改尝试过多」 错误或类似错误,不同工具报错信息如图所示。
问题原因
帐户锁定机制是 Windows 系统自带的安全机制,出现该问题可能是由于您在登录实例时多次输入错误的密码,触发该机制锁定帐户从而保护系统安全,减少密码被暴力破解的风险。
如果您在登录实例时出现该报错,请先回忆您是否近期有多次输入错误的密码的操作,如果没有,该问题应引起重视,可能存在黑客正在尝试暴力破解您的实例密码。
解决方案概览
解决该问题,最简单有效的办法是通过安全组限制可以远程连接实例的 IP 。
对于 Windows 的远程连接端口 (3389) 属于高危端口,若对所有公网 IP 开放,容易引发安全风险。您需要设置合适的安全组策略,避免意料之外的主机连接您的 ECS 实例。问题解决流程如下:
-
调整安全组设置,禁止所有 IP 访问实例的 RDP 服务
为避免在后续操作过程中再次出现该问题,首先需要调整安全组设置,禁止所有 IP 对 RDP 服务端口的访问,此操作将阻止任何人通过公网使用 RDP 客户端 (如远程桌面、 Windows APP 、 Workbench 等工具) 访问 Windows 实例,从而从源头上解决未知主机远程登录实例的问题。
-
使用 VNC 登录实例,解除帐户锁定
禁止所有人对 RDP 服务的访问后,您可以在阿里云控制台使用 VNC 的方式登录实例。在使用 VNC 登录一次实例后,会自动解除 Windows 的帐户锁定状态。
-
调整安全组策略
为确保您后续能够正常使用 RDP 客户端登录实例,需根据最小权限原则,调整安全组入方向规则,限定可访问 RDP 服务端口的主机 IP 。
-
(验证) 使用 RDP 客户端连接实例
最后,使用 RDP 客户端连接实例,以验证安全组设置是否生效,并确认帐户是否已解除锁定。
步骤一:调整安全组设置,禁止所有 IP 访问实例的 RDP 服务
为避免在后续操作过程中再次出现该问题,首先需要调整安全组设置,禁止所有 IP 对 RDP 服务端口的访问,此操作将阻止任何人通过公网使用 RDP 客户端 (如远程桌面、 Windows APP 、 Workbench 等工具) 访问 Windows 实例,从而从源头上解决未知主机远程登录实例的问题。具体操作步骤如下:
-
在实例控制台,找到需要解除锁定实例所在的安全组。
-
访问 ECS 控制台-实例。
-
在页面左侧顶部,选择目标资源所在的资源组和地域。
-
在实例列表页面,找到需要解除锁定的实例,单击实例 ID 进入实例信息页面。
-
选择页签或者单击网络与安全页签,该页面下显示的安全组即实例所在安全组。
-
-
禁用 SSH 服务端口相关的安全组设置。
-
找到实例所在安全组后,单击安全组 ID,进入安全组管理页。
-
找到所有访问目的 (本实例)包含 RDP 服务端口 (默认为 3389) 的规则,删除规则或将其授权策略修改为拒绝。
建议您在修改安全组规则之前自行备份原来的安全组设置,避免您在后续恢复设置时忘记原来的配置。
-
修改完成后,公网上任何主机均无法通过 RDP 远程访问实例。
-
步骤二:使用 VNC 登录实例,解除帐户锁定
禁止所有人对 RDP 服务的访问后,您可以在阿里云控制台使用 VNC 的方式登录实例。在使用 VNC 登录一次实例后,会自动解除 Windows 的帐户锁定状态。
-
在实例控制台,找到需要解除锁定的实例。
-
访问 ECS 控制台-实例。
-
在实例页面,找到需要解除锁定的实例。
-
-
找到待连接实例后,需要进入其 VNC 远程连接页面。
-
单击目标实例进入实例详情页,单击全部操作展开所有操作面板,然后搜索并单击VNC 远程连接。
-
VNC 远程连接页面如图所示。
以 Windows Server 2025 为例。
-
-
登录并进入 Windows 系统,登录实例后,会自动解除 Windows 的帐户锁定状态。
-
在页面左上角,单击,解除 Windows 系统锁屏。
-
选择用户帐户 (默认为 Administrator),输入实例登录密码,然后按 Enter 键,进入 Windows 系统。
如果您不清楚您的登录名或密码或者忘记密码,请先重置密码,具体操作,请参见重置实例登录密码。
-
步骤三:调整安全组策略
由于第一步禁用了包括您在内的所有 IP 访问实例,为确保您后续能够正常使用 RDP 客户端登录实例,需根据最小权限原则,调整安全组入方向规则,设置仅允许您的主机 IP 通过 RDP 服务连接实例。具体操作步骤如下:
-
规划安全组设置,规划可以连接实例的主机 IP 地址或地址段。
在调整安全组策略前,您可以先获取所有需要访问实例的主机的 IP 地址或 IP 地址段。如果您需要设置本机作为连接 Windows 实例的主机,您可以通过访问 https://cip.cc/获取本机 IP 。安全组规则设置最佳实践,请参见 ECS 安全组实践 (入方向规则) 。
-
修改安全组规则。
-
找到步骤一中修改的安全组。
-
在入方向页签下,单击手动添加添加新的安全组入方向规则,仅允许您的 IP 访问实例的远程连接相关服务的端口。配置项说明如下:
授权策略
优先级
协议类型
访问目的 (本实例)
访问来源
授权策略
优先级
协议类型
访问目的 (本实例)
访问来源
允许
1
自定义 TCP
选择 RDP (3389)。
通过 RDP 连接 Windows 实例默认端口为 3389 。
配置的端口取决于您实例内运行的远程连接服务的端口。如果您在实例内修改了相关端口,请根据实际情况调整。
配置为您本地计算机的公网地址或 IP 地址段。
-
使用
0.0.0.0/0,代表所有 IP 地址均可以连接远程服务端口,该配置存在安全风险,可能会重复出现帐户锁定问题。 -
您可以通过
https://cip.cc/获取您的本机 IP 地址。
-
-
步骤四:(验证) 使用 RDP 客户端连接实例
最后,您可以使用 RDP 客户端连接实例,以验证安全组设置是否生效,并确认帐户是否已解除锁定。
如果登录时帐户依然处于锁定状态,可以尝试手动调整 Windows 帐户锁定策略,请参见调整 Windows 帐户锁定策略。
