提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
windows 2022 server账户锁定
前言
ucloud重装windows2022系统的云服务器,出现账户锁定策略
如下图:
一、原因
具体原因
- 密码错误次数过多:如果多次输入错误密码,根据组策略设置,账户可能会被自动锁定以保护安全。
- 安全策略设置:windows 2022系统配置了账户锁定的安全策略,当达到一定条件时(如密码尝试次数、登录失败次数等)会触发账户锁定。
客观原因:
- 暴露在公网的IP,会有黑客利用暴力破解工具尝试大量的密码组合来登录你的系统或服务。
- 黑客通常会扫描公网上的常见端口(如 SSH、RDP、FTP 等)来查找潜在的漏洞或弱密码。
二、解决办法
- vnc登录主机,修改组策略里面的管理员账户锁定策略【本文主要讲修改组策略的方法】
- 重装成windows server 2019系统的主机【如果系统没有数据需要拷贝,也可以操作这种】
2.1 vnc登录主机
vnc登录页面
vnc进入系统的方式
2.2 修改组策略
1,在搜索对话框中输入gpedit.msc
命令,然后单击确定,进入本地组策略编辑器页面
2,在本地组策略编辑器页面中,选择计算机配置 > Windows设置 > 安全设置 > 账户策略 > 账户锁定策略 > 允许管理员账户锁定
3,在账户锁定策略页面,双击允许管理员账户锁定,进入允许管理员账户锁定值 属性窗口,选择已禁用
单击确定。
4,重新使用远程桌面连接Windows实例,确保可以正常连接
三、安全方面的防御思路
下面的思路主要是进行防御黑客攻击,避免造成账户锁定
1. 修改防火墙策略,限制IP进行访问
防火墙策略使用linux系统进行演示
1.1 查看本地主机的出口IP
1.2 编辑防火墙规则
1.3 设置对应的防火墙
1.4 测试
只有对应的IP地址可以登录成功【本地的mobaxterm工具访问linux主机】
其他主机不能正常访问对应的主机【其他云主机访问linux主机】
2. 修改windows自带的防火墙端口
修改端口的并不能完全限制扫描爆破,可以通过nmap等扫描工具发现哪些端口是存活的
参考微软官方文档修改对应的端口
https://learn.microsoft.com/zh-cn/windows-server/remote/remote-desktop-services/clients/change-listening-port
修改成功后测试
3. 设置强密码,增加密码的复杂度
- 长度要求: 密码应该具有足够的长度,通常建议至少8个字符以上。较长的密码更难被猜测或暴力破解。
- 包含多种字符类型: 密码应该包含多种字符类型,例如大写字母、小写字母、数字和特殊字符(如!@#$%^&*)等。这样可以增加密码的复杂度和难度。
- 避免常见密码: 避免使用常见密码或易于猜测的信息,如生日、姓名、字典单词等。这些密码容易被猜测或使用暴力破解工具破解。
- 定期更改密码: 定期更改密码是一种良好的安全实践。建议每三个月或六个月更改一次密码,以防止密码泄露后被滥用。
- 不重复使用密码: 避免在多个账户上重复使用相同的密码。如果一个账户的密码被破解,其他账户也会受到威胁。
- 使用密码管理工具: 密码管理工具可以帮助你生成强密码、存储密码并自动填充表单。这样可以方便地管理多个复杂且唯一的密码
总结
windows server 2022系统因为加强了安全策略,如果10分钟内连续错误登录10次就会锁定账户,不允许登录主机,10分钟后重置
解决办法就是换组策略,提供安全防御避免黑客访问到主机