現象
RDP、Workbench、Microsoft Remote Desktop アプリなどのツールを使用して Windows インスタンスにリモート接続すると、「[The user account has been locked because there were too many logon attempts or password change attempts]」 のようなエラーメッセージが表示されます。
RDP
RDP を使用して接続すると、「The user account has been locked because there were too many logon attempts or password change attempts. Please wait a moment and try again, or contact your system administrator or technical support」 というエラーメッセージが表示されます。[OK] をクリックしてダイアログボックスを閉じます。
Workbench
Workbench を使用して Windows インスタンスにログオンする際に、間違ったパスワードを繰り返し入力すると、アカウントがロックまたは無効になっていることを示す [インスタンスログインに失敗しました] ダイアログボックスが表示されます。[無効化されたアカウントの解決策を表示] リンクをクリックしてヘルプを参照するか、しばらく待ってから [再試行] をクリックするか、[VNC を使用してインスタンスに接続] をクリックして接続方法を切り替えるか、または [パスワードのリセット] をクリックしてインスタンスのパスワードをリセットすることができます。
Windows アプリ
Microsoft Remote Desktop アプリを使用して接続する際に、ログオンまたはパスワード変更の試行回数が多すぎるためにユーザーアカウントがロックされると、エラーコード 0xd07 を伴う 「Couldn't connect」 というエラーが表示されます。この場合、しばらく待ってから再試行するか、ネットワーク管理者に支援を依頼してください。
原因
この問題は、間違ったパスワードの試行が過剰に行われた後、ブルートフォース攻撃を防ぐために、組み込みのセキュリティポリシーによってアカウントが自動的にロックされることで発生します。
-
複数回の誤ったパスワード試行:失敗したログオン試行の回数が、アカウントロックアウトのしきい値を超えています。
-
ブルートフォース攻撃の可能性:ポートが公開されているため、インスタンスが外部からのブルートフォース攻撃に対して脆弱になっている可能性があります。この場合は、直ちに調査が必要です。
手順
手順1:インスタンスの分離と RDP アクセスのブロック
アカウントのロックを解除する間、進行中の攻撃を防ぐために、すべての外部からのログオン試行を直ちにブロックします。
-
ECS コンソール - インスタンスに移動し、上部ナビゲーションバーで対象のリージョンとリソースグループを選択します。
-
対象インスタンスの ID をクリックして、詳細ページを開きます。
-
タブをクリックし、セキュリティグループ ID をクリックしてセキュリティグループの詳細ページに移動します。
-
RDP ポートのセキュリティグループルールを無効にします。
RDP ポート (デフォルト:
3389) へのアクセスを許可するすべてのインバウンドルールを削除するか、そのアクションを [拒否] に変更します。重要後で復元できるように、変更を加える前に元のセキュリティグループ設定を記録しておくことを推奨します。
手順2:VNC を使用したログオンとアカウントのロック解除
VNC で一度ログオンに成功すると、アカウントは自動的にロック解除されます。
-
インスタンスの詳細ページで、 をクリックします。[VNC] セクションで、[ログオン] をクリックします。
-
Windows にログオンします。
-
VNC ウィンドウの左上隅にある をクリックして画面のロックを解除します。
-
ユーザーアカウント (デフォルト:Administrator) を選択し、インスタンスのパスワードを入力して、Windows にログオンします。
パスワードを設定していない、または忘れた場合は、インスタンスの詳細ページで [その他] > [インスタンスパスワードのリセット] をクリックします。
-
手順3:RDP アクセスの復元
信頼できる IP アドレスからのみ RDP アクセスを許可します。ローカルマシンのパブリック IP アドレスが固定されていない場合は、Workbench ターミナル または Alibaba Cloud Client を使用してインスタンスに接続することを推奨します。これらのツールはセキュリティグループルールを自動的に設定できるため、頻繁な手動変更を回避するのに役立ちます。
-
許可するパブリック IP アドレスまたは CIDR ブロックを特定します。
ブラウザーで
https://cip.ccにアクセスし、この後のセキュリティグループ設定のためにローカルマシンのパブリック IP アドレスを取得します。 -
セキュリティグループルールを手動で変更します。
セキュリティグループの詳細ページの [インバウンドルール] タブで、[ルールの追加] をクリックします。特定のパブリック IP アドレスまたは CIDR ブロックのみが RDP 経由でインスタンスに接続できるようにルールを設定します。
ポリシー
優先度
プロトコル
送信先
ソース
[許可]
1
[カスタム TCP]
[RDP (3389)]
デフォルトポートは 3389 です。ポートを変更した場合は、実際の設定に基づいてこの値を更新してください。
特定したパブリック IP アドレスまたは CIDR ブロックに設定します。
重要ソースを
0.0.0.0/0に設定しないでください。RDP ポートをインターネットに公開すると、インスタンスがブルートフォース攻撃に対して非常に脆弱になり、アカウントのロックが繰り返し発生する可能性があります。
手順4:RDP 接続の確認
RDP クライアントを使用してインスタンスに接続し、正常にログオンできることを確認します。
セキュリティに関する推奨事項
-
デフォルトのリモートポートの変更:ポートスキャンによる攻撃対象領域を減らすために、デフォルトの RDP ポート
3389を標準的でないポートに変更することを推奨します。 -
強力なパスワードの使用:複雑なパスワードを設定し、定期的にローテーションすることで、ブルートフォース攻撃を軽減します。