远程桌面提示“为安全考虑，已锁定该用户帐户”怎么办？

admin

2025年12月27日 13:0 本文热度 1096

出现这种情况，一般就是远程桌面输入了过多次数的错误密码（也有可能有人在暴力破解哦~）

接下来，我们来看看安全记录

键盘win+R输入：cventvwr.msc打开事件查看器，依次点开windows日志->安全，找到网络源地址就是攻击者的IP，当然，这个IP极大概率是肉机或者代理的IP，从如下的记录中我们也可以看到出现了好多次4625的事件，且出现的频率和时间点极不寻常，很可能是有人在暴力破解啦。

（Windows事件ID 4625是一个安全审计事件，专门记录所有失败的登录尝试。当用户或系统进程尝试登录但提供错误凭据时，Windows会在安全日志中生成此事件。从网络安全角度看，这些记录是检测恶意活动的第一道防线。）

windows提供了两个主要的PowerShell命令来检索事件ID 4625，每个命令各有特点和适用场景。

1、Get-EventLog命令

Get-EventLog -LogName Security -InstanceId 4625#快速查看最近的登录失败事件

这个命令默认返回最近24小时 的记录，但你可以通过-After参数指定时间范围

Get-EventLog -LogName Security -InstanceId 4625 -After (Get-Date).AddHours(-12)#查看过去12小时的失败登入

2、Get-WinEvent命令

Get-WinEvent是一个更强大、更灵活的命令，适用于复杂查询和大量日志分析

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625}

记忆技巧 ：关键记住-FilterHashtable参数和它接受的哈希表结构：

Get-WinEvent的优势在于其强大的过滤能力 和性能优化 ，特别是在处理大量日志数据时比Get-EventLog更高效。

事件记录看完了，接下来我们来看看解决方案啦：

条件允许的情况下，我们首先当然是先把远程IP地址更换啦，现在个人服务器的话现在很多都是通过公网进行映射，所以如果可以的话先把IP地址变更，降低被暴力破解的风险。
第二步，建议设置个复杂的远程登入密码，提高安全等级（变更后的密码千万要记住哦，不要设置完忘记了等会儿自己都登入不了了）。
第三步调整账户锁定阈值

键盘win+R输入gpedit.msc回车打开本地组策略编辑器：依次点开计算机配置 —>Windows设置 —> 安全设置 —> 账户策略 —> 账户锁定策略。然后将账户锁定阈值设置大点，如果阈值设置为0的话表示不限制。

阅读原文：https://mp.weixin.qq.com/s/1KZtdWeYaz_j3oPBmkXMUA

该文章在 2025/12/27 13:00:26 编辑过

关键字查询

正在查询...