Lỗi “The user account has been locked out” là một thông báo quen thuộc khi không thể đăng nhập vào máy chủ Windows qua Remote Desktop, thường do nhập sai mật khẩu nhiều lần. Trong bài viết này mình sẽ hướng dẫn chi tiết cách xử lý lỗi để bạn có thể truy cập lại máy chủ của mình một cách an toàn.
Những điểm chính
- Nguyên nhân gây ra lỗi: Nắm được các nguyên nhẫn phổ biến gây ra lỗi “the user account has been locked”.
- Hướng dẫn cách xử lý lỗi: Được hướng dẫn chi tiết các bước xử lý lỗi “the user account has been locked” đối với người dùng thông thường và quản trị viên.
- Câu hỏi thường gặp: Giải đáp các vấn đề liên quan đến lỗi “the user account has been locked”.
Nguyên nhân gây ra lỗi the user account has been locked out
Lỗi “The user account has been locked out” là một cơ chế bảo mật tự động được thiết lập để bảo vệ hệ thống (đặc biệt là VPS Windows thông qua Remote Desktop) khỏi các cuộc tấn công dò mật khẩu (Brute-force). Thông báo lỗi đầy đủ thường xuất hiện như sau:
As a security precaution, the user account has been locked out because there were too many logon attempts or password change attempts. Wait a while before trying again, or contact your system administrator or technical support.
Nguyên nhân cốt lõi của sự cố này là do chính sách Account Lockout Policy được thiết lập mặc định trên Windows nhằm bảo vệ máy chủ bằng cách tự động khóa tài khoản người dùng sau một số lần đăng nhập không thành công liên tiếp. Các tình huống cụ thể dẫn đến việc kích hoạt chính sách này bao gồm:
- Người dùng nhập sai mật khẩu: Người dùng hợp lệ vô tình nhập sai mật khẩu hoặc thông tin đăng nhập vượt quá số lần cho phép.
- Tấn công Brute Force: Kẻ xấu từ bên ngoài cố gắng dò mật khẩu của tài khoản bằng cách thử liên tiếp nhiều mật khẩu khác nhau, dẫn đến việc tài khoản bị khóa do số lần đăng nhập sai đạt đến giới hạn.
Hướng dẫn cách xử lý lỗi the user account has been locked out
Tùy vào vai trò của bạn là người dùng hay quản trị viên, sẽ có những cách xử lý khác nhau.
Đối với người dùng thông thường
Nếu không có quyền quản trị, bạn có thể thử hai cách sau:
- Chờ một khoảng thời gian: Hầu hết các hệ thống được thiết lập để tự động mở khóa tài khoản sau một khoảng thời gian nhất định (ví dụ: 15 hoặc 30 phút).
- Liên hệ quản trị viên (Admin): Để được hỗ trợ nhanh nhất, bạn hãy liên hệ với bộ phận IT hoặc người quản trị hệ thống để yêu cầu mở khóa tài khoản thủ công.
Đối với quản trị viên hệ thống (trên Windows)
Nếu có quyền quản trị, bạn có thể thay đổi chính sách bảo mật để gỡ lỗi hoặc vô hiệu hóa hoàn toàn tính năng này.
Lưu ý
Khi gặp lỗi này, bạn sẽ không thể truy cập vào VPS/máy chủ Windows qua Remote Desktop. Để khắc phục, bạn cần truy cập máy chủ bằng một phương pháp khác (như VNC) để thay đổi chính sách bảo mật của hệ điều hành.
Bước 1: Đăng nhập vào VPS qua VNC
Vì không thể sử dụng Remote Desktop, bạn cần dùng chức năng VNC được cung cấp bởi nhà quản lý dịch vụ VPS của bạn.
Bạn đăng nhập vào trang quản lý dịch vụ VPS, tìm đến phần Thông tin máy chủ hoặc khu vực quản lý tương tự và tìm tùy chọn VNC. Chúng thường sẽ có tên là Launch HTML 5 VNC Client hoặc một tùy chọn tương tự, bạn bấm chạy trình kết nối VNC.
Bước 2: Kết nối tới VPS
Sau khi cửa sổ VNC hiện ra, bạn sẽ thấy màn hình đăng nhập của Windows. Bạn nhập mật khẩu quản trị viên (administrator) vào để đăng nhập.
Lưu ý
Chức năng VNC thường không cho phép sao chép/dán (copy/paste) mật khẩu. Bạn phải nhập mật khẩu một cách thủ công, vì vậy hãy đảm bảo gõ chính xác.
Bước 3: Truy cập Group Policy Editor
Sau khi đăng nhập thành công vào Windows, bạn mở Run (Win + R) và gõ gpedit.msc hoặc tìm kiếm Edit Group Policy trong Settings.
Sau đó bạn điều hướng theo đường dẫn: Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy.
Trong mục Account Lockout Policy, bạn sẽ thấy 3 chính sách. Hãy nhấp đúp vào Account lockout threshold. Tại đây, hệ thống sẽ hiển thị số lần đăng nhập sai trước khi tài khoản bị khóa (ví dụ là 5 lần). Để vô hiệu hóa tính năng này, hãy thay đổi giá trị từ 5 (hoặc một số khác) thành 0.
Bạn nhấn Apply, sau đó nhấn OK để xác nhận thay đổi.
Sau khi hoàn tất, các giá trị khác trong Account Lockout Policy cũng sẽ tự động được cập nhật.
Bước 4: Cập nhật cấu hình
Để các thay đổi vừa thực hiện có hiệu lực ngay lập tức, bạn cần cập nhật lại chính sách hệ thống bằng cách mở CMD với quyền Run as administrator, sau đó nhập lệnh:
gpupdate /forceLệnh này sẽ buộc hệ thống áp dụng các cài đặt chính sách mới. Sau khi lệnh chạy thành công, tính năng tự động khóa tài khoản khi đăng nhập sai nhiều lần đã được vô hiệu hóa. Bây giờ bạn có thể đóng cửa sổ VNC và kết nối lại vào VPS của mình thông qua Remote Desktop như bình thường.
Câu hỏi thường gặp
Việc đặt Account lockout threshold về 0 có an toàn không?
Việc đặt về 0 giúp tránh bị khóa tài khoản, nhưng cũng làm giảm mức độ bảo mật của máy chủ, vì kẻ tấn công có thể thử mật khẩu liên tục mà không bị chặn. Bạn nên xem xét các biện pháp bảo mật bổ sung.
Làm thế nào để bảo vệ VPS Windows khỏi tấn công Brute Force?
Để bảo vệ VPS Windows khỏi tấn công Brute Force bạn nên:
– Sử dụng mật khẩu mạnh và phức tạp.
– Thay đổi cổng RDP mặc định (3389) sang một cổng khác.
– Cấu hình Firewall để chỉ cho phép các IP đáng tin cậy kết nối RDP.
– Cài đặt các phần mềm như Fail2Ban (hoặc các giải pháp tương tự trên Windows) để tự động chặn các IP có hành vi đáng ngờ.
Sau khi khắc phục lỗi, tôi có nên đặt lại chính sách khóa tài khoản không?
Có, bạn nên đặt lại chính sách này với một giá trị hợp lý (ví dụ: khóa sau 5-10 lần nhập sai) và thời gian khóa (ví dụ: 15-30 phút). Điều này giúp cân bằng giữa bảo mật và sự tiện lợi, đồng thời kết hợp với các biện pháp bảo vệ khác.
Tóm lại, lỗi “The user account has been locked out” là một cơ chế bảo mật quan trọng của Windows, nhằm bảo vệ máy chủ khỏi các cuộc tấn công. Tuy nhiên, để đảm bảo an toàn lâu dài, bạn cần kết hợp việc xử lý lỗi với các biện pháp bảo mật chủ động như sử dụng mật khẩu mạnh, cấu hình tường lửa và phòng chống tấn công Brute Force, từ đó duy trì một môi trường máy chủ Windows ổn định và an toàn.
