Giới hạn số lần đăng nhập (đối với máy trạm không quá 10 lần, mục 4.5.2.2, TCVN 14423-2025)

GPO Path:

Computer Configuration

└─ Windows Settings

└─ Security Settings

└─ Account Policies

└─ Account Lockout Policy

Cấu hình bắt buộc 3 tham số sau:

• Account lockout threshold: 10 invalid logon attempts

• Account lockout duration: 15 minutes

• Reset account lockout counter after: 15 minutes

=>Khi đặt Account lockout threshold = 10, Windows sẽ yêu cầu cấu hình 2 mục còn lại.

áp dụng GPO:

gpupdate /force

hoặc khởi động lại máy.

Tự động khóa phiên làm việc (đối với máy trạm không quá 15p, mục 4.5.2.2, TCVN 14423-2025)

Yêu cầu: Phiên làm việc của người dùng phải tự động bị khóa khi không có hoạt động trong thời gian không vượt quá 15 phút.

ý nghĩa triển khai trên Windows:

• Không cho phép máy trạm ở trạng thái mở phiên đăng nhập nhưng không khóa

• Khi người dùng rời máy → sau ≤ 15 phút → màn hình bị khóa, yêu cầu đăng nhập lại

GPO Path:

User Configuration

└─ Administrative Templates

└─ Control Panel

└─ Personalization

Cấu hình bắt buộc cả 4 chính sách sau:

• Enable screen saver => Enabled

• Screen saver timeout Enabled => 900 (giây)

• Password protect the screen saver => Enabled

• Force specific screen saver => Enabled => scrnsave.scr

áp dụng GPO:

gpupdate /force

hoặc khởi động lại máy.

Bắt buộc yêu cầu mật khẩu khi resume

GPO Path:

Computer Configuration

└─ Administrative Templates

└─ System

└─ Power Management

└─ Sleep Settings

Cấu hình:

• Require a password when a computer wakes (plugged in) → Enabled

• Require a password when a computer wakes (on battery) → Enabled

áp dụng GPO:

gpupdate /force

hoặc khởi động lại máy.

Password Policy

Không cho đăng nhập bằng tài khoản không mật khẩu

Bắt buộc tài khoản phải có mật khẩu!

GPO Path:

Computer Configuration

└─ Windows Settings

└─ Security Settings

└─ Account Policies

└─ Password Policy

Khuyến nghị cấu hình:

• Minimum password length → ≥ 8

• Password must meet complexity requirements → Enabled

• Maximum password age → 60–90 days

• Minimum password age → 1 day

áp dụng GPO:

gpupdate /force

hoặc khởi động lại máy.

Lưu ý thực tế khi triển khai tại xã/phường:

• Không đặt threshold quá cao (ví dụ 0 = không khóa)

• Không đặt duration = 0 (chỉ admin mở → dễ gây gián đoạn)

• 10 lần / 15 phút là mức cân bằng an toàn – vận hành

• Kết hợp với:

  • Mật khẩu mạnh

  • Tự động khóa phiên ≤ 15 phút (anh/chị đã triển khai)