Даю наводку на полезную утилиту, которой уже сам давно пользуюсь: IIS Crypto. Доступна версия 4.
IIS Crypto — это бесплатный инструмент, который предоставляет администраторам возможность включать или отключать протоколы, шифры, хеш-функции и алгоритмы обмена ключами в Windows Server версий с 2012 по 2025. Он также позволяет изменять порядок предложенных IIS наборов шифров SSL/TLS, менять расширенные настройки, применять рекомендации по лучшим практикам одним щелчком мыши, создавать пользовательские шаблоны и тестировать ваш веб-сайт.
https://www.nartac.com/Products/IISCrypto/Download
При этом утилита работает на уровне всей ОС, а не только для IIS.
Функции
- Защита вашего веб-сайта в соответствии с лучшими практиками одним щелчком мыши.
- Создание резервной копии реестра перед внесением любых обновлений.
- Изменение расширенных настроек реестра.
- Встроенные шаблоны: Best Practices, PCI 4.0, Strict и FIPS 140-2.
- Создание пользовательских шаблонов, которые можно сохранять и запускать на нескольких серверах.
- Возврат к исходным настройкам сервера по умолчанию.
- Включение TLS 1.1, 1.2 и 1.3*.
- Включение HTTP/3 с QUIC*.
- Включение совершенной прямой секретности (Forward Secrecy).
- Изменение порядка наборов шифров.
- Отключение небезопасных протоколов и шифров, таких как SSL 2.0, 3.0, MD5 и 3DES.
- Защита от атак DROWN, logjam, FREAK, POODLE и BEAST.
- Сканер сайта для проверки вашей конфигурации.
- Версия для командной строки.
- Ведение журнала всех изменений.
- Просмотр текущих настроек.
*Для работы TLS 1.3 и HTTP/3 с QUIC требуется Windows Server 2022 или новее.
Что делает IIS Crypto?
IIS Crypto обновляет реестр, используя те же настройки, что описаны в этой статье Microsoft. Он также изменяет порядок наборов шифров так же, как это делает Редактор групповой политики (gpedit.msc). Кроме того, IIS Crypto позволяет создавать пользовательские шаблоны, которые можно сохранить для использования на нескольких серверах. Версия для командной строки содержит те же встроенные шаблоны, что и графическая версия, и также может использоваться с вашими собственными шаблонами. IIS Crypto тестировался на Windows Server 2012 R2, 2016, 2019, 2022 и 2025.
IIS Crypto требует прав администратора. Если вы работаете под учетной записью без прав администратора, графическая версия запросит повышенные привилегии. Версия для командной строки должна быть запущена из командной строки, уже имеющей повышенные привилегии.
Загрузка
IIS Crypto предлагается как в графической версии (GUI), так и в версии для командной строки (CLI).
https://www.nartac.com/Products/IISCrypto/Download
Пользовательские шаблоны
IIS Crypto позволяет создавать собственные шаблоны, которые можно сохранять и затем выполнять на нескольких серверах. Чтобы создать свой шаблон, выберите все нужные настройки для вашей конфигурации. Нажмите на кнопку «Templates» (Шаблоны) и дайте вашему шаблону имя, автора и описание (если хотите). Затем нажмите кнопку «Save» (Сохранить), чтобы сохранить шаблон на диск. Скопируйте ваш шаблон на другой сервер, запустите IIS Crypto и нажмите кнопку «Open» (Открыть), чтобы загрузить ваш шаблон. Вы также можете использовать его в версии IIS Crypto для командной строки.
Совет: Загрузите шаблон «Best Practices» (Лучшие практики), прежде чем начинать настраивать свой собственный шаблон, чтобы обеспечить безопасную базовую настройку. Если ваш шаблон находится в той же папке, что и IIS Crypto, он автоматически появится в выпадающем списке, без необходимости сначала нажимать кнопку «Open».
Справка по командной строке
Ниже приведены параметры для версии IIS Crypto для командной строки. Все параметры являются необязательными.
| Переключатель | Опция | Описание |
| /backup | <имя_файла> | Указание файла для сохранения резервной копии текущих настроек реестра. |
| /log | <имя_файла> | Указание файла для ведения журнала. |
| /reboot | Перезагрузить сервер после применения шаблона. | |
| /template | default | Этот шаблон восстанавливает настройки сервера по умолчанию. |
| best | Этот шаблон настраивает сервер на использование лучших практик для TLS. Он совместим с максимальным количеством браузеров, отключая небезопасные протоколы, включая TLS 1.0 и 1.1. Также отключает наборы шифров без совершенной прямой секретности и с использованием SHA1, кроме Windows Server 2012. | |
| pci40 | Этот шаблон используется для обеспечения соответствия сервера стандарту PCI 4.0. Он похож на Best Practices, но удаляет некоторые устаревшие наборы шифров в Windows Server 2012. | |
| strict | Этот шаблон настраивает сервер на использование максимально строгих настроек. Он похож на PCI 4.0, но удаляет шифры CBC для всех версий Windows Server 2016 и новее. | |
| fips140 | Этот шаблон обеспечивает соответствие сервера стандарту FIPS 140-2. Он похож на шаблон Best Practices, однако он не так безопасен, поскольку некоторые слабые наборы шифров остаются включенными. | |
| <имя_файла> | Указание имени файла шаблона для использования. | |
| /verbose | Отображать/записывать все события журнала. | |
| /view | Показывает все текущие настройки. | |
| /help или /? | Показать экран справки. |
Создать резервную копию реестра в файл backup.reg, применить пользовательский шаблон с именем MyServers.ictpl и перезагрузить сервер:
iiscryptocli /backup backup.reg /template "C:\temp\MyServers.ictpl" /rebootПоказать все текущие настройки и записать их в файл журнала:
iiscryptocli /log settings.log /viewСсылки
Windows Server — настройка TLS
Добавил в сборку для системного администратора
