Сегодня даю наводку на полезную утилиту, которой уже сам давно пользуюсь: IIS Crypto. Доступна версия 4.
IIS Crypto — это бесплатный инструмент, который предоставляет администраторам возможность включать или отключать протоколы, шифры, хеш-функции и алгоритмы обмена ключами в Windows Server версий с 2012 по 2025. Он также позволяет изменять порядок предложенных IIS наборов шифров SSL/TLS, менять расширенные настройки, применять рекомендации по лучшим практикам одним щелчком мыши, создавать пользовательские шаблоны и тестировать ваш веб-сайт.
https://www.nartac.com/Products/IISCrypto/Download
При этом утилита работает на уровне всей ОС, а не только для IIS.
Функции
- Защита вашего веб-сайта в соответствии с лучшими практиками одним щелчком мыши.
- Создание резервной копии реестра перед внесением любых обновлений.
- Изменение расширенных настроек реестра.
- Встроенные шаблоны: Best Practices, PCI 4.0, Strict и FIPS 140-2.
- Создание пользовательских шаблонов, которые можно сохранять и запускать на нескольких серверах.
- Возврат к исходным настройкам сервера по умолчанию.
- Включение TLS 1.1, 1.2 и 1.3*.
- Включение HTTP/3 с QUIC*.
- Включение совершенной прямой секретности (Forward Secrecy).
- Изменение порядка наборов шифров.
- Отключение небезопасных протоколов и шифров, таких как SSL 2.0, 3.0, MD5 и 3DES.
- Защита от атак DROWN, logjam, FREAK, POODLE и BEAST.
- Сканер сайта для проверки вашей конфигурации.
- Версия для командной строки.
- Ведение журнала всех изменений.
- Просмотр текущих настроек.
*Для работы TLS 1.3 и HTTP/3 с QUIC требуется Windows Server 2022 или новее.
Что делает IIS Crypto?
IIS Crypto обновляет реестр, используя те же настройки, что описаны в этой статье Microsoft. Он также изменяет порядок наборов шифров так же, как это делает Редактор групповой политики (gpedit.msc). Кроме того, IIS Crypto позволяет создавать пользовательские шаблоны, которые можно сохранить для использования на нескольких серверах. Версия для командной строки содержит те же встроенные шаблоны, что и графическая версия, и также может использоваться с вашими собственными шаблонами. IIS Crypto тестировался на Windows Server 2012 R2, 2016, 2019, 2022 и 2025.
IIS Crypto требует прав администратора. Если вы работаете под учетной записью без прав администратора, графическая версия запросит повышенные разрешения. Версия для командной строки должна быть запущена из командной строки, уже имеющей повышенные разрешения.
Загрузка
IIS Crypto предлагается как в графической версии (GUI), так и в версии для командной строки (CLI).
https://www.nartac.com/Products/IISCrypto/Download
Пользовательские шаблоны
IIS Crypto позволяет создавать собственные шаблоны, которые можно сохранять и затем выполнять на нескольких серверах. Чтобы создать свой шаблон, выберите все нужные настройки для вашей конфигурации. Нажмите на кнопку «Templates» (Шаблоны) и дайте вашему шаблону имя, автора и описание (если хотите). Затем нажмите кнопку «Save» (Сохранить), чтобы сохранить шаблон на диск. Скопируйте ваш шаблон на другой сервер, запустите IIS Crypto и нажмите кнопку «Open» (Открыть), чтобы загрузить ваш шаблон. Вы также можете использовать его в версии IIS Crypto для командной строки.
Совет: Загрузите шаблон «Best Practices» (Лучшие практики), прежде чем начинать настраивать свой собственный шаблон, чтобы обеспечить безопасную базовую настройку. Если ваш шаблон находится в той же папке, что и IIS Crypto, он автоматически появится в выпадающем списке, без необходимости сначала нажимать кнопку «Open».
Ссылки
Windows Server — настройка TLS
Добавил в сборку для системного администратора
Источник:
Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.