Старые методы шифрования становятся менее надежны и все больше становится рисков, что они станут доступны для перехвата трафика злоумышленниками. Отключение устаревших методов шифрования в Windows повышает безопасность системы. Чтобы отключить небезопасные шифры в Windows (например, RC4, DES, 3DES, NULL, экспортные шифры), можно использовать редактор реестра (regedit) или IISCrypto (графический инструмент). Ниже основные способы сделать это:

1. Через редактор групповой политики (GPO)

Подходит для Windows Pro, Enterprise и Education.

1. Откройте gpedit.msc
2. Перейдите в: Конфигурация компьютера → Административные шаблоны → Сеть → Настройка SSL.
3. Найдите "Отключить поддержку протокола SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1".
4. Включите политику и сохраните.

2. Через реестр (Regedit)

Подходит для всех версий Windows.
1. Откройте RegEdit
2. Перейдите в ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

3. Создайте разделы (если их нет) для отключаемых протоколов, например: SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1

1. В каждом разделе создайте подраздел Server и/или Client.
2. Добавьте DWORD-параметр Enabled со значением 0 (для отключения)

3. Отключение слабых шифров в SCHANNEL

В том же разделе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers

можно отключить устаревшие алгоритмы:

Шифр	Путь в реестре
RC4 128/128	SCHANNEL\Ciphers\RC4 128/128
RC4 56/128	SCHANNEL\Ciphers\RC4 56/128
RC4 40/128	SCHANNEL\Ciphers\RC4 40/128
DES 56/56	SCHANNEL\Ciphers\DES 56/56
3DES 168/168	SCHANNEL\Ciphers\Triple DES 168
NULL-шифры	SCHANNEL\Ciphers\NULL

Для каждого шифра создайте подраздел и параметр Enabled = 0.
Пример для RC4:

1. Создайте ключ: ...\SCHANNEL\Ciphers\RC4 128/128
2. Внутри создайте подраздел Server (и/или Client, если нужно).
3. Добавьте DWORD-параметр Enabled со значением 0

Повторите для других слабых шифров.

4. Использование PowerShell

Можно отключить протоколы используя командлеты PowerShell:

# Отключение TLS 1.0 и TLS 1.1
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 0 -PropertyType DWORD -Force
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "Enabled" -Value 0 -PropertyType DWORD -Force
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 0 -PropertyType DWORD -Force
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "Enabled" -Value 0 -PropertyType DWORD -Force

5. Проверка настроек и рекомендации

После внесения изменений перезагрузите компьютер.

Проверите настройки можно с помощью различных утилит:

• IISCrypto 
• nmap (сканер портов): nmap --script ssl-enum-ciphers -p 443 ваш_сайт.ru
• OpenSSL: openssl s_client -connect ваш_сайт:443 -tls1_2

Рекомендации

• Оставьте включенными TLS 1.2 и TLS 1.3 (если поддерживается).
• Проверьте совместимость с устаревшими системами перед отключением.
• Используйте Windows Update, чтобы получить последние исправления безопасности.
• Оставить включенными только современные шифры:
  • TLS 1.2 + TLS 1.3 (лучший выбор)
  • AES-256-GCM, AES-128-GCM, CHACHA20-POLY1305
  • ECDHE (Forward Secrecy)
• Отключить полностью:
  • SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1
  • RC4, DES, 3DES, NULL, экспортные шифры
  • SHA-1 (использовать только SHA-256/SHA-384)