IIS Crypto: TLS-konfiguration för Windows Server
Konfigurera TLS-protokoll, cipher suites och säkerhetsinställningar på Windows Server med IIS Crypto 4.0. Ett gratisverktyg från Nartac Software.
Windows Server uppdaterar inte sina TLS-inställningar automatiskt – serveren behåller de standardinställningar den installerades med. Det innebär att många servrar fortfarande har TLS 1.0, TLS 1.1 och osäkra cipher suites aktiverade.
IIS Crypto från Nartac Software är ett gratisverktyg som gör det enkelt att uppdatera TLS-konfigurationen på Windows Server. Inställningarna påverkar alla Windows-tjänster: IIS, Exchange, RDP, SMTP och andra.
Krav: Windows Server 2012 eller nyare, .NET Framework 4.6.2+. Version 4.0 har även stöd för Windows Server 2025.
Snabbkonfiguration (Best Practices)
regedit och exportera HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL innan du gör några ändringar.För de flesta servrar är detta allt du behöver göra:
- Kör IIS Crypto som administratör.
- Klicka på Best Practices – detta aktiverar TLS 1.2 + TLS 1.3 och inaktiverar allt osäkert.
- Klicka på Apply.
- Starta om servern för att aktivera de nya inställningarna. Ändringarna kräver en omstart innan de träder i kraft.
Best Practices ger den bästa kombinationen av säkerhet och kompatibilitet.
Undvik att jaga A+ betyg i SSL-scanners till varje pris. Kompatibilitet kan vara viktigare än det lilla pluset. Best Practice-mallen ger en bra balans mellan säkerhet och funktionalitet.
Vad gör Best Practices?
Protokoll
| Protokoll | Status | Varför |
|---|---|---|
| SSL 2.0 | Inaktiverad | Fundamentalt osäker, bruten kryptografi |
| SSL 3.0 | Inaktiverad | POODLE-sårbarhet |
| TLS 1.0 | Inaktiverad | Föråldrad sedan 2021 (RFC 8996), många kända attacker |
| TLS 1.1 | Inaktiverad | Föråldrad sedan 2021 (RFC 8996) |
| TLS 1.2 | Aktiverad | Säker med AEAD cipher suites, bred kompatibilitet |
| TLS 1.3 | Aktiverad | Nyaste standarden, snabbare handshake, obligatorisk forward secrecy |
Cipher suites (Windows Server 2022+)
Best Practices aktiverar endast cipher suites med forward secrecy (ECDHE) och stark kryptering (AES-GCM, ChaCha20):
| Prioritet | Cipher Suite |
|---|---|
| 1 | TLS_CHACHA20_POLY1305_SHA256 |
| 2 | TLS_AES_256_GCM_SHA384 |
| 3 | TLS_AES_128_GCM_SHA256 |
| 4 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| 5 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| 6 | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| 7 | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
Alla CBC-, RC4-, 3DES- och non-PFS cipher suites inaktiveras.
Templates
IIS Crypto 4.0 har fem inbyggda mallar (templates):
| Template | Användning | TLS-versioner |
|---|---|---|
| Best Practices | Rekommenderas för de flesta servrar | 1.2 + 1.3 |
| PCI 4.0 | PCI DSS 4.0 compliance | 1.2 + 1.3 |
| Strict | Maximal säkerhet | 1.2 + 1.3 |
| FIPS 140-2 | Amerikanska statliga system | 1.0 + 1.1 + 1.2 |
| Default | Återställ till OS-standard | Varierar |
Rekommendation: Använd Best Practices om du inte har specifika krav på efterlevnad (compliance).
Backup innan ändringar
Ta alltid en backup innan du ändrar inställningar – så att du kan rulla tillbaka om något går fel.
Metod 1: Backup av registret
- Öppna fliken Advanced i IIS Crypto.
- Klicka på Backup Registry.
- Spara filen (t.ex.
C:\CryptoBackup\backup-fore-andring.reg).
Denna fil kan importeras direkt i Windows register för att återställa inställningarna.
Metod 2: Backup av mall (Template)
- Öppna IIS Crypto utan att ändra något.
- Gå till Templates.
- Klicka på diskettikonen (Save the selected template).
- Spara som en
.ictpl-fil (t.ex.C:\CryptoBackup\backup.ictpl).
Denna fil kan sedan importeras i IIS Crypto på samma eller andra servrar.
Driftsättning på flera servrar
- Konfigurera en server med önskade inställningar.
- Spara konfigurationen som en mall (
.ictpl-fil). - Kopiera filen till de andra servrarna.
- Öppna IIS Crypto → Templates → mappikonen (Open a template from file).
- Klicka på Apply och starta om servern.
HTTP/3 med QUIC (Windows Server 2022+)
IIS Crypto 4.0 stöder aktivering av HTTP/3 via QUIC:
- Använd Best Practices (aktiverar TLS 1.3 och nödvändiga cipher suites).
- Gå till Advanced → markera Enable HTTP/3 with QUIC.
- Klicka på Apply och starta om.
- Öppna IIS Manager, lägg till HTTP Response Header:
Alt-Svc: h3=":443" - Öppna port 443 UDP i Windows-brandväggen och ev. extern nätverksbrandvägg.
SSL Labs rating
Med Best Practices och TLS 1.3 aktiverat kan du nå betyget A+ hos SSL Labs. Viktiga punkter:
| Krav | Inverkan på betyg |
|---|---|
| TLS 1.0 eller 1.1 aktiverat | Max betyg B |
| Inget stöd för TLS 1.3 | Max betyg A- |
| Ingen HSTS eller ogiltig HSTS | Max betyg A- |
| HSTS max-age under 6 månader | Kan inte nå A+ |
Använd FairSSL SSL Scanner eller IIS Cryptos inbyggda Site Scanner för att verifiera din konfiguration.
Särskilda hänsyn
Exchange Server och SMTP
Var uppmärksam på att många äldre e-postsystem fortfarande använder TLS 1.0/1.1 för SMTP. Om du inaktiverar dessa protokoll kan det påverka mejlflödet från äldre avsändare. Testa noga innan bred driftsättning.
RDP (Remote Desktop)
Inställningarna i IIS Crypto påverkar även RDP. Se till att dina RDP-klienter stöder TLS 1.2 innan du inaktiverar äldre protokoll.