[Win 11 Home 23H2 22631.2861] Was macht die "CertEnrollCtrl.exe"?

[Marcel Logen]

Win 11 Home 23H2 22631.2861 (laut "winver").

Ich wollte "CertUtil.exe -view -?" aufrufen, habe aber irrtümlich
mit der TAB-Taste nach "Cert" dann "CertEnrollCtrl.exe -view -?"
eingegeben. (Vorgesehen war eigentlich, daß ich mir mit CertUtil
den Inhalt eines PEM-Zertifikates ansehen wollte.)

Es kam keine (Rück-)Meldung, sondern sofort wieder der Prompt im
Terminalfenster.

War das jetzt irgendwie schädlich für das System? Oder doch eher
harmlos? (Es handelt sich um das bei der Installation von Win 11
auf einem HP-Notebook nach dem ersten Einschalten per "windows/
windows" angelegtes lokales Admin-Konto.)

Leider habe ich bei Microsoft keine Doku zur CertEnrollCtrl.exe
finden können.

Marcel 10mkv (1071775)
--
╰───╮ ╭───────╮ ╭────╮ ╭─╮ ╭────────╯
╭──╯ ╭─────╮ ╰──╮ ╰─╮ ╭───╮ ╰─╮ ╰──────╯ │ ╰────╮
╰─╮ ╭──╯ │ ╭──╯ ╰────╯ │ ╭─╮ ╭─╯ ╭───╯ ╭─────╯
╰──╯ ╰──╯ ╰───╯ ╰─╯ ╰─────╯ 8def61

[Stefan Kanthak]

"Marcel Logen" <33320000...@ybtra.de> schrieb:

> (Es handelt sich um das bei der Installation von Win 11
> auf einem HP-Notebook nach dem ersten Einschalten per "windows/
> windows" angelegtes lokales Admin-Konto.)

AUTSCH: solche VERNARRENKAPPTEN Administrator-Konten nutzt niemand
mit klarem Verstand!
Aktiviere das eingebaute Administratorkonto (und nutze es NUR fuer
administrative Arbeiten), stufe danach das bisherige Konto zum
(unprivilegierten) Standard-Benutzer herab.
Starte dazu im bisherigen Konto eine Eingabeaufforderung mit
erhoehten Rechten und fuehre folgende 3 Kommandozeilen aus:

NET.exe USER Administrator /Active:Yes /PasswordReq:Yes
NET.exe LOCALGROUP Administrators "%USERNAME%" /Delete
NET.exe LOCALGROUP Users "%USERNAME%" /Add

> Leider habe ich bei Microsoft keine Doku zur CertEnrollCtrl.exe
> finden können.

Ach?
Lass Dir vom Explorer die "Details" alias "Versionsinformationen"
anzeigen:

| File Description Certificate Enrollment Control
| Internal Name EnrollComServer.exe

Alternativ <https://skanthak.homepage.t-online.de/tidbits.html#version>

Am internen Namen kannst Du sehen, dass das ein [D]COM-Server, d.h. ein
in einem eigenen Prozess laufendes COM-Object ist (zu Component Object
Model siehe <https://msdn.microsoft.com/en-us/library/ff637359.aspx>)

Wenn Du wagemutig bist, dann findest Du ueber diese Beschreibung u.a.
<https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-cersod/444f0375-3cf6-4bdf-b41b-18eed3ba6b54>
<https://learn.microsoft.com/en-us/windows/win32/seccrypto/certificate-enrollment-control>
<https://learn.microsoft.com/en-us/windows/win32/seccrypto/using-certificate-enrollment-control>
<https://learn.microsoft.com/en-us/windows/win32/seccrypto/the-certificate-enrollment-control-instantiated-in-vbscript>

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Marcel Logen]

Stefan Kanthak in de.comp.os.ms-windows.misc:

>"Marcel Logen" <33320000...@ybtra.de> schrieb:

>Aktiviere das eingebaute Administratorkonto (und nutze es NUR fuer
>administrative Arbeiten), stufe danach das bisherige Konto zum
>(unprivilegierten) Standard-Benutzer herab.
>Starte dazu im bisherigen Konto eine Eingabeaufforderung mit
>erhoehten Rechten und fuehre folgende 3 Kommandozeilen aus:
>
> NET.exe USER Administrator /Active:Yes /PasswordReq:Yes
> NET.exe LOCALGROUP Administrators "%USERNAME%" /Delete
> NET.exe LOCALGROUP Users "%USERNAME%" /Add

Thx.

>> Leider habe ich bei Microsoft keine Doku zur CertEnrollCtrl.exe
>> finden können.
>
>Ach?

Nix "ach".

Gib in eine Suchmaschine mal "microsoft doku certenrollctrl.exe" ein.
Oder bei learn.microsoft.com "certenrollctrl.exe" ...

>Lass Dir vom Explorer die "Details" alias "Versionsinformationen"
>anzeigen:
>
>| File Description Certificate Enrollment Control
>| Internal Name EnrollComServer.exe

Interessant.

[...]

>Wenn Du wagemutig bist, dann findest Du ueber diese Beschreibung u.a.
><https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-cersod/444f0375-3cf6-4bdf-b41b-18eed3ba6b54>
><https://learn.microsoft.com/en-us/windows/win32/seccrypto/certificate-enrollment-control>

So etwas ähnliches hatte ich mir schon gedacht.

Also liegen jetzt vermutlich der neue private und öffentliche
Schlüssel und ein CSR (?) irgendwo im Dateisystem, bis ich sie
lösche oder an eine CA schicke. (?)

Also alles wohl eher unschädlich für das System (das war ja meine
Frage).

Marcel 159ge (1222158)
--
│ ╭─────────╮ ╭─╮ ╭──╮ ╭─────╮ ╭──╮ ╭─╮ ╭───
│ ╭───╮ ╰─────╮ ╰──╯ │ ╭──────╯ ╰───────╯ ╭─╯ │ ╰─╯ ╰──╯
╰───╯ │ ╭────╯ ╰─╮ ╰───╮ ╭─╯ ╭──╯
╰───╯ ╰──────╯ ╰───╯ 668000

[Marcel Logen]

Stefan Kanthak in de.comp.os.ms-windows.misc:

>"Marcel Logen" <33320000...@ybtra.de> schrieb:

>Aktiviere das eingebaute Administratorkonto (und nutze es NUR fuer
>administrative Arbeiten), stufe danach das bisherige Konto zum
>(unprivilegierten) Standard-Benutzer herab.
>Starte dazu im bisherigen Konto eine Eingabeaufforderung mit
>erhoehten Rechten und fuehre folgende 3 Kommandozeilen aus:
>
> NET.exe USER Administrator /Active:Yes /PasswordReq:Yes
> NET.exe LOCALGROUP Administrators "%USERNAME%" /Delete
> NET.exe LOCALGROUP Users "%USERNAME%" /Add

Thx.

>> Leider habe ich bei Microsoft keine Doku zur CertEnrollCtrl.exe
>> finden können.
>
>Ach?

Nix "ach".

Gib in eine Suchmaschine mal "microsoft doku certenrollctrl.exe" ein.
Oder bei learn.microsoft.com "certenrollctrl.exe" ...

>Lass Dir vom Explorer die "Details" alias "Versionsinformationen"
>anzeigen:
>
>| File Description Certificate Enrollment Control
>| Internal Name EnrollComServer.exe

Interessant.

[...]

>Wenn Du wagemutig bist, dann findest Du ueber diese Beschreibung u.a.
><https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-cersod/444f0375-3cf6-4bdf-b41b-18eed3ba6b54>
><https://learn.microsoft.com/en-us/windows/win32/seccrypto/certificate-enrollment-control>

So etwas ähnliches hatte ich mir schon gedacht.

Also liegen jetzt vermutlich der neue private und öffentliche
Schlüssel und ein CSR (?) irgendwo im Dateisystem, bis ich sie

lösche oder den CSR an eine CA schicke. (?)

Also alles wohl eher unschädlich für das System (das war ja meine
Frage).

Marcel 159ja (1222250)

[supersedes]
--
╭──────╮ ╭──╮ ╭───╮ ╭─╮ ╭──────╮
╰──╮ ╰──╯ │ ╰─╮ ╰─╯ │ │ ╭───╯
╭───╮ ╭──╮ │ ╰─╮ ╭────────╯ ╰─╮ ╭────╮ │ ╰───────╮
──╯ ╰─╯ ╰──╯ ╰──╯ ╰─╯ ╰──────╯ 5245bc ╰

[Stefan Kanthak]

"Marcel Logen" <33320000...@ybtra.de> schrieb:

> Stefan Kanthak in de.comp.os.ms-windows.misc:
>
>>"Marcel Logen" <33320000...@ybtra.de> schrieb:

>>> Leider habe ich bei Microsoft keine Doku zur CertEnrollCtrl.exe
>>> finden können.
>>
>>Ach?
>
> Nix "ach".
>
> Gib in eine Suchmaschine mal "microsoft doku certenrollctrl.exe" ein.

Wieso sollte ich solchen offensichtlichen Bloedsinn verunstalten?
Ohne "doku" kommt VIEL SCHROTT wie "Is it a virus or malware?" oder
"What is ... and how to fix it?", mit denen arme Troepfe gekoedert
werden, aber auch <https://support.microsoft.com/en-us/kb/2078942>

> Oder bei learn.microsoft.com "certenrollctrl.exe" ...

Das wuerden dann Implementierungsdetails sein, die sich jederzeit
aendern koennen.

>>Lass Dir vom Explorer die "Details" alias "Versionsinformationen"
>>anzeigen:
>>
>>| File Description Certificate Enrollment Control
>>| Internal Name EnrollComServer.exe
>
> Interessant.

Hilfe zur Selbsthilfe.-P

[...]

> Also liegen jetzt vermutlich der neue private und öffentliche
> Schlüssel und ein CSR (?) irgendwo im Dateisystem, bis ich sie
> lösche oder den CSR an eine CA schicke. (?)

Nein; Du hast lediglich den Serverprozess des [D]COM-Objekts gestartet,
ihm aber keinen Auftrag erteilt.

> Also alles wohl eher unschädlich für das System

Korrekt.

> (das war ja meine Frage).

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Marcel Logen]

Stefan Kanthak in de.comp.os.ms-windows.misc:

>"Marcel Logen" <33320000...@ybtra.de> schrieb:

>> Stefan Kanthak in de.comp.os.ms-windows.misc:

>Ohne "doku" kommt VIEL SCHROTT wie "Is it a virus or malware?" oder
>"What is ... and how to fix it?", mit denen arme Troepfe gekoedert

ACK

>werden, aber auch <https://support.microsoft.com/en-us/kb/2078942>

Den hatte ich glaube ich bei meiner Suche auch gefunden.
Half aber nicht weiter, u. a. weil es da um Windows 7 geht.

>> Oder bei learn.microsoft.com "certenrollctrl.exe" ...
>
>Das wuerden dann Implementierungsdetails sein, die sich jederzeit
>aendern koennen.

Ich hatte mir davon eine Liste der Optionen der EXE erwartet.

(Das funktioniert bei den PowerShell-Befehlen IMHO eigentlich
ganz gut.)

>>>Lass Dir vom Explorer die "Details" alias "Versionsinformationen"
>>>anzeigen:
>>>
>>>| File Description Certificate Enrollment Control
>>>| Internal Name EnrollComServer.exe
>>
>> Interessant.
>
>Hilfe zur Selbsthilfe.-P

Das ist ja auch völlig OK. Danke.

Marcel 14d5p (1193145)
--
╭─────╮ ╭───╮ ╭──╮ ╭─────────────╮ ╭─╮ ╭─────╮ ╭─╮
╰───╮ │ ╰─╮ ╰─╯ ╰────╮ ╰───╮ ╰─╯ ╰───╯ ╭──╯ ╭─╯ │
─────╯ ╰─╮ ╰─╮ │ ╭─╮ │ │ ╭─╯ ╰─╮ ╭──╮
╰────╯ ╰──╯ ╰─╯ ╰──╯ c0b4db╰─╯ ╰───

[Takvorian]

Christian @Soemtron schrieb:

> Stefan Kanthak <postmaster@[127.0.0.1]> schrieb:

>
>> Starte dazu im bisherigen Konto eine Eingabeaufforderung mit
>> erhoehten Rechten und fuehre folgende 3 Kommandozeilen aus:
>>
>> NET.exe USER Administrator /Active:Yes /PasswordReq:Yes
>> NET.exe LOCALGROUP Administrators "%USERNAME%" /Delete
>> NET.exe LOCALGROUP Users "%USERNAME%" /Add
>

> Ist der letzte Befehl wirklich nötig

Ja.

> d.h. ist %username% nicht automatisch in der Gruppe Users?

Nein, wie NET.exe "%USERNAME%" deutlich zeigt. Sollte da zusätzlich
"Benutzer" stehen, wäre das eine Vermurksung, jemand hätte Mist gebaut.