Компания Microsoft представила драйвер для Windows, который не позволяет пользователям изменять браузер по умолчанию в Windows 10 и Windows 11 с помощью сторонних программ или ручных изменений в реестре.
Драйвер UCPD.sys, или User Choice Protection Driver, появился без предупреждения среди других февральских обновлений для Windows 10 (KB5034763) и Windows 11 (KB5034765). Драйвер предотвращает прямое редактирование ключей реестра, связанных с http и https и расширением файла .pdf.
Об изменении стало известно, когда IT-консультант Кристоф Колбич обнаружил, что его программы SetUserFTA и SetDefaultBrowse больше не работают. Об этом сообщает Bleeping Computer. Оказалось, что новый драйвер блокирует эти утилиты командной строки, предназначенные для системных администраторов, чтобы легко изменять ассоциации Windows по умолчанию для типов файлов и браузера по умолчанию.
Начиная с Windows 8, Microsoft использует систему, в которой расширения файлов и URL-протоколы ассоциируются с утилитами по умолчанию. Microsoft добавила эти хэш-значения ключа реестра ‘UserChoice’, чтобы предотвратить манипуляции со стороны вредоносных программ. Это делается для того, чтобы значение UserChoice ProgId было установлено реальным пользователем, а не вредоносными третьими лицами.
Отключение драйверов
Колбич провел реверс-инжиниринг этой системы для создания своих программ, но новый драйвер теперь блокирует подобные изменения. В своем блоге Колбич сообщает, что отключить его можно через строку реестра:
New-ItemProperty -Path «HKLM:_CurrentControlSet Services» -Name «Start» -Value 4 -PropertyType DWORD -Force
Для этого требуются права администратора и перезагрузка системы.
Другой IT-эксперт, Гуннар Хаслингер, сообщил, что новая запланированная задача в разделе 【AppxDeploymentClient〉 просто снова включает драйвер. Поэтому, чтобы быть полностью уверенным в том, что драйвер больше не работает, пользователю следует удалить и эту задачу.
Далее Хаслингер отметил, что нижеперечисленные ключи реестра фильтруются новым драйвером UCPD. Все они начинаются с Software.
[…]ShellUserChoice
[…]Shell AssociationsLatest
[…]ShellAssociationsUrlAssociationsUserChoicePrevious
[…]ShellAssociationsUrlAssociationsUserChoice
[…]ShellAssociationsUserChoiceLatest
[…]ShellAssociationsUrlAssociationsUserChoicePrevious
[…]CurrentVersionExplorerFileExts.pdfUserChoice
[…]CurrentVersionExplorerFileExts.pdfUserChoiceLatest
[…]CurrentVersionExplorerFileExts.pdfUserChoicePrevious
Появление нового драйвера может быть связано с выполнением требований закона ЕС о цифровых рынках (DMA). Он заставляет шесть крупных компаний (помимо Microsoft, это Alphabet, Amazon, Apple, ByteDance) обеспечивать честную конкуренцию.
Соблюдение законодательства DMA
Помимо блокировки ассоциаций http, https и .pdf, драйвер включает ссылки на ключи реестра ShellFeedsTaskbarViewMode, IsFeedsAvailable, TaskbarDa и DeviceRegion. Оба ключа относятся к виджетам, фидам и браузеру по умолчанию, для которых Microsoft объявила об изменениях в соответствии с DMA.
Тем не менее, драйвер также был распространен на американские устройства с Windows 10 и 11. В результате, похоже, Microsoft хочет предотвратить изменение подобных настроек через ключи реестра, независимо от того, вызвано ли это вредоносным ПО или программами, подобными программе Колбича.
Кстати, браузер по умолчанию по-прежнему можно изменить через «обычные» системные настройки в разделе «Настройки» > «Приложения» > «Приложения по умолчанию» (Windows 11).