4 月 8 日消息，微軟今年 2 月面向 Windows 10 用戶推送 KB5034763 更新、面向 Windows 11 用戶推送 KB5034765 更新，其中一項(xiàng)調(diào)整是阻止用戶使用軟件或者修改注冊(cè)表方式，配置系統(tǒng)的默認(rèn)瀏覽器。

IT之家 3 月 26 日已經(jīng)報(bào)道過(guò)這個(gè)問(wèn)題，現(xiàn)在關(guān)于這個(gè)問(wèn)題的更多細(xì)節(jié)被披露。IT 顧問(wèn) Christoph Kolbicz 率先發(fā)現(xiàn)微軟的這項(xiàng)調(diào)整，安裝 2 月更新之后導(dǎo)致其 SetUserFTA 和 SetDefaultBrowser 程序無(wú)法正常使用。

SetUserFTA 是一個(gè)命令行程序，可讓 Windows 管理員通過(guò)登錄腳本和其他方法更改文件關(guān)聯(lián)；SetDefaultBrowser 的工作原理類似，但只能用于更改 Windows 中的默認(rèn)瀏覽器。

背景介紹

微軟自 Windows 8 系統(tǒng)開(kāi)始就引入了新的安全機(jī)制，為了防止惡意軟件和惡意腳本篡改，將文件擴(kuò)展名、URL 協(xié)議與默認(rèn)程序關(guān)聯(lián)起來(lái)。

微軟的這一新機(jī)制，將文件擴(kuò)展名或 URL 協(xié)議關(guān)聯(lián)，存儲(chǔ)在 UserChoice 注冊(cè)表鍵值下。

例如，分配給 HTTPS URL 協(xié)議的默認(rèn)網(wǎng)絡(luò)瀏覽器的路徑如下：

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
"ProgId"="ChromeHTML"
"Hash"="N3eikAB1HhI="

如果未使用正確的哈希值，Windows 將忽略注冊(cè)表值，并使用該 URL 協(xié)議的默認(rèn)程序，即 Microsoft Edge。

Kolbicz 逆向設(shè)計(jì)了這種 Hashing 算法，創(chuàng)建了 SetUserFTA 和 SetDefaultBrowser 程序來(lái)更改默認(rèn)程序。

2 月新調(diào)整

不過(guò) Windows 10 和 Windows 11 系統(tǒng)安裝 2 月更新之后，Kolbicz 注意到這些注冊(cè)表鍵值現(xiàn)在已被鎖定，在 Windows 設(shè)置之外修改時(shí)會(huì)出現(xiàn)錯(cuò)誤。

例如，使用 Windows 注冊(cè)表編輯器修改這些設(shè)置時(shí)會(huì)出現(xiàn)錯(cuò)誤，提示“無(wú)法編輯哈希值：錯(cuò)誤寫入值的新內(nèi)容”。

經(jīng)過(guò)進(jìn)一步研究，Kolbicz 發(fā)現(xiàn)微軟在二月份的更新中引入了一個(gè)新的 Windows 過(guò)濾驅(qū)動(dòng)程序（c:\windows\system32\drivers\UCPD.sys）。

該驅(qū)動(dòng)程序被稱為 "用戶選擇保護(hù)驅(qū)動(dòng)程序"，加載后可防止直接編輯與 HTTP 和 HTTPS URL 關(guān)聯(lián)以及 .PDF 文件關(guān)聯(lián)相關(guān)的注冊(cè)表鍵值。

相關(guān)的注冊(cè)表鍵值是：

HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\pdf\UserChoice

臨時(shí)修改方案

Kolbicz 在一篇博文中解釋說(shuō)，雖然不能卸載驅(qū)動(dòng)程序，但可以在注冊(cè)表中禁用它。

該驅(qū)動(dòng)程序固然無(wú)法卸載，但可以禁用！

在以管理員權(quán)限打開(kāi)的 PowerShell 窗口下，輸入以下命令，然后重啟生效：

New-ItemProperty -Path “HKLM\SYSTEM\CurrentControlSet\Services\UCPD” -Name “Start” -Value 4 -PropertyType DWORD -Force

這就恢復(fù)了 SetUserFTA 的功能，但遺憾的是需要管理權(quán)限和重啟。

Gunnar Haslinger 在一篇博文中解釋說(shuō)，在 \Microsoft\Windows\AppxDeploymentClient 下新創(chuàng)建的 "UCPD velocity" 計(jì)劃任務(wù)會(huì)在服務(wù)禁用時(shí)自動(dòng)重新啟用。

因此，禁用驅(qū)動(dòng)程序的唯一方法是通過(guò)注冊(cè)表關(guān)閉它，并刪除 / 禁用計(jì)劃任務(wù)。

相關(guān)閱讀：

《部分 Win10 用戶反饋安裝微軟 2 月更新后，第三方工具無(wú)法調(diào)整 URL 關(guān)聯(lián)》

參考

• Christoph Kolbicz 的推文
• New Windows driver blocks software from changing default web browser
• UserChoice Protection Driver – UCPD.sys