研究人员Christoph Kolbicz发现,Windows 10及11最近的更新似乎加入新的驱动程式,防止第三方程式变更预设浏览器。
Kolbicz为程式开发人员,最近获报他开发的二款程式SetUserFTA和SetDefaultBrowser无法运作。这二款程式主要是用于变更用户电脑上的设定,包括预设开启http/https网站和.PDF文件的浏览器。但这两款程式执行后,对应的机码显示存取被拒绝,也无法再以regedit、reg.exe和PowerShell等工具编辑机码,即无法再变更Windows PC预设浏览器。
经过研究,他相信是二月份的Windows更新版包括Windows 10 KB5034763及Windows 11 KB5034765中,将控制用户预设程式的登录项目UserChoice Registry的机码(registry key)锁住。原先,Kolbicz的程式工具就是透过变更机码来变更预设浏览器,即Edge。他也找到微软新增了一个Windows事件筛选(filter)驱动程式UCPD.sys。Windows对这个程式描述为「使用者选择防护驱动程式」,在载入后,会保护和HTTP、HTTPS URL关联档及PDF关联档相关的机码,不允许直接编辑。
简言之,就是无法自动变更Edge浏览器;用户仍然可以经由Windows的「设定」App,来变更预设浏览器设定,但以脚本程式或工具修改则行不通。
Kolbicz相信这可能和微软遵循欧盟《数位市场法》(Digital Markets Act,DMA)有关。DMA要求微软、Google及苹果等平台守门者,必须确保用户有选择自由。微软曾预告,今年4月起将遵循DMA。在DMA遵循下,Windows将永远使用客户配置的App预设连结及档案类型设定,包括浏览器连结类型(http, https)。App可选择用哪些浏览器开启内容。一些微软App则会选择用Edge开启内容。
不确定是否为bug或是有意,不过非欧盟地区的Windows似乎也加入了这新驱动程式,因为同样的工具也无法使用。虽然遵循法令是必须,但他说,微软在Windows实作新驱动程式的作法过于躁进,未考量对企业用户的影响,他也怀疑之后微软是否会提供白名单以免因噎废食。
Kolbicz测试后发现,这个驱动程式无法解除安装,但可以关闭或删除。对于不敢删除的用户,他也提供了以管理员权限在PowerShell输入的指令(如下),重开机后即可关闭。
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\UCPD” -Name “Start” -Value 4 -PropertyType DWORD -Force