2min

Microsoft heeft een Windows-driver geïntroduceerd die voorkomt dat gebruikers de standaardbrowser Edge in Windows 10 en Windows 11 kunnen wijzigen via software van derden of handmatige aanpassingen aan het register.

De driver UCPD.sys, ofwel User Choice Protection Driver, is zonder aankondiging terechtgekomen tussen de andere februari-updates voor Windows 10 (KB5034763) en Windows 11 (KB5034765). De driver verhindert het rechtstreeks bewerken van registry keys die geassocieerd zijn met http en https en de .pdf-bestandsextensie.

De wijziging kwam aan het licht toen IT-consultant Christoph Kolbicz ontdekte dat zijn programma’s SetUserFTA en SetDefaultBrowse niet meer werkten. Dat meldt Bleeping Computer. De nieuwe driver bleek deze command-line utilities te blokkeren, bedoeld voor systeembeheerders om gemakkelijk standaard Windows-associaties voor bestandstypen en de standaardbrowser te wijzigen.

Sinds Windows 8 hanteert Microsoft een systeem waarbij bestandsextensies en URL-protocollen zijn gekoppeld aan standaardprogramma’s. Microsoft heeft deze ‘UserChoice’ registry key hashwaarden toegevoegd om manipulatie door malware te voorkomen. Dit moet garanderen dat de waarde UserChoice ProgId door de eigenlijke gebruiker is ingesteld en niet door kwaadwillende derden.

Driver uitschakelen

Kolbicz reverse-engineerde dit systeem om zijn programma’s te maken, maar de nieuwe driver blokkeert nu dergelijke wijzigingen. Op zijn eigen blog meldt Kolbicz dat het mogelijk is de driver uit te schakelen via de registerregel:

New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\UCPD” -Name “Start” -Value 4 -PropertyType DWORD -Force

Hiervoor zijn administrator-rechten en een herstart van het systeem vereist.

Een andere IT-expert, Gunnar Haslinger, meldde daarna dat een nieuwe geplande taak onder \Microsoft\Windows\AppxDeploymentClient de driver weer gewoon aanzet. Om er helemaal zeker te zijn dat de driver niets meer van zich laat horen, moet een gebruiker dus ook deze taak verwijderen.

Haslinger wist verder te melden dat onderstaande registry keys worden gefilterd door de nieuwe UCPD driver. Allemaal beginnen die met Software\Microsoft\Windows\.

[…]Shell\Associations\UrlAssociations\http\UserChoice
[…]Shell\Associations\UrlAssociations\http\UserChoiceLatest
[…]Shell\Associations\UrlAssociations\http\UserChoicePrevious
[…]Shell\Associations\UrlAssociations\https\UserChoice
[…]Shell\Associations\UrlAssociations\https\UserChoiceLatest
[…]Shell\Associations\UrlAssociations\https\UserChoicePrevious
[…]CurrentVersion\Explorer\FileExts.pdf\UserChoice
[…]CurrentVersion\Explorer\FileExts.pdf\UserChoiceLatest
[…]CurrentVersion\Explorer\FileExts.pdf\UserChoicePrevious

De komst van de nieuwe driver heeft mogelijk te maken met de naleving van de Digital Markets Act (DMA) van de EU. Deze dwingt zes grote bedrijven, (naast Microsoft zijn dat Alphabet, Amazon, Apple, ByteDance en Meta), om eerlijke concurrentie te waarborgen.

Voldoen aan DMA-wetgeving

Behalve het blokkeren van http, https en .pdf-associaties, bevat de driver referenties naar de registry keys ShellFeedsTaskbarViewMode, IsFeedsAvailable, TaskbarDa en DeviceRegion. Ofwel keys die te maken hebben met widgets, feeds en de standaard browser, waarvoor Microsoft veranderingen heeft aangekondigd om aan de DMA te voldoen.

De driver is echter ook uitgerold naar Amerikaanse Windows 10- en 11-apparaten. Hierdoor lijkt het erop dat Microsoft de wetgeving aangrijpt om het wijzigen van dergelijke instellingen via de registry keys überhaupt tegen te gaan, ongeacht of dat gebeurt door malware of door programmaatjes als dat van Kolbicz.

Overigens is het nog steeds mogelijk op individuele apparaten de standaardbrowser te wijzigen via de ‘normale’ systeeminstellingen onder Instellingen > Apps > Standaard-apps (Windows 11).

Lees ook: Big Tech probeert developers en gebruikers op te laten draaien voor kosten DMA