今天小編分享的科技經驗:微軟 2 月Win11 更新阻止軟體/系統資料庫方式修改默認網絡浏覽器,歡迎閱讀。
IT 之家 4 月 8 日消息,微軟今年 2 月面向 Windows 10 用戶推送 KB5034763 更新、面向 Windows 11 用戶推送 KB5034765 更新,其中一項調整是阻止用戶使用軟體或者修改系統資料庫方式,配置系統的默認浏覽器。
IT 之家 3 月 26 日已經報道過這個問題,現在關于這個問題的更多細節被披露。IT 顧問 Christoph Kolbicz 率先發現微軟的這項調整,安裝 2 月更新之後導致其 SetUserFTA 和 SetDefaultBrowser 程式無法正常使用。
SetUserFTA 是一個命令行程式,可讓 Windows 管理員通過登錄腳本和其他方法更改檔案關聯;SetDefaultBrowser 的工作原理類似,但只能用于更改 Windows 中的默認浏覽器。
背景介紹
微軟自 Windows 8 系統開始就引入了新的安全機制,為了防止惡意軟體和惡意腳本篡改,将檔案擴展名、URL 協定與默認程式關聯起來。
微軟的這一新機制,将檔案擴展名或 URL 協定關聯,存儲在 UserChoice 系統資料庫鍵值下。
例如,分配給 HTTPS URL 協定的默認網絡浏覽器的路徑如下:
Windows Registry Editor Version 5.00 [ HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsShellAssociationsUrlAssociationshttpsUserChoice ] "ProgId"="ChromeHTML" "Hash"="N3eikAB1HhI="
如果未使用正确的哈希值,Windows 将忽略系統資料庫值,并使用該 URL 協定的默認程式,即 Microsoft Edge。
Kolbicz 逆向設計了這種 Hashing 算法,創建了 SetUserFTA 和 SetDefaultBrowser 程式來更改默認程式。
2 月新調整
不過 Windows 10 和 Windows 11 系統安裝 2 月更新之後,Kolbicz 注意到這些系統資料庫鍵值現在已被鎖定,在 Windows 設定之外修改時會出現錯誤。
例如,使用 Windows 系統資料庫編輯器修改這些設定時會出現錯誤,提示 " 無法編輯哈希值:錯誤寫入值的新内容 "。
經過進一步研究,Kolbicz 發現微軟在二月份的更新中引入了一個新的 Windows 過濾驅動程式(c:windowssystem32driversUCPD.sys)。
該驅動程式被稱為 " 用戶選擇保護驅動程式 ",加載後可防止直接編輯與 HTTP 和 HTTPS URL 關聯以及 .PDF 檔案關聯相關的系統資料庫鍵值。
相關的系統資料庫鍵值是:
HKCUSoftwareMicrosoftWindowsShellAssociationsUrlAssociationshttpUserChoice HKCUSoftwareMicrosoftWindowsShellAssociationsUrlAssociationshttpsUserChoice HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerFileExtspdfUserChoice
臨時修改方案
Kolbicz 在一篇博文中解釋說,雖然不能解除安裝驅動程式,但可以在系統資料庫中禁用它。
該驅動程式固然無法解除安裝,但可以禁用!
在以管理員權限打開的 PowerShell 視窗下,輸入以下命令,然後重啟生效:
New-ItemProperty -Path "HKLMSYSTEMCurrentControlSetServicesUCPD" -Name "Start" -Value 4 -PropertyType DWORD -Force
這就恢復了 SetUserFTA 的功能,但遺憾的是需要管理權限和重啟。
Gunnar Haslinger 在一篇博文中解釋說,在 MicrosoftWindowsAppxDeploymentClient 下新創建的 "UCPD velocity" 計劃任務會在服務禁用時自動重新啟用。
因此,禁用驅動程式的唯一方法是通過系統資料庫關閉它,并删除 / 禁用計劃任務。
參考
