Microsoft, kullanıcıların Windows 10 ve Windows 11 varsayılan tarayıcısını manuel olarak veya yazılım aracılığıyla değiştirmesini önlemek için artık bir Windows sürücüsü kullanıyor.
Sürücü, Windows 10 (KB5034763) ve Windows 11 (KB5034765) için Şubat ayı güncellemelerinin bir parçası olarak dünya çapındaki kullanıcılara sessizce tanıtıldı.
BT danışmanı Christoph Kolbicz değişikliği ilk fark eden SetUserFTA ve SetDefaultBrowser programları aniden çalışmayı bıraktığında.
SetUserFTA, Windows yöneticilerinin oturum açma komut dosyaları ve diğer yöntemler aracılığıyla dosya ilişkilerini değiştirmesine olanak tanıyan bir komut satırı programıdır. SetDefaultBrowser benzer şekilde çalışır ancak yalnızca Windows’taki varsayılan tarayıcıyı değiştirmek içindir.
Windows 8’den başlayarak Microsoft, kötü amaçlı yazılımlar ve kötü amaçlı komut dosyaları tarafından değiştirilmelerini önlemek amacıyla dosya uzantılarını ve URL protokollerini varsayılan programlarla ilişkilendirmek için yeni bir sistem başlattı.
Bu yeni sistem, bir dosya uzantısını veya URL protokolünü, UserChoice Kayıt Defteri anahtarları altında saklanan özel hazırlanmış bir karma ile ilişkilendirir.
Örneğin, HTTPS URL protokolüne atanan varsayılan web tarayıcısı şu adreste bulunur:
Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
“ProgId”=”ChromeHTML”
“Hash” = “N3eikAB1HhI = “
Doğru karma kullanılmazsa Windows, Kayıt Defteri değerlerini yok sayar ve bu URL protokolü için varsayılan program olan Microsoft Edge’i kullanır.
Kolbicz, varsayılan programları değiştirmek üzere SetUserFTA ve SetDefaultBrowser programlarını oluşturmak için bu karma algoritmasını tersine tasarladı.
Ancak Windows 10 ve Windows 11 Şubat güncellemeleri yüklendiğinde Kolbicz, bu Kayıt Defteri anahtarlarının artık kilitlendiğini, Windows ayarları dışında düzenlendiğinde hata verdiğini kaydetti.
Örneğin, bu ayarları değiştirmek için Windows Kayıt Defteri Düzenleyicisi’ni kullanmak, “Karma düzenlenemiyor: Değerin yeni içeriği yazılırken hata oluştu” şeklinde bir hata veriyor.
Kaynak: BleepingComputer
Daha fazla araştırma yaptıktan sonra Kolbicz, Microsoft’un Şubat güncellemelerinin bir parçası olarak yeni bir Windows filtre sürücüsü (c:\windows\system32\drivers\UCPD.sys) sunduğunu keşfetti.
Kaynak: BleepingComputer
Bu sürücü, “Kullanıcı Seçimi Koruma Sürücüsü” olarak tanımlanır ve yüklendiğinde, HTTP ve HTTPS URL ilişkileri ve .PDF dosya ilişkilendirmesiyle ilişkili Kayıt Defteri anahtarlarının doğrudan düzenlenmesini engeller.
İlgili Kayıt Defteri anahtarları şunlardır:
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
BleepingComputer’ın testlerinde sürücünün Windows 11 ve Windows 10 cihazlarımıza dağıtıldığını ancak yalnızca Windows 10 cihazlarımızdaki Kayıt defteri anahtarlarını kilitlediğini belirtelim.
Bir blog yazısında Kolbicz, sürücüyü kaldıramasanız da Kayıt Defteri’nde devre dışı bırakabileceğinizi açıklıyor.
“Bu sürücüyü basitçe kaldıramayız, AMA elbette devre dışı bırakabiliriz! Bu, yükseltilmiş bir PowerShell’de ve ardından yeniden başlatmanın ardından tek satırlık bir işlemle yapılabilir.
New-ItemProperty -Yol “HKLM:\SYSTEM\CurrentControlSet\Services\UCPD” -Ad “Başlat” -Değer 4 -PropertyType DWORD -Force
Bu, SetUserFTA’nın işlevselliğini geri getiriyor ancak ne yazık ki yönetici izinleri ve yeniden başlatma gerektiriyor.”
❖ Christoph Kolbicz
Ancak Gunnar Haslinger tarafından yazılan bir blog yazısı, \Microsoft\Windows\AppxDeploymentClient altında yeni oluşturulan ‘UCPD hızı’ zamanlanmış görevinin devre dışı bırakılması durumunda hizmeti otomatik olarak yeniden etkinleştireceğini açıklıyor.
Kaynak: BleepingComputer
Bu nedenle sürücüyü devre dışı bırakmanın tek yolu onu Kayıt Defteri aracılığıyla kapatmaktır. Ve Zamanlanmış Görevi silin/devre dışı bırakın.
Muhtemelen DMA uyumluluğuyla ilgili
Kolbicz, bu değişikliğin, adil rekabeti sağlamayı ve “bekçi” olarak bilinen altı büyük şirketin rekabete aykırı uygulamalarını önlemeyi amaçlayan Avrupa Dijital Piyasalar Yasası’na (DMA) uymak için olabileceğine inanıyor.
Bu belirlenen bekçiler, yeni düzenlemelere uymak için Mart ayına kadar süreleri olan Alphabet, Amazon, Apple, ByteDance, Meta ve Microsoft’tur.
Kasım 2023’te Microsoft, yeni DMA düzenlemelerine uyum sağlamak için Mart 2024’te Windows’a gelecek değişiklikleri özetledi.
Bu değişiklikler, Avrupa Ekonomik Alanı’ndaki (AEA) kullanıcılar için, Windows’u bir bağlantıyı açarken Microsoft Edge yerine kullanıcıların varsayılan tarayıcısını kullanmaya zorlayan yeni varsayılan tarayıcı politikalarını içeriyordu.
Microsoft, “AEA’da Windows, endüstri standardı tarayıcı bağlantı türleri (http, https) dahil olmak üzere bağlantı ve dosya türleri için her zaman müşterilerin yapılandırılmış uygulama varsayılan ayarlarını kullanacaktır” dedi.
“Uygulamalar içeriğin Windows’ta nasıl açılacağını seçer ve bazı Microsoft uygulamaları da web içeriğini Microsoft Edge’de açmayı seçer.”
Ancak bu yeni sürücünün ABD’de DMA yasasına uymak zorunda olmayan Windows 10 ve Windows 11 cihazlarına da sunulması bu teoriye dair şüpheleri ortadan kaldırdı.
BleepingComputer, Mart ayında bu Kayıt Defteri anahtarlarının kilitlenmesi konusunda Microsoft ile temasa geçti, ancak şu anda paylaşacak hiçbir şeyleri olmadığını söylediler.