Die Anpassung erfolgte im Rahmen der Februar-Updates für Windows 10 (KB5034763) und Windows 11 (KB5034765), die weltweit ausgerollt wurden, wie das Onlineportal BleepingComputer berichtet. Christoph Kolbicz, ein IT-Berater, entdeckte demnach als Erster diese Neuerung, als seine Programme SetUserFTA und SetDefaultBrowser unerwartet ihre Funktionalität verloren.

Die Programme von Kolbicz ermöglichten es Administratoren, Dateiverknüpfungen und den Standardbrowser über Skripte und andere Methoden anzupassen. Diese Änderung markiert eine Fortsetzung der Bemühungen von Microsoft, das System zur Zuordnung von Dateierweiterungen und URL-Protokollen zu schützen, die seit Windows 8 eingeführt wurden.

Ein speziell entwickelter Hashwert, gespeichert unter den UserChoice-Registrierungsschlüsseln, verbindet eine Dateierweiterung oder ein URL-Protokoll mit dem entsprechenden Programm. Änderungen außerhalb der Windows-Einstellungen führen nun zu Fehlern, da die zugehörigen Registrierungsschlüssel durch den neuen Treiber gesperrt wurden.

Technische Details und Umgehungsversuche

Die Sperre wird durch einen neuen Windows-Filtertreiber (c:\windows\system32\drivers\UCPD.sys), den sogenannten "User Choice Protection Driver", realisiert. Dieser verhindert die direkte Bearbeitung der Registrierungsschlüssel, die mit den HTTP- und HTTPS-URL-Assoziationen sowie der .PDF-Dateizuordnung verbunden sind.

Kolbicz fand heraus, dass, obwohl dieser Treiber nicht einfach entladen werden kann, eine Deaktivierung über die Registrierungsdatenbank möglich ist, allerdings ist dafür ein Neustart des Systems erforderlich. Gunnar Haslinger ergänzt, dass Microsoft durch eine geplante Aufgabe namens "UCPD velocity" den Dienst automatisch wieder aktiviert, falls er deaktiviert wurde. Die einzige Möglichkeit, den Treiber dauerhaft zu deaktivieren, besteht darin, ihn über die Registrierungsdatenbank auszuschalten und die geplante Aufgabe zu löschen oder zu deaktivieren.